NIS 2 - Un quadro normativo in continuo aggiornamento

Il quadro delineato dal D.Lgs.138/2024, che ha introdotto in Italia la normativa NIS 2 relativa alla tutela della cybersicurezza nazionale, ha portato migliaia di soggetti, individuati dall’Autorità per la Cybersicurezza Nazionale come “essenziali” o “importanti”, ad intraprendere un profondo percorso di revisione e rafforzamento della propria sicurezza informatica. Ad un anno dall’avvio della sua operatività, il sistema è ancora in fase di completa implementazione, ma sono già in vigore una serie di obblighi periodici per chi è stato individuato da ACN.

La registrazione

Tra il 1° Gennaio ed il 28 Febbraio di ogni anno, tutti i soggetti importanti ed essenziali ai fini della NIS 2 dovranno registrarsi alla piattaforma digitale messa a disposizione da ACN, occasione in cui dovranno fornire diverse informazioni relative alla propria realtà, ovvero:

1. il codice ATECO che caratterizza le attività svolte ed i servizi erogati;
2. le normative europee settoriali citate dal Decreto NIS;
3. il numero dei dipendenti;
4. il fatturato ed il bilancio;
5. l'autovalutazione del soggetto quale "essenziale" o "importante", riportando la tipologia di attività svolta e soggetta alla normativa;
6. l'anagrafica relativa al Punto di Contatto per il soggetto.

Chi si fosse già iscritto nel corso del 2025, dovrà confermare o revisionare le informazioni di cui sopra, nello stesso intervallo di tempo, al fine di convalidare la propria registrazione per l’anno corrente.

L’aggiornamento annuale delle informazioni

Dopo un periodico di controllo da parte di ACN sul censimento delle registrazioni, che si conclude tra fine Marzo ed inizio Aprile con una comunicazione ai soggetti individuati come “essenziali” o “importanti”, questi dovranno inserire – o aggiornare, laddove la registrazione fosse stata effettuata nel corso del 2025 – una serie di informazioni entro il 31 Maggio, ovvero:

1. l'anagrafica relativa al Sostituto Punto di Contatto;
2. i dati anagrafici e di contatto (il codice fiscale, la sede legale, il rappresentante legale, l'elenco dei procuratori generali, il numero di telefono, il domicilio digitale e un indirizzo di posta elettronica ordinaria funzionale);
3. l'elenco dei componenti degli organi di amministrazione e direttivi;
4. l'elenco degli indirizzi IP statici (pubblici) e i nomi di dominio in uso;
5. l'elenco degli accordi di condivisione delle informazioni.

Tutte le attività presentate finora dovranno essere effettuate ogni anno, rispettando le medesime tempistiche ed intervalli temporali.

Le prossime tappe

Una volta finalizzate le attività di registrazione ed aggiornamento annuale, i soggetti “importanti” ed “essenziali” dovranno mettere in atto una serie di misure specifiche per far sì che la propria struttura gestionale garantisca un alto standard di sicurezza informatica, che si deve estendere anche a tutta la catena di fornitura e dalle attività svolte.

Fermo che, a decorrere dal 31 Dicembre 2025, questi dovrebbero già essere in grado di notificare al CSRIT Italia gli incidenti significativi di cybersicurezza ed aver nominato un Referente per svolgere tale attività, entro Ottobre 2026 dovranno adottare un’ampia serie di misure di sicurezza di base, distinte per soggetti "importanti" ed "essenziali", inquadrabili in diversi ambiti:

1. governance;
2. identificazione e valutazione dei rischi;
3. protezione delle informazioni e degli asset;
4. rilevamento delle minacce;
5. risposta agli incidenti;
6. ripristino e disaster recovery.

Quello che si sta delineando è, quindi, un quadro in continuo aggiornamento, e che porterà ad un rafforzamento generale della resilienza informatica nei settori più critici del nostro territorio.