Dal 1° gennaio 2026, la Direttiva europea NIS2 entra nella sua fase più concreta: diventano pienamente operativi alcuni degli obblighi più delicati per le organizzazioni coinvolte, a partire dalla notifica tempestiva degli incidenti di sicurezza informatica. È un passaggio chiave per il rafforzamento della resilienza cyber in Europa, ma anche una scadenza che mette sotto pressione imprese ed enti pubblici chiamati a dimostrare maturità organizzativa e capacità di risposta. La NIS2, recepita in Italia con il D.Lgs. 138/2024, amplia in modo significativo il perimetro dei soggetti obbligati rispetto alla precedente NIS. Non solo operatori di servizi essenziali, ma anche un nutrito insieme di “soggetti importanti”: sanità, energia, trasporti, pubbliche amministrazioni, infrastrutture digitali, servizi ICT, manifatturiero, gestione dei rifiuti. Per tutti, il 2026 segna l’inizio di un regime di piena accountability. Tempi stretti e nuove responsabilità Il cuore del cambiamento operativo è l’obbligo di notifica rapida degli incidenti significativi. Invero, la direttiva NIS2 introduce una scansione temporale rigorosa. Entro 24 ore dalla scoperta di un evento rilevante, vale a dire in grado di causare danni importanti come interruzioni del servizio, perdite economiche o effetti sulla filiera, l’organizzazione deve infatti inviare un preallarme