Il Tavolo per l'attuazione della disciplina NIS, presieduto dal Direttore Generale di ACN-Agenzia per la Cybersicurezza Nazionale, si è riunito per esaminare le specifiche di base per l'adempimento degli obblighi derivanti dalla nuova normativa NIS.
In particolare, sono state esaminate le specifiche di base:
• a carico degli organi di amministrazione e direttivi (ex articolo 23);
• in materia di misure di sicurezza informatica (ex articolo 24), la cui adozione è prevista entro ottobre 2026. Si tratta di implementare 37 misure, declinate in 87 requisiti, per i soggetti importanti sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection. I soggetti essenziali, inoltre, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti;
• in materia di notifica degli incidenti significativi (ex articolo 25). In particolare, sono state definite le fattispecie di incidenti che i soggetti dovranno notificare a partire da gennaio 2026. Anche in questo caso per i soggetti essenziali si tratta di indicazioni più stringenti in quanto essi saranno tenuti a monitorare la ricorrenza di quattro fattispecie a fronte delle tre previste per i soggetti importanti;
• in materia di sicurezza, stabilità e resilienza dei sistemi di nomi di dominio (ex articolo 29), con specifiche modalità definite in relazione alle peculiari caratteristiche di alcune tipologie di soggetto.
Le specifiche di base sono disciplinate dalla determina ACN n. 164179 del 14 aprile 2025 che stabilisce anche la disciplina transitoria per gli operatori dei servizi essenziali, precedentemente sottoposti al decreto legislativo n. 65/2018, e per gli operatori TELCO.
Nel corso della riunione è stato esaminato anche l'elenco dei soggetti NIS in cui sono individuate oltre 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali, sulla base delle informazioni condivise da oltre 30.000 realtà.
Fonte: www.acn.gov.it
