April 16, 2025

NIS2, avviata la seconda fase

Misure, obblighi e scadenze per i soggetti coinvolti

image

Lo scorso 10 aprile 2025, si è riunito il Tavolo per l’attuazione della disciplina NIS, segnando una tappa cruciale nel percorso di adeguamento alla direttiva europea NIS2. Durante l’incontro, presieduto dal Direttore Generale dell’ACN e con la partecipazione delle Autorità di settore e della Conferenza Stato-Regioni, sono state definite le specifiche di base per l’attuazione della normativa, formalizzate con la Determina ACN n. 164179 del 14 aprile 2025.

Misure di sicurezza informatica: requisiti articolati e scadenze definite

Tra i temi principali affrontati, vi sono le misure minime di sicurezza (art. 24 del decreto NIS), da adottare entro ottobre 2026. Le organizzazioni sono suddivise in due categorie:

  • Soggetti importanti: dovranno implementare 37 misure suddivise in 87 requisiti, sulla base del Framework Nazionale per la Cybersecurity e la Data Protection.
  • Soggetti essenziali: sono tenuti ad adottare ulteriori 6 misure e 29 requisiti, per un totale di 43 misure e 116 requisiti.

Si tratta di un impianto robusto, progettato per adattarsi alle caratteristiche dei singoli settori, ma che richiederĂ  una pianificazione attenta e investimenti in competenze, strumenti e servizi.

Obbligo di notifica degli incidenti significativi

Dal 1° gennaio 2026, entreranno in vigore gli obblighi di notifica degli incidenti (art. 25), con criteri distinti tra soggetti importanti ed essenziali:

  • I soggetti essenziali dovranno monitorare quattro tipologie di incidenti.
  • I soggetti importanti, invece, saranno tenuti a notificare in relazione a tre fattispecie.

Questa differenziazione implica una maggiore pressione operativa sui soggetti piĂą critici, che avranno bisogno di strumenti e servizi adeguati per rilevare, analizzare e notificare rapidamente ogni incidente.

Mappatura in corso: oltre 20.000 soggetti coinvolti

Secondo quanto riportato da ACN, l’elenco dei soggetti NIS conta oggi oltre 20.000 organizzazioni, di cui più di 5.000 classificate come essenziali. A partire dal 12 aprile, l’Agenzia ha avviato la comunicazione formale agli interessati attraverso la piattaforma NIS.

Prossime scadenze: aggiornamento delle informazioni e designazione del punto di contatto

Dal 15 aprile al 31 maggio 2025, i soggetti NIS sono chiamati a:

  • Designare il sostituto del punto di contatto.
  • Aggiornare le informazioni richieste dall’art. 7 del decreto NIS, come:
    • Componenti degli organi direttivi
    • Indirizzi IP pubblici e statici
    • Nomi di dominio in uso
  • Notificare gli accordi volontari di condivisione delle informazioni sulla sicurezza (come da Determina ACN n. 136118/2025).

Con la pubblicazione della Determina n. 164179, l’Italia entra nella seconda fase di attuazione della NIS2: quella dell’implementazione concreta. Le scadenze sono ravvicinate e gli obblighi dettagliati, rendendo indispensabile una governance strutturata e servizi di cybersecurity gestiti, come i servizi MDR erogati da Certego, per garantire una risposta efficace agli incidenti e il rispetto delle tempistiche imposte dalla normativa.

 Pier Giorgio Bergonzi, Product Marketing

Subscribe

Sign up to our newsletter

Clicking Submit, I agree to the use of my personal data in accordance with Certego Privacy Policy  for the purpose sub. 2 paragraph “Purposes of the Data processing and legal basis”. Certego will not sell, trade, lease, or rent your personal data to third parties.

Services
Platform
Resources
Company
Copyright © 2025 www.certego.net
Certego S.R.L. · P.I. 03517100362
Certego S.R.L.
Address: Via F. Lamborghini 81, 41121 Modena (MO)