Continuano all’Agenzia per la cybersicurezza nazionale (ACN) i lavori sull’attuazione della disciplina europea NIS (Network & Information Security), la Direttiva (UE) 2022/2555 che ha l’obiettivo di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE.
Si tratta dunque di un adeguamento nazionale della normativa europea in materia di cybersicurezza e che tocca gli operatori di “servizi essenziali” per ogni Stato.
- Quali saranno i compiti del Tavolo e quali sono gli aspetti critici di questa importante direttiva in materia di cybersicurezza?
Nell'articolo
Tavolo NIS cybersicurezza: chi riguarda?
Il Tavolo, predisposto dall’ACN, prevede il coinvolgimento dei rappresentanti delle nove Autorità di settore e della Conferenza Permanente Stato Regioni ed è presieduto dal Direttore Generale di ACN.
La riunione del 10 aprile ha segnato il passaggio dalla prima fase di attuazione del NIS alla seconda fase (che durerà per tutto il 2025).
Prossimi passi? entro il 31 maggio, i “soggetti NIS” (enti pubblici o privati tenuti o sottoposti alla normativa europea NIS) dovranno aggiornare le informazioni previste dall’articolo 7, commi 4 e 5, del “Decreto NIS”, il decreto legislativo 4 settembre 2024, n. 138 che, come abbiamo visto, adotta la Direttiva europea 2022/2555. L’articolo richiede l’identificazione ed elencazione dei soggetti “essenziali” e dei soggetti “importanti” e impone entro il 31 maggio di ogni anno di comunicare alcune informazioni essenziali attraverso la Piattaforma digitale predisposta per i soggetti NIS.
Quali sono i temi oggetto di discussione?
Tavolo ACN: a che punto siamo con l’attuazione della Direttiva NIS?
Il Tavolo presso l’ACN si occupa e si occuperà quindi di chiarire alcune delle specifiche di base previste dal Decreto e rappresentate nella Determina ACN del 14 aprile.
Oggetto del Tavolo NIS che si prolungherà nel 2025, sono le specifiche di base per l’adempimento degli obblighi europei del NIS in materia di misure di sicurezza informatica (ex articolo 24 del Decreto NIS): si tratta di implementare 37 misure, declinate in 87 requisiti sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection e adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti.
Obblighi di cybersecurity in adeguamento alla Direttiva NIS
Inoltre, il Tavolo ha già discusso l’obbligo di notifica degli incidenti significativi (previsti all’articolo 25 del Decreto) a carico dei Soggetti NIS: il Tavolo individuerà le fattispecie di incidenti che i soggetti dovranno notificare a partire da gennaio 2026; dovranno inoltre monitorare la ricorrenza di quattro fattispecie a fronte delle tre previste per i soggetti importanti.
Fra gli altri temi, la sicurezza, stabilità e resilienza dei sistemi di nomi di dominio (ex articolo 29), con specifiche modalità definite in relazione alle peculiari caratteristiche di alcune tipologie di soggetto.
Il tavolo ha stabilito che si dovrà segnalare all’Agenzia i componenti degli organi di amministrazione e direttivi, gli indirizzi IP (pubblici e statici), unitamente ai nomi di dominio, in uso o nella disponibilità del soggetto. Inoltre, come disciplinato dalla determina ACN nr. 136118/2025, i soggetti NIS dovranno notificare gli accordi di condivisione delle informazioni sulla sicurezza informatica sottoscritti su base volontaria a partire dall’entrata in vigore del decreto NIS.
Infine l’elenco dei cosiddetti “Soggetti NIS”: individuate finora oltre 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali. A partire dal 12 aprile ACN ha iniziato a comunicare ai soggetti interessati il loro inserimento o meno nell’elenco dei soggetti NIS, attraverso la piattaforma NIS.
Cos’è la Direttiva NIS2 e come si applica in Italia?
La Direttiva NIS2 ovvero Network & Information Security è la Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE.
La Direttiva è stata adottata in Italia con decreto legislativo 4 settembre 2024, n. 138. Per la prima applicazione del decreto NIS sono adottate delle “specifiche di base” o misure di base di sicurezza, definiti con determina ACN n. 164179 del 14 aprile 2025 (allegati 1, 2, 3 e 4) che ha stabilito anche la disciplina transitoria per gli operatori dei servizi essenziali, che prima erano sottoposti al decreto legislativo n. 65/2018, e per gli operatori TELCO, ovvero quei soggetti NIS che forniscono reti pubbliche di comunicazione elettronica o servizi di comunicazioni elettroniche.
Per saperne di più sul sistema NIS consultare la pagina informativa dell’Agenzia ACN sulla normativa NIS.
Cybersecurity e sicurezza informatica: libri e corsi
EPC Editore ed Istituto Informa propongono libri di Security, I.C.T. e Privacy e corsi per i professionisti di Security e Privacy
CYBERSECURITY per tutti
Castroreale Renato
Libro
Edizione: febbraio 2024
Pagine: 260
Formato: 150×210 mm
€ 19,00
Disponibile in formato e-book CYBERSECURITY per tutti
Castroreale Renato
E-book
Caria Giovanni Battista, Iaselli Michele
Libro
Edizione: gennaio 2023
Pagine: 288
Formato: 150×210 mm
€ 28,50
Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR
Castroreale Renato, Ponti Chiara
Libro
Edizione: marzo 2021
Pagine: 384
Formato: 150×210 mm
€ 23,75
Manuale di diritto di INTERNET
Corona Fabrizio, Iaselli Michele
Libro
Edizione: febbraio 2021
Pagine: 640
Formato: 170×240 mm
Giornalista e Formatore certificato in Sicurezza sul lavoro
a.mazzuca@insic.it
M. 3351739668