L’Agenzia per la Cybersicurezza Nazionale (ACN) aveva ufficializzato (qui la comunicazione ufficiale) una proroga ad oggi 31 luglio 2025 per la conclusione dell’aggiornamento annuale delle informazioni da parte dei soggetti NIS che hanno richiesto supporto tecnico o operativo. La decisione si inserisce nel percorso graduale di accompagnamento tracciato a partire da ottobre 2024, volto a facilitare l’adeguamento progressivo agli obblighi introdotti dal decreto legislativo 138/2024, che recepisce la Direttiva (UE) 2022/2555, nota come NIS 2. Per approfondire questi temi abbiamo organizzato il corso di formazione Master in Cybersecurity e compliance integrata. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
Indice
- 1. I numeri dell’adeguamento: metà dei soggetti NIS ha già avviato l’iter
- 2. Il contesto normativo: cosa prevede il decreto NIS
- 3. La piattaforma ACN e la Determinazione 136117/2025
- 4. Istruzioni operative per interpretare la decisione dell’ACN
- 5. Verso una nuova cultura della sicurezza digitale
- Formazione per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. I numeri dell’adeguamento: metà dei soggetti NIS ha già avviato l’iter
Secondo quanto comunicato dall’ACN, circa la metà dei soggetti obbligati ha già inserito parte delle informazioni richieste sulla piattaforma digitale e oltre un migliaio ha completato con successo la trasmissione dei dati. La proroga al 31 luglio è riservata esclusivamente ai soggetti che, avendo richiesto assistenza, necessitano di ulteriori approfondimenti tecnici per completare la procedura.
Il termine supplementare consentiva anche una più efficace pianificazione delle sessioni di formazione e informazione rivolte ai membri degli organi di amministrazione e ai direttivi delle entità interessate, come previsto dalla Determinazione ACN n. 136117 del 10 aprile 2025. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Il contesto normativo: cosa prevede il decreto NIS
Il decreto legislativo 138/2024 ha ampliato significativamente il perimetro di applicazione della disciplina NIS, introducendo obblighi di sicurezza per un ampio ventaglio di soggetti sia pubblici che privati, classificati in “essenziali” e “importanti” in base al ruolo strategico e all’impatto potenziale dei loro servizi. Rientrano tra i soggetti obbligati ospedali, banche, operatori energetici, piattaforme digitali, gestori di reti idriche e infrastrutture di telecomunicazione.
Tra gli adempimenti previsti:
- l’adozione di misure di sicurezza proporzionate al rischio;
- la nomina di referenti per la cybersecurity;
- l’aggiornamento annuale delle informazioni trasmesse all’ACN;
- la notifica degli incidenti significativi entro 24 ore.
Proprio quest’ultimo punto rappresenta uno degli obblighi cardine del nuovo assetto normativo: in caso di eventi che impattino significativamente sulla fornitura dei servizi, i soggetti NIS devono informare tempestivamente il CSIRT Italia, con una pre-notifica e successiva relazione dettagliata entro 72 ore.
3. La piattaforma ACN e la Determinazione 136117/2025
La Determinazione ACN n. 136117 delinea i procedimenti di utilizzo e accesso alla piattaforma digitale NIS. In essa sono specificati i passaggi relativi alla designazione dei rappresentanti, al censimento degli utenti e alle modalità con cui devono essere trasmesse e aggiornate annualmente le informazioni. La presa d’atto telematica da parte degli organi direttivi – un adempimento che attesta la consapevolezza e responsabilità rispetto alle attività in corso – potrà essere effettuata anche dopo il termine del 31 luglio.
Il processo di aggiornamento annuale è dunque un tassello chiave della strategia nazionale di cybersicurezza, che intende assicurare un monitoraggio costante della conformità e un dialogo continuo tra autorità competenti e soggetti vigilati.
4. Istruzioni operative per interpretare la decisione dell’ACN
La proroga al 31 luglio 2025 per la conclusione dell’aggiornamento annuale dei dati riguarda esclusivamente i soggetti NIS che hanno formalmente richiesto supporto all’Agenzia per la Cybersicurezza Nazionale. Non si tratta dunque di un’estensione automatica per tutti: chi non ha attivato una richiesta di assistenza è tenuto a rispettare le tempistiche precedentemente comunicate tramite il Portale ACN.
L’indicazione si inserisce nel quadro delineato dalla Determinazione del 10 aprile 2025, che disciplina modalità di accesso, aggiornamento e gestione dei dati attraverso la piattaforma digitale NIS. È fondamentale verificare che la propria posizione sia correttamente censita e che eventuali richieste di supporto siano state tracciate in modo formale all’interno del sistema.
Un altro aspetto importante riguarda la formazione e l’informazione rivolta ai componenti degli organi di amministrazione e direttivi. La comunicazione dell’ACN fa riferimento alla possibilità di pianificare specifiche sessioni informative, ma al momento non è specificato se queste saranno a carico degli enti o direttamente organizzate dall’Agenzia. È dunque consigliabile mantenersi aggiornati sulle istruzioni operative che potrebbero seguire nei prossimi mesi.
Resta infine invariata la scadenza generale di gennaio 2026, legata agli ulteriori adempimenti previsti dal d.lgs. 138/2024. La proroga concessa rappresenta un’opportunità per finalizzare con maggiore accuratezza le attività già avviate, ma non deve essere interpretata come un rinvio generalizzato. È quindi essenziale sfruttare questo tempo aggiuntivo per consolidare i processi, completare la trasmissione delle informazioni e preparare adeguatamente i referenti interni.
Potrebbero interessarti anche:
5. Verso una nuova cultura della sicurezza digitale
La proroga concessa testimonia l’approccio collaborativo dell’ACN, volto a rafforzare la compliance senza compromettere la qualità del processo di adeguamento. Si conferma così la centralità della Direttiva NIS 2 come leva per trasformare la cybersicurezza da obbligo normativo a elemento strategico e integrato nella governance delle organizzazioni.
Nel nuovo quadro delineato, la sicurezza delle reti e dei sistemi informativi non è più un tema riservato agli specialisti IT, ma diventa responsabilità trasversale che coinvolge dirigenti, amministratori e tutti i livelli aziendali. Investire nella sicurezza significa oggi proteggere non solo i dati e le infrastrutture, ma anche la reputazione, la continuità operativa e la fiducia del pubblico. Il tempo supplementare concesso fino al 31 luglio deve quindi essere letto come un’opportunità: per completare l’adeguamento con maggiore consapevolezza, ma anche per sviluppare una resilienza digitale duratura.
Formazione per professionisti
Master in Cybersecurity e compliance integrata
Il Master è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il Master esplora:
• L’evoluzione della strategia europea di cybersicurezza
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori
• Il perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA)
• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa
• Ruoli e poteri dell’ACN: atti attuativi e misure tecniche
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento