Con estrema puntualità, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha iniziato a comunicare ai punti di contatto che si erano registrati sul suo portale l’inclusione nell’ambito di applicazione della Direttiva NIS 2.
Insieme alla comunicazione sono arrivati immediatamente anche i primi adempimenti richiesti alle aziende, 20mila designate come soggetti essenziali.
Gli obblighi possono essere suddivisi in un primo e in un secondo set di obblighi con scadenze temporali differenti.
Indice degli argomenti
Il primo set di obblighi Nis 2 da Acn, scadenza maggio 2025
Nello specifico, entro il 31 maggio i punti di contatto designati dalle aziende dovranno comunicare all’ACN, sempre mediante la stessa piattaforma, determinate informazioni. In particolare, dovranno segnalare:
- il nome, il ruolo e i dati di contatto delle persone fisiche responsabili dell’ente o che agiscono in qualità di legali rappresentanti con l’autorità di rappresentare, di prendere decisioni o di esercitare un controllo sul soggetto. Ciò implica, ad esempio, che dovranno essere comunicati all’ACN i dati dei membri del Consiglio di Amministrazione o, in generale, dell’organo di gestione. Infatti, essi saranno responsabili per l’eventuale inadempimento degli obblighi gravanti in capo all’ente. Dunque, la valutazione in merito è sicuramente un aspetto che merita una particolare attenzione, in quanto non si focalizza solo su un dato formale, come, ad esempio, l’essere legale rappresentante, ma guarda anche agli aspetti sostanziali, richiedendo la segnalazione anche di quelle persone fisiche che hanno l’autorità di esercitare un controllo sull’ente;
- un sostituto del punto di contatto, indicando il ruolo ricoperto;
- lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;
- gli Stati membri nei quali erogano i propri servizi, ove applicabile.
Il secondo set di obblighi, scadenza settembre 2026
Pochi giorni dopo la comunicazione inviata ai soggetti inclusi nell’ambito di applicazione della Direttiva NIS 2, l’ACN ha pubblicato due provvedimenti in materia di misure di sicurezza di base, distinte in base alla qualificazione come soggetto “essenziale” o “importante”, e di notifica degli incidenti di sicurezza. A tal riguardo, si segnala che le misure organizzative, tecniche e operative richieste dalla Direttiva NIS 2 saranno divise in due fasi: una prima, avviata proprio ad aprile, che prevede l’introduzione di misure di sicurezza di base che dovranno essere implementate in sede di prima attuazione della normativa.
In una seconda fase, verosimilmente entro aprile 2026, l’Agenzia per la Cybersicurezza Nazionale elaborerà ulteriori obblighi di lungo periodo.
Le aziende dovranno 37 misure, declinate in 87 requisiti, per i soggetti importanti sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection: apre un link esterno.
I soggetti essenziali, inoltre, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti.
Le misure di sicurezza di base dovranno essere adottate entro 18 mesi dalla ricezione della comunicazione trasmessa dall’ACN. Dunque, la scadenza dovrebbe essere ad ottobre 2026, sebbene nella timeline pubblicata sul sito dell’Agenzia venga indicato come termine settembre 2026.
| Ambito | Riferimento normativo | Contenuto / Obblighi principali |
|---|---|---|
| Responsabilità degli organi di amministrazione e direttivi | Articolo 23 | Gli organi apicali sono direttamente responsabili dell’attuazione e supervisione delle misure di cybersicurezza. Devono dimostrare consapevolezza, impegno e vigilanza continua. |
| Misure di sicurezza informatica | Articolo 24 |
|
| Notifica degli incidenti significativi | Articolo 25 |
|
| Sicurezza, stabilità e resilienza dei DNS | Articolo 29 | I gestori dei sistemi di nomi a dominio (DNS) dovranno adottare misure tecniche specifiche in base alle caratteristiche dei propri servizi per garantire stabilità, sicurezza e continuità. |
Le misure
Entrando nel merito delle misure, l’Agenzia si è nuovamente avvalsa del Framework nazionale per la cybersecurity e la data protection, aggiornato proprio in questi giorni, che prevede una suddivisione delle misure nelle seguenti categorie:
- govern, ossia tutte quelle misure organizzative volte a stabilire le strategie di gestione del rischio, i ruoli e le relative responsabilità e poteri nel contesto di gestione della sicurezza delle informazioni
- identify, ossia tutte quelle misure volte a identificare gli asset necessari all’erogazione dei servizi, a definire i rischi e a gestirli in coerenza la strategia dell’azienda;
- protect, ossia tutte quelle misure volte a proteggere gli asset identificati e ad attuare la strategia dell’ente;
- detect, ossia tutte quelle misure implementate al fine di rilevare eventuali violazioni di sicurezza;
- respond, ossia quelle misure volte a garantire una risposta efficace ad eventuali violazioni di sicurezza;
- recover, ossia quelle misure volte a ripristinare la normale operatività e a integrare le cosiddette lesson learned nei processi aziendali.
