SecBox
🇬🇧
NIS2 Compliance

NIS2 2026: Sanzioni, Audit ACN e Cosa Stanno Verificando i Supervisori

Sanzioni fino a 10M EUR, audit ACN in corso: le 4 aree prioritarie di verifica NIS2 2026 e come prepararsi prima che arrivi l'ispezione.

15 aprile 20267 min di letturaSecBox Team
NIS2 2026: Sanzioni, Audit ACN e Cosa Stanno Verificando i Supervisori

NIS2 2026: Sanzioni, Audit ACN e Cosa Stanno Verificando i Supervisori

Con la scadenza del 1 gennaio 2026 già superata e quella del 1 ottobre 2026 che si avvicina, l'ACN ha avviato la fase operativa di supervisione. Le prime attività di verifica documentale sono già in corso per i Soggetti Essenziali, e i Soggetti Importanti non sono fuori dal radar.

Questo articolo risponde a una domanda precisa: cosa controlla concretamente un supervisore ACN? Conoscere le priorità di verifica consente di concentrare gli sforzi nei punti giusti, senza disperdere risorse su aspetti che, almeno nella fase attuale, hanno priorità più bassa.

Le sanzioni: cifre reali, non teoriche

Prima di entrare nel dettaglio delle verifiche, è utile avere chiaro il quadro sanzionatorio del D.Lgs. 138/2024, perché spesso viene sottovalutato dalle PMI.

Soggetti Essenziali: sanzione massima fino a 10 milioni di euro oppure il 2% del fatturato annuo mondiale consolidato dell'esercizio precedente. Si applica il valore più alto tra i due.

Soggetti Importanti: sanzione massima fino a 7 milioni di euro oppure l'1,4% del fatturato annuo mondiale consolidato. Stesso meccanismo: vale il maggiore.

Per una PMI con 80 dipendenti e 15 milioni di fatturato classificata come Soggetto Importante, il 2% del fatturato sarebbe 300.000 euro. Non è la sanzione massima, ma è comunque una cifra che può mettere a rischio la continuità aziendale.

Le sanzioni non scattano per la prima violazione documentale minore: l'ACN ha un approccio graduale che parte da raccomandazioni, passa per diffide formali e arriva alle sanzioni solo nei casi di inadempienza reiterata o di incidente grave non notificato. Detto questo, il "approccio graduale" non è una garanzia di impunità: è uno strumento di supervisione che si attiva solo se sei nel registro e collabori. Se non sei registrato, salti direttamente alla fase sanzionatoria.

Oltre alle sanzioni pecuniarie, l'Art. 32 del D.Lgs. prevede per i casi più gravi:

  • Sospensione temporanea delle certificazioni rilasciate all'organizzazione
  • Divieto temporaneo di ricoprire funzioni dirigenziali per i responsabili della compliance

Area 1: Incident reporting - il processo che l'ACN verifica per primo

L'incident reporting è la prima area di verifica perché è misurabile oggettivamente: o hai notificato un incidente nei tempi previsti, o non lo hai fatto.

I tempi previsti dalla NIS2 recepita nel D.Lgs. 138/2024 sono:

  • Early warning entro 24 ore dall'evento: notifica iniziale al CSIRT Italia, con indicazione che si tratta di un incidente significativo, la sua natura (attacco intenzionale o anomalia) e se ha impatto transfrontaliero.
  • Report dettagliato entro 72 ore: descrizione tecnica dell'incidente, impatto stimato, misure di mitigazione adottate.
  • Report finale entro 1 mese: analisi delle cause radice, impatto effettivo, misure correttive implementate e preventive pianificate.

Il destinatario di tutte queste comunicazioni è il CSIRT Italia, raggiungibile tramite il portale sicurezza.gov.it.

Cosa verifica l'ACN in un audit su questo punto:

  1. Esiste un processo documentato per il rilevamento e la classificazione degli incidenti? Non basta dire "chiamiamo il fornitore IT": deve esserci una procedura scritta con ruoli, responsabilità e contatti.

  2. Il processo è stato testato? L'ACN può chiedere evidenza di simulazioni o tabletop exercise. Non è richiesta una frequenza fissa, ma almeno una sessione documentata dimostra che il processo non è solo carta.

  3. Gli incidenti passati sono stati notificati? Se la tua organizzazione ha subito un ransomware o una violazione di dati dal 16 ottobre 2024 in poi e non ha notificato al CSIRT, l'audit lo farà emergere. I log di sistema sono evidenza.

Il punto critico per le PMI è il rilevamento: non puoi notificare un incidente che non sai di aver subito. Avere log centralizzati e immutabili è la precondizione tecnica di qualsiasi processo di incident reporting credibile.

Area 2: Formazione dell'organo di gestione (Art. 20)

L'Art. 20 del D.Lgs. 138/2024 introduce un obbligo che molte aziende non si aspettano: l'organo di amministrazione è responsabile della compliance NIS2 e deve dimostrare di aver ricevuto formazione specifica.

