NIS2 – Inizia la seconda fase: ecco cosa devono fare le aziende

NIS2: cybersicurezza nazionale

Il d.lgs 138/2024 (c.d. NIS2) è la legge con cui l’ordinamento nazionale ha recepito la direttiva (UE) 2022/2555 recante misure per un livello comune elevato di sicurezza informatica.

Tutte le organizzazioni rientranti nell’ambito di applicazione della normativa hanno dovuto (o avrebbero dovuto), entro il 28 febbraio 2025 completare la registrazione sulla piattaforma messa a disposizione dalla Agenzia per la Cybersicurezza Nazionale (ACN), individuata quale Autorità nazionale competente NIS.

Ogni anno, successivo alla data di entrata in vigore del decreto (2024), dal 1° gennaio al 28 febbraio, tutti i soggetti rientranti nell’ambito di applicazione, devono aggiornare la propria registrazione.

L’ACN ha redatto l’elenco dei soggetti essenziali ed importanti, sulla base delle registrazioni effettuate dalle organizzazioni e, in questi giorni, sta inviando ad esse la comunicazione di conferma o meno della auto-qualifica NIS, nonché delle tipologie di soggetto.

I principali obblighi previsti dal decreto si riferiscono a:

  • la registrazione e l’aggiornamento delle informazioni (articolo 7);
  • gli organi di amministrazione e direttivi (articolo 23);
  • gli obblighi in materia di misure di sicurezza informatica (articolo 24);
  • gli obblighi in materia di notifica di incidente (articolo 25);
  • per alcune tipologie di soggetti, gli obblighi in materia di banca dei dati di registrazione dei nomi di dominio (articolo 29);
  • la categorizzazione delle attività e dei servizi (articolo 30).

La Determina 164179 del 14.04.25

Di assoluto rilievo questo provvedimento, che specifica il quadro applicativo per l’adempimento degli obblighi di base, tra i quali quelli relativi alle misure di sicurezza e alla notifica degli incidenti.

Gli allegati al provvedimento, di fondamentale importanza, sono scaricabili dal presente link https://www.acn.gov.it/portale/nis/la-normativa, nella parte in cui sono schematizzati i principali provvedimenti attuativi del d.lgs 138/2024.

In particolare:

  • l’allegato 1 contiene le misure di gestione dei rischi per la sicurezza informatica dei soggetti importanti,
  • l’allegato 2 contiene le misure di gestione dei rischi per la cybersecurity dei soggetti essenziali.  

Mentre, gli allegati 3 e 4 stabiliscono gli incidenti significativi, rispettivamente, per i soggetti importanti ed essenziali.

Termini

Le organizzazioni hanno 18 mesi, dalla ricezione della comunicazione da parte di ACN dell’inserimento nell’elenco dei soggetti NIS, per adottare le misure di sicurezza di base di cui agli allegati 1 e 2 mentre, sono 9 i mesi di tempo per adempiere all’obbligo di notifica degli incidenti significativi di base di cui agli allegati 3 e 4 (art.3 Determina 164179/25).

Nello stesso documento sono previsti regimi transitori per gli operatori di servizi essenziali (art.6) e operatori telco (art.7).

In conclusione

La timeline degli adempimenti relativi a questa seconda fase, come riportato sul sito dell’Agenzia, è la seguente:

  • a partire da gennaio 2026: obbligo di notifica di base,
  • entro aprile 2026: elaborazione e adozione del modello di categorizzazione delle attività e dei servizi,
  • entro aprile 2026: elaborazione e adozione degli obblighi a lungo termine,
  • entro settembre 2026: completa implementazione delle misure di sicurezza di base.