Il 15 aprile l’ACN ha avviato la seconda fase dell’attuazione del NIS2. Scopri le nuove regole per aziende e PA, le scadenze imminenti e come orientarsi nel nuovo impianto normativo sulla sicurezza informatica.

Il 10 aprile 2025 si è riunito il Tavolo per l’attuazione della disciplina NIS, guidato dall’ACN con la partecipazione di nove Autorità di settore e della Conferenza Stato-Regioni. Durante l’incontro sono stati discussi aspetti essenziali per l’attuazione del D.Lgs. 138/2024, che recepisce la direttiva UE 2022/2555 – NIS2.

L’incontro ha segnato la conclusione della prima fase, dedicata a definizione delle specifiche tecniche e degli obblighi normativi.

Parallelamente, è stato completato e approvato l’elenco dei soggetti NIS: oltre 20.000 organizzazioni identificate, di cui circa 5.000 sono classificate come soggetti essenziali. L’ACN ha avviato la comunicazione individuale tramite la piattaforma NIS già dal 12 aprile.

Avvio della seconda fase: usque fine 2026

Il passaggio alla seconda fase operativa è stato segnato dalla pubblicazione di tre nuove Determine ACN, tutte emanate ex art. 40, comma 5 del decreto, che dettagliano aspetti fondamentali dell’attuazione:

  • Determina ACN n. 164179 del 14 aprile 2025: stabilisce le specifiche di base per soggetti essenziali e importanti (responsabilità degli organi, misure di sicurezza, notifica incidenti, DNS);

  • Determina ACN n. 136117/2025: definisce le modalità per la designazione dei punti di contatto e la comunicazione obbligatoria dei dati (organi direttivi, IP, domini) entro il 31 maggio 2025;

  • Determina ACN n. 136118/2025: introduce l’obbligo di notificare gli accordi volontari di condivisione delle informazioni sulla cybersecurity.

NIS 2 - cronologia degli obiettivi 2024-2026
DALL•E X EKO365

Il nuovo impianto normativo NIS2: identificazione, supervisione, misure

Il D.Lgs. 138/2024 amplia significativamente il perimetro della cybersecurity nazionale.

🟠 Identificazione dei soggetti NIS

L’identificazione è ora basata sulla regola del “size-cap”: tutte le medie e grandi imprese nei settori critici e altamente critici sono coinvolte, oltre a numerose PA. Anche alcune PMI possono rientrare su indicazione dell’Autorità.

🟠 Registrazione e adempimenti

Dal 1° dicembre 2024, i soggetti devono registrarsi sulla piattaforma ACN. Entro il 31 maggio 2025, devono aggiornare informazioni cruciali (es. organi direttivi, IP, domini) e notificare eventuali accordi volontari di condivisione (come previsto nelle Determine 136117 e 136118).

🟠 Misure di sicurezza

  • Per i soggetti importanti: 37 misure in 87 requisiti;

  • Per i soggetti essenziali: 43 misure in 116 requisiti complessivi. Tutte le misure devono essere adottate entro ottobre 2026 (rif. Determina 164179).

Queste misure, da adottare entro ottobre 2026 (rif. Determina 164179), sono strutturate e sviluppate in coerenza con il Framework Nazionale per la Cybersecurity e la Data Protection – Edizione 2025, che costituisce il riferimento operativo per l’implementazione tecnica e organizzativa degli obblighi normativi.

➡️ Approfondiamo il Framework nel box dedicato qui sotto.

🟠 Supervisione e sanzioni

ACN rafforza il suo ruolo con poteri di ispezione, esecuzione e verifica, allineando il regime sanzionatorio a quello del GDPR.

🟠 Notifica degli incidenti

Dal 2026, saranno obbligatorie le notifiche su 3 (importanti) o 4 (essenziali) tipologie di incidenti significativi.

🟠 Cooperazione europea

Si consolida la collaborazione transfrontaliera grazie a EU-CyCLONe e CSIRT Italia per la gestione delle crisi informatiche.

EKO365, il tuo partner per un adeguamento strategico

Affianchiamo le imprese nel percorso di adeguamento al NIS2 con:

  • analisi della postura di sicurezza;

  • implementazione di misure conformi al Framework nazionale;

  • formazione continua e simulazioni per la gestione delle crisi.

La nostra esperienza nel mondo Microsoft 365 ci consente di proporre soluzioni integrate, sostenibili ed efficaci per PMI e grandi organizzazioni. Per noi, la cybersecurity è molto più di un obbligo normativo, ma un pilastro della resilienza e della competitività aziendale.

Il Framework Nazionale per la Cybersecurity e la Data Protection 2025

Elemento centrale per l’attuazione pratica del NIS2, il Framework 2025 fornisce uno schema integrato di riferimento basato su:

  • 10 aree di sicurezza (es. identità, accessi, resilienza, risposta agli incidenti);

  • principi di gradualità e proporzionalità in base alla criticità dei servizi ICT;

  • allineamento con standard internazionali e con le policy ESG, sempre più centrali per le imprese.

Il framework rappresenta uno strumento chiave per armonizzare conformità normativa, sicurezza operativa e responsabilità aziendale.