Disciplina NIS, avviata la seconda fase

Lo scorso 10 aprile si è riunito il Tavolo per l’attuazione della disciplina NIS, anche con l'obiettivo di esaminare le specifiche di base per l’adempimento degli obblighi che derivano dalla nuova normativa. Ricordiamo che il Tavolo per l'attuazione della nuova disciplina NIS è composto dai rappresentanti delle nove Autorità di settore e della Conferenza Permanente Stato Regioni, presieduto dal Direttore Generale di ACN. 

In maggiore dettaglio, sono state esaminate le specifiche di base:

• A carico degli organi di amministrazione e direttivi (ex articolo 23);
• In materia di misure di sicurezza informatica (ex articolo 24), la cui adozione è prevista entro ottobre 2026. Si tratta di implementare 37 misure, declinate in 87 requisiti, per i soggetti importanti sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection. I soggetti essenziali, inoltre, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti;  
• In materia di notifica degli incidenti significativi (ex articolo 25). In particolare, sono state definite le fattispecie di incidenti che i soggetti dovranno notificare a partire da gennaio 2026. Anche in questo caso per i soggetti essenziali si tratta di indicazioni più stringenti in quanto essi saranno tenuti a monitorare la ricorrenza di quattro fattispecie a fronte delle tre previste per i soggetti importanti;
• In tema di sicurezza, stabilità e resilienza dei sistemi di nomi di dominio (ex articolo 29), con specifiche modalità definite in relazione alle peculiari caratteristiche di alcune tipologie di soggetto.

Le specifiche di base sono disciplinate dalla determina ACN n. 164179 del 14 aprile 2025  che stabilisce anche la disciplina transitoria per gli operatori dei servizi essenziali, precedentemente sottoposti al decreto legislativo n. 65/2018, e per gli operatori TELCO. Nel corso della riunione è stato esaminato anche l’elenco dei soggetti NIS in cui sono individuate oltre 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali, sulla base delle informazioni condivise da oltre 30.000 realtà. A partire dal 12 aprile scorso, ACN ha iniziato a comunicare ai soggetti interessati il loro inserimento o meno nell’elenco dei soggetti NIS, attraverso la piattaforma NIS.

La riunione segna, pertanto, il passaggio tra la prima e la seconda fase del processo di attuazione della disciplina NIS, che si snoderà lungo un arco temporale fino all’anno prossimo.

NIS, le prossime scadenze 

A partire dal 15 aprile ed entro il 31 maggio 2025, i soggetti NIS sono tenuti a designare il sostituto punto di contatto e a fornire e aggiornare le informazioni previste dall’articolo 7, commi 4 e 5, del decreto NIS (Determina ACN nr. 136117/2025). 

In particolare, sarà necessario segnalare all’Agenzia i componenti degli organi di amministrazione e direttivi, gli indirizzi IP (pubblici e statici), unitamente ai nomi di dominio, in uso o nella disponibilità del soggetto. Inoltre, come disciplinato dalla determina ACN nr. 136118/2025, i soggetti NIS dovranno notificare gli accordi di condivisione delle informazioni sulla sicurezza informatica sottoscritti su base volontaria a partire dall’entrata in vigore del decreto NIS.