Home

Internal

Global

Contatto

de|en|it

RÖDL Italia collabora con Venturia S.p.A., il venture builder italiano che connette startup e PMI per creare imprese ad alta crescita |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Cybersicurezza e NIS2: gli ultimi aggiornamenti in Italia

Ultimo aggiornamento del 19.01.2026 | Tempo di lettura ca. 3 minuti

L’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicato le “Linee guida NIS – definizione del processo di gestione degli incidenti di sicurezza informatica”. Le Linee guida, pur non vincolanti, si affiancano alle specifiche di base fissate dalla Determinazione 379907/2025 (e alle ulteriori regole operative introdotte dalla Determinazione ACN n. 379887/2025 sul Portale ACN – Servizi NIS).

Un punto chiave

Dal 15 gennaio 2026 la Determinazione 379907/2025 trova applicazione e diventano pienamente operativi gli obblighi di notifica degli incidenti “significativi di base” per i soggetti NIS.

Perché è rilevante?

Questi interventi segnano il passaggio dalla compliance “formale” a una compliance sostanziale, operativa e verificabile. In sintesi, le Linee guida NIS, pubblicate il 31 dicembre 2025, prevedono i seguenti elementi centrali:

Processo strutturato e documentato di incident management: la gestione degli incidenti è presentata come un processo ciclico, che copre tutte le fasi (preparazione; analisi; risposta e contenimento; miglioramento continuo e post-incident review.):
Ruoli e responsabilità è richiesto che ruoli e responsabilità nella gestione degli incidenti siano formalmente definiti e tracciabili (es. attraverso apposito Modello Organizzativo Cyber – c.d. MOC e/o apposita matrice di responsabilità RACI;
Coinvolgimento dei fornitori (cloud, partner, service provider) i fornitori e partner critici devono essere inclusi nel processo di incident management lungo l’intera catena di fornitura, in particolare per i fornitori che operano sui servizi essenziali o importanti;
Comunicazioni e notifiche: devono essere definiti i flussi comunicativi interni (verso management, funzioni legali/compliance, DPO, comunicazione) e l’interazione con CSIRT Italia per le notifiche degli incidenti. In particolare, il ruolo centrale sarà quello del Referente CSIRT, figura cardine per la gestione degli incidenti che rappresenta l’interfaccia operativa con CSIRT Italia, coordina la gestione degli incidenti lungo l’intero ciclo e deve essere coinvolto nella revisione post-incidente e nell’eventuale aggiornamento delle procedure.

Oltre a quanto sopra, le due nuove Determinazioni ACN del 19 dicembre 2025 (Determinazione 379907/2025 e Determinazione ACN n. 379887/2025) completano il quadro operativo per i soggetti NIS essenziali e importanti prevedendo specifiche baseline per:

governance e gestione del rischio, notifica degli incidenti significativi e requisiti di sicurezza/resilienza DNS;
baseline distinte per soggetti importanti vs essenziali (allegati dedicati a misure e incidenti);
trigger temporali dalla comunicazione di inserimento nell’elenco NIS, vale a dire 18 mesi per implementare le misure baseline e 9 mesi per la piena operatività del processo di notifica degli incidenti “significativi”;
la ridefinizione della registrazione dei soggetti interessati, ora prevista dal 1° gennaio al 28 febbraio 2026, nonché il termine di 10 giorni per l’eventuale modifica della dichiarazione;
gli obblighi di aggiornamento annuale, ora previsti nel termine del 15 aprile – 31 maggio;
i termini per la designazione delle figure organizzative rilevanti.

Quali sono le conseguenze della non conformità alle prescrizioni di ACN entro i termini?

È quanto mai importante che le società si attivino quanto prima e procedano ad avviare i necessari processi di adeguamento e finalizzare la remediation di tali adempimenti entro e non oltre i termini obbligatori indicati. Le conseguenze del non adeguamento, infatti, possono essere molto impattanti, rappresentate dal rischio di ricevere sanzioni fino a 7 milioni di Euro o l’1,4 per cento del fatturato annuo, oltre che la responsabilità personale degli amministratori, con conseguenti sanzioni per questi ultimi tra cui l’incapacità di svolgere ruoli manageriali all’interno della stessa entità.

Cosa fare in concreto, dunque?

Occorre mettere a terra un approccio pratico in tre passaggi:

Mappare le misure tecniche e organizzative attuate dall’organizzazione;
Verificare l’assetto di governance e il processo di Incident Management: ruoli, responsabilità, procedure;
Allineare: (i) criteri di significatività e flussi di notifica verso CSIRT Italia, (ii) requisiti e aggiornamenti sul Portale ACN (ruoli, dati tecnici, contatti), (iii) gestione della supply chain.