A partire dal 12 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha iniziato a notificare ufficialmente, tramite PEC, l’inclusione dei soggetti registrati nell’elenco degli operatori regolati dal Decreto Legislativo 123/2023, ovvero quelli rientranti a pieno titolo nell’ambito di applicazione nazionale della direttiva NIS2.
Sconto crediti fiscali
Finanziamenti e contributi
E da domani, 15 aprile 2025, i “soggetti NIS” saranno tenuti ad avviare il processo di aggiornamento delle informazioni, ai sensi dell’articolo 7, commi 4, 5 e 7, del decreto NIS.
Un momento cruciale, che sancisce un cambio di marcia: non si parla più solo di censimento o di “mappatura dei soggetti”, ma si entra finalmente nel vivo delle responsabilità operative.
Con la notifica di inclusione, ogni soggetto viene ufficialmente riconosciuto come “soggetto NIS2” e, da questo momento in poi, inizia per lui un cammino obbligatorio, a tappe forzate, verso la piena conformità.
Dunque, dopo mesi di attesa, tra registrazioni formali, interpretazioni del decreto e linee guida operative, la direttiva NIS2 entra finalmente in una nuova fase: quella dell’attuazione vera e propria.
Ma cosa succede ora? E, soprattutto, cosa dobbiamo attenderci nei prossimi mesi?
Richiedi prestito online
Procedura celere
La seconda fase attuativa: aprile – maggio 2025
Dopo la registrazione effettuata dai soggetti entro il termine previsto (29 marzo 2025), ACN si è assunta il compito di completare entro aprile:
- la redazione e pubblicazione dell’elenco ufficiale dei soggetti regolati;
- la notifica formale, tramite PEC, ai soggetti stessi della loro inclusione;
- l’adozione delle determinazioni che definiranno i cosiddetti “obblighi di base”, vale a dire le misure minime in materia di sicurezza informatica e i criteri di notifica degli incidenti.
Queste determinazioni costituiranno l’ossatura tecnica su cui ogni soggetto dovrà costruire il proprio sistema di compliance.
Al loro interno troveremo:
- i requisiti minimi di sicurezza (organizzativi, tecnici e procedurali),
- l’elenco delle casistiche da considerarsi incidenti “significativi”,
- le tempistiche e modalità di notifica in caso di evento cyber rilevante.
Una finestra ristretta per aggiornare i dati: scadenza maggio
Come dicevamo in apertura, un secondo adempimento importante, stavolta in carico ai soggetti NIS2, è fissato entro maggio 2025. Si tratta della trasmissione (o dell’aggiornamento) di un set informativo obbligatorio, previsto dall’articolo 7 del decreto.
In particolare, ogni soggetto dovrà fornire:
- i propri indirizzamenti IP;
- l’elenco degli Stati membri UE in cui presta servizi digitali o infrastrutturali;
- il nominativo del responsabile della sicurezza ai sensi dell’art. 38;
- il sostituto di contatto, da coinvolgere in caso di assenza del titolare.
Tali informazioni dovranno essere mantenute costantemente aggiornate, con obbligo di comunicazione entro 14 giorni dalla variazione.
Un nuovo servizio online, predisposto dall’ACN all’interno del Portale dei Servizi, sarà dedicato proprio a questa funzione.
Un quadro normativo a rilascio progressivo
Una delle caratteristiche principali della normativa italiana di recepimento della direttiva NIS2 è la gradualità. Non si tratta di un’unica scadenza da rispettare, né di un solo pacchetto di misure da applicare “tutto e subito”.
Aste immobiliari
l’occasione giusta per il tuo investimento.
Al contrario, la strategia ACN è quella di scaglionare le fasi attuative, accompagnando passo dopo passo gli operatori e fornendo progressivamente sia gli strumenti normativi che quelli tecnici per conformarsi.
Questo approccio risponde a due esigenze precise: da un lato evitare di sovraccaricare aziende ed enti con una mole eccessiva di adempimenti in tempi troppo ristretti, dall’altro favorire l’adozione di misure strutturate e realmente efficaci, piuttosto che meri adempimenti di facciata.
Gennaio 2026: notificare gli incidenti diventa obbligatorio
La terza tappa del percorso è prevista per gennaio 2026, e segna un momento di grande rilevanza: entrerà in vigore l’obbligo formale per i soggetti NIS2 di notificare gli incidenti significativi, secondo quanto previsto dalle determinazioni e dai relativi allegati tecnici.
Questo significa che non sarà più possibile “ignorare” o “gestire internamente” eventi che abbiano impatto sulla continuità operativa, sulla disponibilità dei servizi o sull’integrità dei dati.
Il sistema nazionale di risposta agli incidenti si strutturerà progressivamente, rendendo i soggetti NIS non solo destinatari di obblighi, ma anche nodi attivi del sistema di cyber sicurezza nazionale.
Verso aprile 2026: categorizzazione e obblighi a lungo termine
Nel frattempo, l’ACN avrà anche un secondo compito strategico: definire un modello di categorizzazione delle attività e dei servizi dei soggetti regolati. Questo modello servirà a determinare i livelli di rischio associati alle diverse tipologie di operatori e a calibrare, di conseguenza, gli obblighi in modo proporzionato alla criticità.
Parallelamente, sempre entro aprile 2026, l’Agenzia dovrà adottare anche un nuovo pacchetto di obblighi a lungo termine. A differenza degli obblighi minimi, questi andranno a consolidare strutture più mature di governance, risk management e auditing.
Cessione crediti fiscali
procedure celeri
Potrebbero includere:
- audit di sicurezza periodici;
- piani di miglioramento continuo;
- misure adattive per nuove minacce e vulnerabilità.
Ottobre 2026: tutte le misure minime dovranno essere operative
Ultima data da tenere a mente è ottobre 2026. A partire da questo momento, tutti i soggetti regolati dovranno aver completato l’implementazione delle misure minime previste dalle determinazioni di ACN.
Non si tratta più solo di policy su carta, ma di contromisure tecniche attive, verificabili e documentate, in grado di proteggere realmente i sistemi critici da attacchi informatici.
Si chiuderà così la fase attuativa “iniziale” e si entrerà nella fase ciclica, in cui la sicurezza non sarà più una compliance a scadenza, ma un processo continuo.
Considerazioni finali
Il percorso avviato dall’Italia con l’attuazione della direttiva NIS2 rappresenta un passaggio epocale per tutto il sistema produttivo e infrastrutturale nazionale.
Per la prima volta, la cyber sicurezza viene regolamentata non solo nel perimetro della pubblica amministrazione o delle infrastrutture strategiche, ma coinvolge diffusamente aziende private, PMI digitali e operatori di servizi essenziali in senso lato.
Dilazione debiti
Saldo e stralcio
Essere inclusi nell’elenco NIS2, quindi, non è solo un obbligo normativo, ma un cambio di prospettiva: significa entrare in un sistema di sicurezza nazionale distribuito, dove ognuno fa la sua parte per garantire la resilienza dell’intero ecosistema digitale.
Chi oggi riceve la PEC da ACN non sta ricevendo solo una notifica. Sta ricevendo una chiamata alla responsabilità.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
