April 16, 2025

NIS2, avviata la seconda fase

Misure, obblighi e scadenze per i soggetti coinvolti

image

Lo scorso 10 aprile 2025, si è riunito il Tavolo per l’attuazione della disciplina NIS, segnando una tappa cruciale nel percorso di adeguamento alla direttiva europea NIS2. Durante l’incontro, presieduto dal Direttore Generale dell’ACN e con la partecipazione delle Autorità di settore e della Conferenza Stato-Regioni, sono state definite le specifiche di base per l’attuazione della normativa, formalizzate con la Determina ACN n. 164179 del 14 aprile 2025.

Misure di sicurezza informatica: requisiti articolati e scadenze definite

Tra i temi principali affrontati, vi sono le misure minime di sicurezza (art. 24 del decreto NIS), da adottare entro ottobre 2026. Le organizzazioni sono suddivise in due categorie:

  • Soggetti importanti: dovranno implementare 37 misure suddivise in 87 requisiti, sulla base del Framework Nazionale per la Cybersecurity e la Data Protection.
  • Soggetti essenziali: sono tenuti ad adottare ulteriori 6 misure e 29 requisiti, per un totale di 43 misure e 116 requisiti.

Si tratta di un impianto robusto, progettato per adattarsi alle caratteristiche dei singoli settori, ma che richiederĂ  una pianificazione attenta e investimenti in competenze, strumenti e servizi.

Obbligo di notifica degli incidenti significativi

Dal 1° gennaio 2026, entreranno in vigore gli obblighi di notifica degli incidenti (art. 25), con criteri distinti tra soggetti importanti ed essenziali:

  • I soggetti essenziali dovranno monitorare quattro tipologie di incidenti.
  • I soggetti importanti, invece, saranno tenuti a notificare in relazione a tre fattispecie.

Questa differenziazione implica una maggiore pressione operativa sui soggetti piĂą critici, che avranno bisogno di strumenti e servizi adeguati per rilevare, analizzare e notificare rapidamente ogni incidente.

Mappatura in corso: oltre 20.000 soggetti coinvolti

Secondo quanto riportato da ACN, l’elenco dei soggetti NIS conta oggi oltre 20.000 organizzazioni, di cui più di 5.000 classificate come essenziali. A partire dal 12 aprile, l’Agenzia ha avviato la comunicazione formale agli interessati attraverso la piattaforma NIS.

Prossime scadenze: aggiornamento delle informazioni e designazione del punto di contatto

Dal 15 aprile al 31 maggio 2025, i soggetti NIS sono chiamati a:

  • Designare il sostituto del punto di contatto.
  • Aggiornare le informazioni richieste dall’art. 7 del decreto NIS, come:
    • Componenti degli organi direttivi
    • Indirizzi IP pubblici e statici
    • Nomi di dominio in uso
  • Notificare gli accordi volontari di condivisione delle informazioni sulla sicurezza (come da Determina ACN n. 136118/2025).

Con la pubblicazione della Determina n. 164179, l’Italia entra nella seconda fase di attuazione della NIS2: quella dell’implementazione concreta. Le scadenze sono ravvicinate e gli obblighi dettagliati, rendendo indispensabile una governance strutturata e servizi di cybersecurity gestiti, come i servizi MDR erogati da Certego, per garantire una risposta efficace agli incidenti e il rispetto delle tempistiche imposte dalla normativa.

 Pier Giorgio Bergonzi, Product Marketing

Registrati

Registrati alla nostra newsletter

Cliccando invia, acconsento all'uso dei miei dati personali in accordo con Certego Privacy Policy per finalità sub. 2 paragrafo “Finalità del trattamento dei dati e base giuridica” Certego will not sell, trade, lease, or rent your personal data to third parties.

Servizi
Piattaforma
Risorse
Azienda
Copyright © 2025 www.certego.net
Certego S.R.L. · P.I. 03517100362
Certego S.R.L.
Address: Via F. Lamborghini 81, 41121 Modena (MO)