NIS 2 entra nella terza fase: per le imprese italiane è l’ora della verità. Dal 15 aprile 2026 scattano nuovi obblighi di cybersicurezza per circa 20mila aziende. Un passaggio che non riguarda solo la compliance, ma ridisegna il perimetro del rischio. E apre uno spazio enorme per il broker.
Dal 15 aprile 2026, la normativa NIS 2 – recepita in Italia con il Decreto Legislativo 138/2024 ed entrata in vigore il 16 ottobre 2024 – avanza verso quella che l’Agenzia per la Cybersicurezza Nazionale (ACN) definisce la sua terza fase attuativa. Non una tappa burocratica. Un cambio di registro vero e proprio.
Per la prima volta, una platea vasta ed eterogenea di aziende italiane è chiamata a strutturare in modo serio la propria difesa dagli attacchi informatici. Non si parla più soltanto di grandi gruppi o infrastrutture strategiche. Si parla di imprese medie, di realtà industriali, di fornitori di servizi che fino a ieri si sentivano al di fuori del perimetro della sicurezza informatica. E che oggi, invece, ci sono pienamente dentro.
Le stime parlano di circa 20.000 soggetti obbligati – secondo alcune proiezioni anche oltre 50.000 includendo le pubbliche amministrazioni – distribuiti in 80 categorie di servizi giudicati critici o strategici per il sistema Paese. Un salto enorme rispetto alle poche migliaia di soggetti già oggi assoggettati agli obblighi della precedente normativa.
Cosa cambia da aprile in poi
La terza fase attuativa porta con sé alcune novità concrete. L’ACN pubblicherà le misure di sicurezza a lungo termine e adotterà il modello di categorizzazione delle attività e dei servizi. Tra aprile e settembre 2026, le organizzazioni dovranno aggiornare il portale ACN con le modalità con cui stanno implementando le attività previste dalle determinazioni di aprile 2025, che includono analisi del rischio, gestione delle vulnerabilità e formazione del personale.
Ma il calendario è già in movimento da mesi. Dal 1° gennaio 2026 è scattato l’obbligo di notifica degli incidenti significativi al CSIRT Italia – con pre-notifica entro 24 ore e rapporto completo entro 72 ore. Entro febbraio 2026, le aziende dovevano designare un Punto di Contatto NIS e registrarsi sul portale ACN. E il termine finale per l’implementazione completa delle misure di sicurezza di base è fissato per ottobre 2026.
In questo arco temporale stretto, molte imprese si trovano in ritardo. «Molte aziende, anche piccole, dovranno fare qualcosa che non hanno fatto mai: un programma strutturato di cybersecurity», ha dichiarato Claudio Telmon, analista esperto per P4I.
Il rischio non è solo tecnico. È competitivo
C’è una parola che rischia di sembrare tecnica e distante ma che, letta con attenzione, dice molto: resilienza. La NIS 2 non chiede solo di proteggersi. Chiede di dimostrare di saperlo fare. Di avere processi, log, backup, piani di continuità operativa, procedure di ripristino. E di rendicontarli a un’autorità che, da quest’anno, ha strumenti di supervisione pienamente operativi.
Per le imprese che non si adeguano, le conseguenze non sono solo sanzionatorie. Sono reputazionali e commerciali. Chi fa parte di una supply chain – e in Italia sono la maggioranza delle PMI – potrebbe vedersi escluso da contratti con fornitori o clienti di maggiori dimensioni, che a loro volta devono rispondere degli standard di sicurezza dei propri partner.
«Non c’è un numero ufficiale di aziende individuate come soggette ai nuovi obblighi NIS 2, ma si ipotizza siano circa 20mila. Un salto rispetto alle poche migliaia che già ora devono soddisfare obblighi di cybersicurezza», spiega Lorenzo Russo, partner di Deloitte Italia. Un salto, appunto. Non un’evoluzione graduale.
Dove entra in gioco il broker
In questo scenario, il ruolo del broker assicurativo smette di essere quello dell’intermediario che propone una polizza cyber come prodotto standard. Diventa qualcosa di più strutturale e di più utile.
La NIS 2 sta trasformando la compliance normativa in un requisito di assicurabilità. Le compagnie assicurative stanno già aggiornando i propri processi di sottoscrizione: questionari più dettagliati, richiesta di evidenze concrete sull’implementazione delle misure di sicurezza, differenziazione dei premi in funzione della maturità organizzativa dell’azienda. Chi non ha ancora avviato un programma strutturato di cybersecurity troverà sempre più difficile accedere a coperture adeguate, o le troverà a condizioni penalizzanti.
Questo cambia profondamente la prospettiva del broker. Non si entra più da cliente con una richiesta di preventivo. Si entra – o ci si dovrebbe entrare – come partner di analisi del rischio, capace di aiutare l’impresa a capire dove si trova nel percorso di adeguamento, quali vulnerabilità residue presenta, e quale strumento assicurativo è coerente con la sua postura di sicurezza reale.
La governance del rischio cyber diventa una leva professionale
C’è una distinzione che vale la pena sottolineare, e che richiama direttamente il tema del posizionamento professionale del broker. La NIS 2 introduce una responsabilità esplicita in capo ai vertici aziendali: i dirigenti devono approvare, supervisionare e rispondere delle misure di sicurezza adottate. Questo apre uno spazio specifico per le coperture D&O (Directors & Officers), che tutelano i manager dalle conseguenze di scelte – o mancate scelte – in materia di cybersicurezza.
Chi presidia questa consulenza con competenza e continuità si posiziona in modo diverso. Non come fornitore di prodotti, ma come specialista di un rischio che è, a tutti gli effetti, trasversale: tocca la continuità operativa, la reputazione, la responsabilità civile e quella dei vertici. È un rischio che non si gestisce con una sola polizza, ma con un approccio integrato.
Cosa leggere in questa fase
La prima indicazione è che la NIS 2 non è una questione che riguarda solo le aziende più grandi o i settori più esposti. Riguarda chiunque faccia parte di una catena del valore in settori critici – e in Italia, data la struttura dell’economia, questo significa una quota significativa del tessuto produttivo.
La seconda è che il tempo dell’attesa è finito. Le scadenze sono reali, la supervisione dell’ACN è operativa, e le conseguenze dell’inadeguatezza – normative, commerciali, assicurative – si stanno già materializzando.
La terza è che il broker che arriva per primo su questo tema, con una proposta strutturata e non solo commerciale, occupa uno spazio difficilmente contendibile. Non perché venda una polizza, ma perché porta un metodo. E in un mercato dove la complessità normativa cresce, il metodo è il vero valore aggiunto.
La rivoluzione cyber è partita. La domanda non è se le imprese debbano adeguarsi. È chi le aiuterà a farlo con la giusta competenza.
