Il Tavolo per l’attuazione della nuova disciplina esamina misure e procedure per le oltre 20.000 organizzazioni interessate
Il Tavolo per l’attuazione della disciplina NIS si è riunito lo scorso 10 aprile per esaminare, tra l’altro, le specifiche di base per l’adempimento degli obblighi derivanti dalla nuova normativa NIS.
In particolare, sono state esaminate le specifiche di base:
• a carico degli organi di amministrazione e direttivi (ex articolo 23);
• in materia di misure di sicurezza informatica (ex articolo 24), la cui adozione è prevista entro ottobre 2026. Si tratta di implementare 37 misure, declinate in 87 requisiti, per i soggetti importanti sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection: apre un link esterno. I soggetti essenziali, inoltre, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti;
• in materia di notifica degli incidenti significativi (ex articolo 25). In particolare, sono state definite le fattispecie di incidenti che i soggetti dovranno notificare a partire da gennaio 2026. Anche in questo caso per i soggetti essenziali si tratta di indicazioni più stringenti in quanto essi saranno tenuti a monitorare la ricorrenza di quattro fattispecie a fronte delle tre previste per i soggetti importanti;
• in materia di sicurezza, stabilità e resilienza dei sistemi di nomi di dominio (ex articolo 29), con specifiche modalità definite in relazione alle peculiari caratteristiche di alcune tipologie di soggetto.
Le specifiche di base sono disciplinate dalla determina ACN n. 164179 del 14 aprile 2025 che stabilisce anche la disciplina transitoria per gli operatori dei servizi essenziali, precedentemente sottoposti al decreto legislativo n. 65/2018, e per gli operatori TELCO.
Nel corso della riunione è stato esaminato anche l’elenco dei soggetti NIS in cui sono individuate oltre 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali, sulla base delle informazioni condivise da oltre 30.000 realtà. A partire dal 12 aprile ACN ha iniziato a comunicare ai soggetti interessati il loro inserimento o meno nell’elenco dei soggetti NIS, attraverso la piattaforma NIS.
La riunione del 10 aprile segna, pertanto, il passaggio tra la prima e la seconda fase del processo di attuazione della disciplina NIS, che si snoderà lungo un arco temporale fino all’anno prossimo.
Le prossime scadenze NIS
A partire dal 15 aprile ed entro il 31 maggio, i soggetti NIS sono chiamati, oltre che a designare il sostituto punto di contatto, a fornire e aggiornare le informazioni previste dall’articolo 7, commi 4 e 5, del decreto NIS (Determina ACN nr. 136117/2025).
In particolare, sarà necessario segnalare all’Agenzia i componenti degli organi di amministrazione e direttivi, gli indirizzi IP (pubblici e statici), unitamente ai nomi di dominio, in uso o nella disponibilità del soggetto. Inoltre, come disciplinato dalla determina ACN nr. 136118/2025, i soggetti NIS dovranno notificare gli accordi di condivisione delle informazioni sulla sicurezza informatica sottoscritti su base volontaria a partire dall’entrata in vigore del decreto NIS.
Il Tavolo per l’attuazione della nuova disciplina NIS è composto dai rappresentanti delle nove Autorità di settore e della Conferenza Permanente Stato Regioni, presieduto dal Direttore Generale di ACN.
Approfondimenti
