Fase attuativa NIS2

Notifica degli incidenti: prima scadenza per imprese ed enti soggetti

La mia impresa è stata ritenuta soggetta agli obblighi NIS2 e si è dovuta registrare sul Portale dell’Autorità competente. Cosa succede adesso? Quali sono le prossime scadenze da rispettare?

La Direttiva NIS2, recepita in Italia con il D.lgs. 138/2024, rappresenta un passaggio fondamentale nel rafforzamento della cybersicurezza nazionale. Il nuovo quadro normativo impone infatti un innalzamento degli standard di protezione dei sistemi informativi, con l’obiettivo di ridurre i rischi cibernetici che possono compromettere servizi essenziali, continuità operativa ed equilibrio economico sociale del Paese. Dopo la fase preliminare di censimento e registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), avvenutanel corso del 2025, le organizzazioni identificate dalla medesima Autorità come “soggetti essenziali” o “importanti” sono entrate nella fase operativa dell’applicazione delle misure di sicurezza di base, vale a dire dell’insieme minimo e obbligatorio di controlli, requisiti e attività che devono essere implementati e documentati, per garantire la sicurezza delle reti e sistemi informativi. Il primo adempimento significativo riguarda l’attivazione delle procedure di notifica degli incidenti rilevanti, la cui scadenza è maturata a gennaio 2026. Tale termine deriva dalla previsione dei nove mesi concessi per adempiere a partire dalla comunicazione con cui ACN conferma l’assoggettamento dell’ente alla NIS2. La disciplina è stata dettagliata dalla Determinazione ACN n. 379907/2025 e dalle Linee Guida tecniche relative al processo di gestione degli incidenti, entrambe emanate a dicembre 2025, dalle quali si ricavano indicazioni concrete per declinare fasi, responsabilità e modalità operative di questa procedura. L’obiettivo è garantire un comportamento uniforme tra tutti i soggetti NIS, assicurando una risposta tempestiva e coordinata agli eventi informatici che possano avere impatti rilevanti sulla continuità dei servizi o sulla sicurezza dei dati. Per gli operatori ricadenti nell’applicazione della NIS, la notifica, ora, non è più un mero adempimento burocratico, ma costituisce un vero e proprio obbligo organizzativo: le imprese devono dotarsi di procedure interne formalizzate, ruoli chiaramente definiti, sistemi di rilevazione tempestiva degli incidenti e capacità di interfacciarsi con il CSIRT Italia nei tempi previsti, che consistono in una pre allerta entro 24 ore, una notifica completa entro 72, una relazione di dettaglio successiva entro un mese. La centralità di questo primo obbligo è confermata anche dal coinvolgimento diretto degli organi direttivi, ai quali la NIS2 attribuisce un ruolo di supervisione e responsabilità nella definizione e approvazione delle misure adottate. La scadenza appena trascorsa rappresenta, quindi, un primo banco di prova per valutare la reale maturità delle organizzazioni sul piano della resilienza digitale. Le ulteriori misure da implementare entro ottobre 2026 (18 mesi dalla comunicazione di conferma dell’assoggettamento da parte di ACN) mirano a consolidare un modello dinamico di gestione del rischio, continuo e verificabile, integrato nella governance e orientato alla prevenzione.

Ti è piaciuto questo articolo? Personalizza questo sito secondo i tuoi bisogni.

Potrebbe interessarti

Contratti di locazione a canone concordato

Prosegue per tappe l’applicazione della NIS 2

Ultima chiamata per la registrazione sulla Piattaforma della NIS 2