L’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato l’attesa Determinazione n. 164179 del 10 aprile 2025, con la quale sono state indicate le misure di sicurezza di base per l’adempimento degli obblighi dei soggetti essenziali e importanti e le misure di gestione dei rischi per la sicurezza informatica.
Decorso, quindi, il termine per la registrazione – che ha portato all’individuazione, da parte di ACN, di oltre 20.000 soggetti obbligati, di cui oltre 5.000 qualificati come essenziali – si è avviata la seconda fase del processo di attuazione della normativa.
La determinazione in commento – sviluppata sulla base del “Framework Nazionale per la Cybersecurity e la Data Protection”, chiarisce le misure concrete che soggetti essenziali e importanti sono tenuti ad adottare per garantire la sicurezza dei propri sistemi.
Il testo della Determinazione è disponibile qui.
La Determinazione rimanda a 4 Allegati:
Allegato 1 – Misure di sicurezza per i soggetti importanti
Allegato 2 – Misure di sicurezza per i soggetti essenziali
Allegato 3 – Incidenti significativi di base per i soggetti importanti
Allegato 4 – Incidenti significativi di base per i soggetti essenziali
Termine per l’adozione delle misure
La Determinazione stabilisce i termini per l’adeguamento.
In particolare:
- il termine per l’adozione delle misure di sicurezza di base di cui agli Allegati 1 e 2 è fissato in diciotto mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS;
- il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base indicati negli Allegati 3 e 4 è fissato in nove mesi dalla ricezione della predetta comunicazione.
Cosa succede ora?
Entro il 31 maggio, i soggetti NIS sono tenuti a:
- designare il “sostituto punto di contatto”, che supporta il punto di contatto nell’esercizio delle proprie funzioni;
- fornire e aggiornare le informazioni previste dal Decreto NIS, come da Determinazione ACN n. 136117/2025;
- notificare gli accordi di condivisione delle informazioni sulla sicurezza informatica sottoscritti su base volontaria, come previsto dalla Determinazione ACN nr. 136118/2025
La strada verso la piena attuazione della NIS 2 è dunque tracciata, ma il cammino richiederà tempo.