Secondo quanto chiarito dall’Agenzia per la Cybersicurezza Nazionale, in linea di principio, le misure di sicurezza dovranno essere applicate a tutti i sistemi informativi e di rete. Tuttavia, sono previste delle ipotesi in cui il soggetto avrà la possibilità di decidere se soddisfare determinati obblighi solo in relazione ai sistemi la cui compromissione comporterebbe un impatto significativo sulla confidenzialità, integrità e disponibilità delle attività e servizi rilevanti ai fini della Direttiva NIS 2.
Sebbene ad una prima lettura superficiale le misure di sicurezza elencate possano sembrare di natura prettamente tecnica, approfondendo i singoli controlli emerge con chiarezza come l’implementazione delle richieste non possa prescindere da aspetti organizzativi. Quindi, le aziende saranno spesso tenute a rivedere i processi e le procedure interne al fine di conformarsi alla nuova normativa. Tale riorganizzazione, spesso, ha anche dei profili strettamente strategici e legali che devono essere presi in considerazione. Ciò soprattutto se si pensa che, come accennato, i membri degli organi di vertice potrebbero essere ritenuti responsabili della corretta applicazione della normativa.
Gli obblighi di notifica, scadenza a gennaio
Un ulteriore elemento di attenzione è rappresentato dall’introduzione degli obblighi di notifica, che saranno in vigore a partire da gennaio 2026. A tal proposito, la determinazione dell’Agenzia per la Cybersicurezza Nazionale delinea determinate fattispecie di incidenti che devono essere comunicate. Nello specifico, i soggetti importanti saranno tenuti a notificare:
- la perdita di riservatezza dei dati digitali, anche solo parziale;
- la perdita di integrità dei dati digitali, anche in questo caso anche qualora fosse solo parziale;
- la violazione dei livelli di servizio attesi.
In aggiunta agli eventi sopra riportati, i soggetti essenziali dovranno notificare anche l’accesso ai dati digitali non autorizzato o con abuso dei privilegi concessi.
Dunque, le aziende dovranno rivedere le procedure di rilevamento degli incidenti e i processi di valutazione e notifica degli stessi raccordandoli con quelli già esistenti.
Sempre rispetto agli obblighi di notifica, la determinazione dell’Agenzia per la Cybersicurezza Nazionale prevede anche un raccordo con la disciplina del perimetro di sicurezza nazionale cibernetica, chiarendo che le due normative sono tra loro complementari: le notifiche ai sensi della Direttiva NIS 2 dovranno essere fatte solo laddove l’incidente si verifichi a carico di sistemi diversi da quelli soggetti al perimetro.
Ora rimbocchiamoci le maniche sulla Nis 2
L’Agenzia per la Cybersicurezza Nazionale ha ufficialmente dato il via alle attività di compliance alla Direttiva NIS 2.
Sebbene il termine per l’adempimento possa apparentemente sembrare molto ampio, molte misure richiedono una lunga revisione di processi e procedure interne, che deve essere effettuata tenendo sempre presenti i requisiti normativi. Infatti, con la Direttiva NIS 2 la cybersecurity e i profili legali diventano due facce della stessa medaglia.
Inoltre, i profili legali assumono ulteriore rilievo se si pensa che la normativa in questione introduce anche delle responsabilità per il management. Dunque, è importante che, nelle more dell’implementazione venga sempre prestata particolare attenzione ai profili di responsabilità che ne possono derivare.
