Home

Internal

Global

Contatto

Rödl & Partner Italia e Studio Gottardo per la partnership tra Officine MTM S.p.A. e Gruppo Dawang Metals |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Direttiva NIS2: gli adempimenti da rispettare a seguito della notifica dell’ACN

Ultimo aggiornamento del 28.04.2025 | Tempo di lettura ca. 4 minuti

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha dato ufficialmente il via alla fase attuativa della Direttiva (UE) 2022/2555 (“Direttiva NIS2”), recepita in Italia con il Decreto Legislativo 138/2024 (“Decreto NIS”).

Dallo scorso 15 aprile 2025, infatti, l’ACN ha provveduto all'invio delle notifiche alle aziende e agli enti che hanno effettuato la registrazione sul Portale ufficiale ACN entro il 10 marzo 2025, in alcuni casi ritenendoli inclusi nel perimetro di applicazione della Direttiva, e segnando l'avvio degli obblighi di adeguamento ai nuovi standard di sicurezza informatica. Di seguito, riepiloghiamo i principali adempimenti previsti per i soggetti coinvolti.

Le comunicazioni trasmesse dall’Agenzia tramite PEC costituiscono la conferma ufficiale dell’inclusione (o dell’esclusione) del destinatario tra i soggetti tenuti al rispetto della Direttiva NIS2, come recepita in Italia dal Decreto NIS2. La ricezione di tale comunicazione attiva, per tali organizzazioni ed enti, una serie di adempimenti con scadenze differenziate. La strategia adottata dall’ACN prevede un’attuazione graduale, finalizzata ad accompagnare progressivamente le imprese e gli enti verso la piena conformità, evitando sovraccarichi normativi e favorendo l’adozione di misure strutturate e realmente efficaci.

A partire dal 15 aprile e entro il 31 maggio 2025, i soggetti c.d. “essenziali” e “importanti” che sono stati considerati rientranti nel perimetro NIS2 dovranno trasmettere o aggiornare le informazioni previste dall’articolo 7 del Decreto NIS, tra cui:

l’elenco completo degli indirizzi IP pubblici in uso o nella disponibilità dall’organizzazione, nonché dei nomi di dominio registrati o comunque nella disponibilità dell’organizzazione, inclusi quelli attualmente non attivi ma gestiti;
l’elenco degli Stati membri dell’Unione Europea in cui vengono forniti i servizi rientranti nell'ambito della normativa (ove applicabile);
le persone fisiche responsabili dell’organizzazione (rappresentante legale e/o procuratore con l’autorità di rappresentarla), indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
un sostituto del punto di contatto già indicato nel Portale ACN in sede di registrazione, indicando il ruolo presso l’organizzazione e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.

L’ACN metterà a disposizione una sezione dedicata all’interno del Portale dei Servizi, dove i soggetti potranno inserire e aggiornare tali informazioni. Ogni variazione dovrà essere comunicata entro 14 giorni.

Inoltre, la Determinazione ACN n. 164179 del 14 aprile 2025 ha specificato ulteriori termini per l’adempimento degli obblighi previsti dalla normativa NIS2:

entro 9 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS2 (ossia, gennaio 2026), i destinatari dovranno provvedere ad adottare un’adeguata Cybersecurity Governance, implementando idonee policy e procedure ai fini della notifica degli incidenti significativi di base descritti negli allegati 3 e 4 della Determinazione;
entro 18 mesi dalla medesima comunicazione (ossia, ottobre 2026), dovranno essere implementate le misure di sicurezza di base di cui agli allegati 1 e 2 della Determinazione: si tratta, in buona sostanza, di implementare 37 misure tecniche e organizzative, declinate in 87 requisiti, per i soggetti importanti sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection. I soggetti essenziali, inoltre, dovranno adottare ulteriori 6 misure e 29 requisiti, per un totale di 43 misure e 116 requisiti.

La Direttiva NIS2 segna un’importante evoluzione nella normativa europea sulla sicurezza informatica. Di fronte al rischio di ingenti sanzioni economiche (fino a 10 milioni di Euro o al 2 per cento del fatturato mondiale annuo), è fondamentale che le organizzazioni provvedano tempestivamente ad implementare i suddetti obblighi e le misure tecnico-organizzative previste, avviando quanto prima le necessarie attività di assessment al fine di “fotografare” la propria attuale cybersecurity posture e individuare gli eventuali gap rispetto a quanto previsto dalla nuova normativa.

Adeguarsi non significa solo rispettare un obbligo di legge, ma rappresenta anche un’opportunità concreta per rafforzare la protezione dei propri sistemi e prevenire incidenti informatici.