Le Determinazioni dell’Agenzia per la Cybersicurezza Nazionale (“ACN”) n. 379887 e n. 379907 di Dicembre 2025 hanno introdotto importanti aggiornamenti operativi per le aziende italiane in relazione all’attuazione della Direttiva NIS 2, delineano un quadro operativo aggiornato e particolarmente attento a questioni attinenti alle misure di sicurezza, alla gestione degli incidenti e agli obblighi di comunicazione tramite il Portale ACN.
Il Quadro normativo: La Direttiva NIS 2 mira a stabilire un elevato livello comune di cybersicurezza in tutta l’Unione Europea, superando e abrogando la precedente Direttiva NIS (2016/1148). In questo contesto, l’ACN, in qualità di autorità nazionale per la cybersicurezza, ha definito un percorso di adeguamento per i soggetti “essenziali” e “importanti” rientranti nel perimetro normativo, scandito da precise tempistiche e obblighi documentali.
Prossimi adempimenti per le organizzazioni:
Una volta registrate sulla piattaforma ACN e ricevuta la comunicazione formale di inserimento nell’elenco dei soggetti NIS, le organizzazioni sono tenute a rispettare due scadenze fondamentali per l’implementazione delle misure di sicurezza.
- Entro 9 mesi dalla ricezione della comunicazione, i soggetti NIS devono attivare le “specifiche di base” relative ai processi di gestione e notifica degli incidenti significativi. Ciò implica la creazione e l’operatività di un sistema dedicato in grado di rilevare tempestivamente un incidente, gestirne la risposta, assicurare il ripristino dei sistemi e, in un’ottica di miglioramento continuo, rafforzare la capacità di reazione a minacce future;
- Entro 18 mesi dalla comunicazione è richiesta l’adozione delle “misure di sicurezza di base”, che costituiscono l’insieme minimo di controlli tecnici e organizzativi per la protezione delle reti e dei sistemi informativi.
Non solo. La normativa prevede una serie di adempimenti che dovranno ripetersi annualmente.
Con riguardo al corrente anno la prossima e imminente scadenza è prevista per il 28 febbraio 2026, data entro la quale le organizzazioni non ancora registrate dovranno provvedere alla registrazione sul portale NIS e le organizzazioni inserite nell’elenco dei soggetti NIS nel corso del 2025, dovranno aggiornare la propria dichiarazione ai fini della registrazione 2026.
Oltre alla registrazione iniziale, è previsto un obbligo di aggiornamento periodico. Ogni anno, infatti, nella finestra temporale compresa tra il 15 aprile e il 31 maggio, i soggetti NIS dovranno accedere al portale per confermare o aggiornare i dati di contatto, le informazioni sugli organi direttivi, le sedi operative e i referenti del proprio CSIRT (Computer Security Incident Response Team).
L’adeguamento alla normativa NIS 2 non è una mera formalità, ma un obbligo giuridico la cui violazione comporta conseguenze significative. La mancata registrazione, l’omesso aggiornamento delle informazioni o la violazione degli obblighi di comunicazione possono dare luogo all’applicazione di sanzioni amministrative ai sensi del decreto di recepimento della direttiva.
Firenze Legale offre supporto nell’analisi della conformità, nella redazione della documentazione e nella gestione dei rapporti con le autorità, per garantire una compliance efficace e sicura.