Cosa significa in pratica:

  • Il CDA o, per le PMI senza CDA formale, i soci o l'amministratore unico, devono aver approvato formalmente le policy di sicurezza informatica.
  • Devono aver partecipato a sessioni di formazione sui rischi cyber documentate (data, argomenti trattati, firma di presenza o attestato).
  • Devono aver approvato il budget per le misure di sicurezza con delibera tracciabile.

In un audit documentale, l'ACN chiede:

  • Verbale di CDA o equivalente che approva la politica di sicurezza
  • Registro delle formazioni ricevute dall'organo di gestione
  • Delibera di nomina del Referente NIS2 con delega scritta

Questo è uno dei punti dove le PMI italiane sono più scoperte, perché si tende a trattare la cybersecurity come una questione puramente tecnica delegata all'IT. La NIS2 la porta esplicitamente al livello del management, con responsabilità personale documentata.

Il rischio concreto: se durante un audit emerge che l'organo di gestione non è mai stato coinvolto formalmente e che le policy esistono solo come documenti tecnici non approvati, si configura una violazione dell'Art. 20 anche se le misure tecniche sono perfettamente implementate.

Area 3: Documentazione supply chain (Art. 21.2.d)

La sicurezza della supply chain è probabilmente l'area di verifica più complessa per una PMI, perché richiede di estendere la visibilità di rischio oltre il proprio perimetro.

L'Art. 21.2.d richiede che le organizzazioni in scope:

  • Abbiano un inventario dei fornitori ICT critici: chi gestisce la tua infrastruttura, chi ha accesso ai tuoi sistemi, chi processa dati per conto tuo.
  • Abbiano condotto una valutazione del rischio per ogni fornitore critico: possono introdurre vulnerabilità? Hanno accessi privilegiati? Sono a loro volta certificati o verificati?
  • Abbiano introdotto clausole contrattuali specifiche con i fornitori critici: obblighi di notifica degli incidenti, diritto di audit, requisiti minimi di sicurezza.

Cosa verifica l'ACN in un audit:

  1. Esiste un registro fornitori ICT con classificazione del livello di rischio?
  2. Sono stati condotti assessment (anche semplici questionari documentati) sui fornitori ad alto rischio?
  3. I contratti con i fornitori critici contengono clausole NIS2 specifiche?

Per una PMI con infrastruttura gestita da un MSP o un provider cloud, il punto 3 è spesso il più problematico: i contratti standard di molti provider italiani non contengono ancora le clausole richieste dalla NIS2, e rinegoziare richiede tempo.

Area 4: Completezza della registrazione ACN

L'ACN ha accesso alle banche dati delle Camere di Commercio, dell'INPS e dell'Agenzia delle Entrate. Incrociando questi dati con il registro NIS2, può identificare le organizzazioni che soddisfano i criteri dimensionali e settoriali ma non risultano registrate.

Le verifiche di completezza del registro non sono ancora sistematiche su tutta la platea dei potenziali in-scope, ma lo diventano automaticamente nel momento in cui un'organizzazione non registrata subisce un incidente significativo che emerge da altre fonti (segnalazione di terzi, news, data breach su dark web).

Il rischio di essere "scoperti" cresce con il tempo: più passa, più è difficile giustificare la mancata registrazione come errore in buona fede.

Come SecBox Shield prepara le PMI agli audit ACN

SecBox Shield è strutturato intorno alle quattro aree di verifica che l'ACN prioritizza.

Log WORM immutabili - I log immutabili di Shield sono la prova tecnica più forte che puoi presentare in un audit. Ogni evento di rete, accesso, anomalia è registrato in forma non modificabile. Se hai subito un incidente, i log WORM dimostrano esattamente cosa è successo, quando e in quale sequenza. Se non hai subito incidenti, dimostrano che il sistema di rilevamento era attivo.

Reporting mensile - Gli abbonati Shield Pro e Shield XDR ricevono un report mensile esportabile con statistiche di traffico, eventi di sicurezza, tentativi di accesso bloccati e stato della VPN. Questi report sono pronti per essere allegati alla documentazione di governance richiesta dall'Art. 20.

Configurazione documentata - Ogni modifica alla configurazione del firewall gestito è tracciata e documentata nel portale SecBox. In un audit sulla supply chain, puoi dimostrare che il tuo fornitore ICT critico (SecBox) mantiene un audit trail completo.

SLA di risposta - Shield XDR garantisce una risposta entro 1 ora agli incidenti H24/7/365. Questo SLA, documentato contrattualmente, è la base operativa per rispettare la finestra di early warning di 24 ore prevista dalla NIS2.

I piani Shield partono da €49/mese per Shield Core, €149/mese per Shield Pro con reporting, e €299/mese per Shield XDR con H24/7/365.

Con la scadenza del 1 ottobre 2026 a meno di sei mesi, non è il momento di aspettare. Scrivi a [email protected] o attiva il tuo piano direttamente su clients.secbox.it.

#nis2#sanzioni#audit#acn#compliance
Torna al Blog

Articoli Correlati

NIS2 Compliance

NIS2 in Italia: Registrazione ACN e Obblighi del D.Lgs. 138/2024

NIS2 Compliance

NIS2 per PMI: Guida ai Costi Reali e Perche un MSSP Cambia Tutto

NIS2 Compliance

Checklist NIS2 per PMI: 10 Controlli da Fare Subito