NIS, al via la seconda fase: misure, obblighi e scadenze ACN

---

Condividi l'articolo:

---

Attuazione NIS: avviata la seconda fase del processo regolatorio  

Il 10 aprile 2025 si è svolta una nuova riunione del Tavolo per l’attuazione della normativa NIS, che segna l’inizio della seconda fase del percorso di adeguamento previsto dalla direttiva (UE) 2022/2555, nota come NIS2.

La normativa coinvolge oltre 20.000 organizzazioni pubbliche e private, chiamate ad attuare nuove misure di sicurezza informatica, governance e gestione degli incidenti.

Il Tavolo, presieduto dal Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), è composto dai rappresentanti delle nove Autorità di settore e della Conferenza Permanente Stato-Regioni.

Specifiche tecniche per l’adeguamento  

Durante l’incontro del Tavolo sono state approfondite le specifiche tecniche che i soggetti interessati devono adottare per conformarsi alla nuova disciplina.

Tali disposizioni sono contenute nella Determina ACN n. 164179 del 14 aprile 2025, la quale stabilisce anche il regime transitorio per gli operatori dei servizi essenziali già soggetti al D.Lgs. n. 65/2018 e per gli operatori del settore delle telecomunicazioni.

Le specifiche riguardano in particolare quattro ambiti principali:

Obblighi per organi di amministrazione e direzione

Il primo riguarda le responsabilità degli organi di amministrazione e direzione, come previsto dall’articolo 23 del decreto NIS (Decreto legislativo n. 138/2024), che pone in capo agli organi apicali specifici obblighi di governo in materia di cybersecurity.

Adozione di misure di sicurezza informatica

Il secondo ambito, disciplinato dall’articolo 24 decreto NIS, introduce l’obbligo di adottare un insieme strutturato di misure di sicurezza informatica entro il mese di ottobre 2026. I soggetti importanti dovranno adottare 37 misure articolate in 87 requisiti, mentre per i soggetti essenziali le misure salgono a 43, suddivise in 116 requisiti. Le misure sono state elaborate in coerenza con il Framework Nazionale per la Cybersecurity e la Data Protection.

Obblighi di notifica degli incidenti significativi

Il terzo ambito normativo affrontato riguarda la notifica obbligatoria degli incidenti significativi, in attuazione dell’articolo 25 del decreto NIS. A partire da gennaio 2026, le organizzazioni dovranno notificare specifiche tipologie di incidente: quattro per i soggetti essenziali e tre per i soggetti importanti.

Resilienza dei sistemi di nomi di dominio

Infine, l’articolo 29 del decreto NIS disciplina le modalità di gestione della sicurezza, stabilità e resilienza dei sistemi di nomi di dominio, con indicazioni specifiche per alcune categorie di operatori.

Elenco dei soggetti NIS: notifica e inserimento  

Nel corso della riunione è stato inoltre esaminato l’elenco dei soggetti interessati dalla normativa NIS, elaborato a partire dalle informazioni fornite da oltre 30.000 organizzazioni. L’elenco include oltre 20.000 soggetti, di cui più di 5.000 classificati come soggetti essenziali. Dal 12 aprile 2025, l’ACN ha iniziato a comunicare formalmente alle organizzazioni interessate il loro inserimento (o meno) nell’elenco, attraverso notifiche inviate tramite la piattaforma NIS.

Prossimi adempimenti: scadenze tra aprile e maggio 2025  

Con l’inizio della seconda fase, i soggetti identificati nell’elenco NIS sono chiamati ad adempiere ad alcune comunicazioni obbligatorie entro la finestra temporale compresa tra il 15 aprile e il 31 maggio 2025.

In base alla Determina ACN n. 136117/2025, è richiesta la designazione del sostituto punto di contatto, oltre all’aggiornamento delle informazioni previste dall’articolo 7, commi 4 e 5, del decreto NIS. In particolare, dovranno essere comunicati all’Agenzia: i componenti degli organi di amministrazione e direzione, gli indirizzi IP pubblici e statici, nonché i nomi di dominio in uso o nella disponibilità dell’organizzazione.

Parallelamente, in base alla Determina ACN n. 136118/2025, le organizzazioni dovranno notificare gli accordi volontari sottoscritti per la condivisione delle informazioni in materia di sicurezza informatica, stipulati dopo l’entrata in vigore del decreto.

Coordinamento istituzionale  

Il Tavolo per l’attuazione della disciplina NIS costituisce il principale organo di coordinamento del processo di implementazione normativa. È guidato dal Direttore Generale dell’ACN e comprende al suo interno le nove Autorità di settore, oltre alla Conferenza Permanente Stato-Regioni.

La riunione del 10 aprile 2025 rappresenta un passaggio cruciale all’interno di un percorso più ampio, che si svilupperà progressivamente nel corso del 2025 e del 2026, con l’obiettivo di garantire la piena operatività del nuovo assetto di cybersicurezza nazionale.