Il 2026 segna il passaggio dalla fase di recepimento a quella di piena applicazione della Direttiva NIS2 per gli operatori di comunicazioni elettroniche. Con il D.Lgs. 138/2024 gli ISP italiani rientrano tra i soggetti essenziali, con obblighi stringenti su sicurezza, governance e reporting.
Il perimetro applicativo per gli ISP
Tutti gli operatori di comunicazioni elettroniche accessibili al pubblico rientrano nel perimetro, indipendentemente dalla dimensione. Non esistono soglie di esenzione basate sul fatturato o sul numero di dipendenti: chi eroga connettività, transito IP o servizi di rete è tenuto alla conformità.
Obblighi tecnici e organizzativi
L’Agenzia per la Cybersicurezza Nazionale (ACN) richiede misure proporzionate al rischio, tra cui:
- Politiche di analisi dei rischi e di sicurezza dei sistemi informativi
- Gestione degli incidenti e procedure di continuità operativa
- Sicurezza della supply chain, inclusi fornitori di transito, DNS, CDN e apparati di rete
- Crittografia, controllo accessi, autenticazione multi-fattore
- Formazione periodica e responsabilità documentata degli organi di gestione
Reporting: le tre finestre temporali
La gestione degli incidenti significativi segue una tempistica scandita:
- Entro 24 ore dalla scoperta: early warning ad ACN con indicazione della natura sospetta dell’incidente
- Entro 72 ore: notifica dettagliata con valutazione iniziale, indicatori di compromissione e misure adottate
- Entro 1 mese: rapporto finale con analisi delle cause e piano di remediation
Sanzioni e responsabilità personale
Per i soggetti essenziali le sanzioni possono raggiungere 10 milioni di euro o il 2% del fatturato annuo globale, con applicazione dell’importo maggiore. La direttiva introduce inoltre la responsabilità personale degli organi di gestione in caso di negligenza nella supervisione delle misure di sicurezza.
Cosa preparare adesso
La sfida operativa non è tanto la sanzione quanto la capacità di rispettare la finestra delle 24 ore. Questo richiede un SOC attivo 24/7, procedure di classificazione degli incidenti codificate e canali di comunicazione con ACN già testati in tempo di pace. Chi arriva al 2026 senza aver simulato il processo di notifica rischia di scoprire i propri gap durante l’incidente reale.
