La normativa NIS2 impone scadenze cruciali nel 2026, con l'obbligo di notifica degli incidenti a partire da gennaio, l'implementazione delle misure di sicurezza di base entro settembre, e adempimenti di governance e gestione dei rischi entro ottobre 2026.

Confindustria Reggio Emilia in collaborazione con DataConSec, organizza un incontro per supportare le aziende in questi passaggi, tra cui la gestione dei rischi e la nomina dei responsabili, con l'obiettivo di raggiungere la piena conformità nel 2027. 

Da gennaio 2026 per i soggetti riconosciuti da ACN come "soggetti importanti" ed "essenziali" sono operativi i nuovi obblighi in merito alla notifica degli incidenti cyber "significativi" (allegato 3; l'allegato 4 è relativo alla gestione degli incidenti per i soggetti "essenziali"), secondo determinate tempistiche e procedure così come definito dalla Determinazione ACN 379907/2025, che è entrata in vigore il 15 gennaio 2026 (vedi allegato). A tal proposito ACN ha pubblicato lo scorso 31 dicembre 2025 le "Linee Guida sul processo di gestione degli incidenti di sicurezza informatica" (vedi allegato).

Entro il 28 febbraio 2026, le aziende riconosciute come importanti ed essenziali e quelle che ancora non si sono registrate pur rientrando nel perimetro di applicazione della Direttiva, dovranno effettuare la prima registrazione o l’aggiornamento della registrazione già effettuata lo scorso anno. 

Ricordiamo inoltre che entro 18 mesi dalla data di comunicazione dell'ACN all'azienda (aprile 2025) e quindi entro ottobre 2026, i soggetti "importanti" dovranno implementare altre "misure di sicurezza di base" (vedi allegato 1; le misure di sicurezza di base per i soggetti "essenziali" sono invece contenute in allegato 2).