Seconda fase di attuazione della NIS2 con le disposizioni ACN: cosa c’è da sapere
Seconda fase di attuazione della NIS2 con le disposizioni ACN: cosa c’è da sapere
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha dato ufficialmente il via al secondo step operativo riguardo l’attuazione del decreto NIS2, rendendo pubblici tre provvedimenti fondamentali in data 10 aprile 2025. Questa nuova tappa rappresenta senza dubbio un cambiamento rilevante: si passa dall’individuazione dei soggetti interessati alla concreta implementazione delle misure tecniche e organizzative richieste dal rinnovato assetto normativo. Il contesto che si va delineando è quello di una maggiore trasparenza nei rapporti tra il settore pubblico, quello privato e l’autorità nazionale incaricata della cybersicurezza, in un percorso che punta alla responsabilizzazione degli attori coinvolti, alla valorizzazione dei dati e al potenziamento delle capacità di prevenzione e risposta agli incidenti informatici.
La prima delle tre deliberazioni introduce le linee guida tecniche fondamentali che gli enti rientranti nell’ambito della direttiva NIS dovranno seguire nella fase iniziale di applicazione della normativa. Il documento definisce i requisiti minimi di sicurezza da adottare, tenendo in considerazione il contesto operativo del soggetto, il suo livello di maturità digitale, la funzione che ricopre nel tessuto socioeconomico e le possibili conseguenze derivanti da eventuali incidenti cyber. Questo provvedimento si allinea integralmente ai principi stabiliti nel Framework Nazionale per la Cybersecurity e la Protezione dei Dati 2025. Le misure minime dovranno essere adottate entro un termine massimo di 18 mesi dalla ricezione ufficiale da parte di ACN.
Il secondo atto normativo definisce in modo organico l’infrastruttura digitale attraverso la quale i soggetti interessati dalla normativa NIS devono interagire con l’autorità competente. La piattaforma dell’ACN diventa il nodo centrale per tutte le comunicazioni ufficiali e per lo svolgimento delle attività previste dal quadro normativo. Viene così identificata una figura di riferimento, una persona incaricata della gestione operativa, degli scambi informativi e degli adempimenti previsti. È inoltre consentita la nomina di un “referente sostitutivo”, con mansioni equivalenti. La normativa stabilisce anche l’obbligo di aggiornare annualmente i dati tramite l’apposito portale digitale. Un aspetto di rilievo riguarda il coinvolgimento diretto degli organi amministrativi, i quali, secondo quanto stabilito dall’articolo 23 del decreto NIS, sono personalmente responsabili sia della correttezza sia della completezza dei dati comunicati.
Il terzo atto normativo riguarda l’adesione a iniziative volontarie di scambio di informazioni in ambito di sicurezza informatica. Ciò che un tempo era una prassi facoltativa, è ora divenuto un obbligo strutturato, soggetto a monitoraggio e revisione periodica. Le entità coinvolte dalla normativa NIS devono segnalare, tramite la piattaforma ufficiale, tutti i protocolli di collaborazione firmati a partire dalla data di entrata in vigore del decreto. Tale obbligo comprende l’invio del documento integrale dell’accordo, la sua denominazione ufficiale e l’elenco completo degli aderenti. Inoltre, è previsto che ogni anno, entro il 31 maggio, venga effettuato l’aggiornamento degli accordi in vigore, mentre eventuali modifiche devono essere comunicate entro 14 giorni dal loro verificarsi.
L’inizio della seconda fase di implementazione del decreto NIS rappresenta un’evoluzione significativa nella gestione della cybersicurezza a livello nazionale.
Si tratta dell’adozione di un modello di responsabilizzazione che interessa enti pubblici e privati, richiedendo un approccio basato su solidità operativa e assunzione di responsabilità. Le attività richieste assumono ora carattere vincolante e sono soggette a scadenze precise. I destinatari della notifica sono chiamati a intervenire tempestivamente per sviluppare un assetto di sicurezza solido e organizzato, conforme agli standard adottati a livello europeo.
