Indice dei contenuti
- Nuova fase per la NIS 2: la normativa entra nel vivo
- Obblighi per gli organi di amministrazione e direttivi
- Sicurezza informatica: 116 requisiti da rispettare
- Notifica degli incidenti: nuove regole dal 2026
- Focus sul DNS: stabilità e resilienza sotto controllo
- L’elenco dei soggetti NIS: più di 5.000 organizzazioni essenziali
- Le prossime scadenze: cosa devono fare i soggetti NIS
- Una governance integrata per la cybersicurezza nazionale
Nuova fase per la NIS 2: la normativa entra nel vivo
Il Tavolo per l’attuazione della disciplina NIS si è riunito il 10 aprile scorso per sancire ufficialmente l’avvio della seconda fase del processo di attuazione della nuova normativa europea sulla cyber security.
Un momento cruciale che coinvolge oltre 20.000 organizzazioni italiane, chiamate ora a recepire misure tecniche, procedurali e organizzative entro tempistiche ben definite.
Presieduto dal Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), il Tavolo ha definito le specifiche di base che regolano l’attuazione degli obblighi imposti dal decreto, stabilendo un quadro normativo destinato a rafforzare la resilienza informatica dei settori nevralgici del Paese.
Obblighi per gli organi di amministrazione e direttivi
Tra le misure al centro della discussione, spiccano gli obblighi previsti per gli organi di governance delle organizzazioni NIS (ai sensi dell’articolo 23).
Gli amministratori e i dirigenti saranno responsabili in prima persona dell’attuazione delle politiche di sicurezza informatica, con una crescente attenzione alla rendicontazione e alla supervisione attiva delle strategie di protezione.
Sicurezza informatica: 116 requisiti da rispettare
Il cuore dell’attuazione normativa riguarda l’articolo 24, che impone l’adozione di misure di sicurezza informatica entro ottobre 2026. Si tratta di un insieme imponente:
- Soggetti importanti
37 misure articolate in 87 requisiti - Soggetti essenziali
43 misure complessive per un totale di 116 requisiti
Le misure sono sviluppate secondo il Framework Nazionale per la Cyber Security e la Data Protection, e coprono ambiti come il risk management, la business continuity, la gestione degli incidenti, la formazione del personale e la protezione degli asset digitali.
Notifica degli incidenti: nuove regole dal 2026
A partire da gennaio 2026, tutti i soggetti NIS dovranno rispettare i nuovi obblighi di notifica degli incidenti significativi (articolo 25).
Le regole variano in base alla classificazione:
- Soggetti importanti
Obbligo di monitorare 3 categorie di incidenti - Soggetti essenziali
Obbligo esteso a 4 categorie
Una distinzione che riflette la criticità sistemica dei soggetti essenziali, come infrastrutture energetiche, sanitarie, trasporti o telecomunicazioni.
Focus sul DNS: stabilità e resilienza sotto controllo
Particolare attenzione è stata dedicata anche all’articolo 29, che riguarda la resilienza dei sistemi di nomi di dominio (DNS). Le misure prevedono specifiche modalità di attuazione, pensate per tenere conto delle peculiarità tecniche e organizzative delle diverse realtà coinvolte.
L’elenco dei soggetti NIS: più di 5.000 organizzazioni essenziali
Nel corso della riunione, è stato esaminato l’elenco aggiornato dei soggetti NIS, elaborato sulla base delle informazioni trasmesse da oltre 30.000 entità. Il risultato? Più di 20.000 soggetti identificati, di cui oltre 5.000 classificati come essenziali.
Dal 12 aprile, l’ACN ha iniziato a notificare ufficialmente l’inserimento delle organizzazioni nell’elenco tramite la piattaforma digitale NIS, avviando così una nuova fase di trasparenza e responsabilizzazione.
Le prossime scadenze: cosa devono fare i soggetti NIS
Dal 15 aprile al 31 maggio, i soggetti inseriti nell’elenco dovranno:
- Designare il sostituto punto di contatto
- Comunicare informazioni essenziali come:
- i componenti degli organi direttivi
- gli indirizzi IP pubblici e statici
- i nomi di dominio in uso
- Notificare gli accordi volontari di condivisione delle informazioni in materia di sicurezza informatica
Tutti questi adempimenti sono previsti dalla Determina ACN n. 136117/2025 e dalla Determina ACN n. 136118/2025.
Una governance integrata per la cybersicurezza nazionale
Il Tavolo di coordinamento è composto dai rappresentanti delle nove Autorità di settore e della Conferenza Stato-Regioni, a dimostrazione di un approccio interistituzionale e coeso. L’obiettivo? Implementare un sistema nazionale di cybersicurezza robusto, in linea con i principi della Direttiva NIS 2.
