Da alcuni giorni i soggetti NIS 2 stanno ricevendo una comunicazione dall’Agenzia per la Cybersicurezza Nazionale (ACN) circa il differimento dei termini degli adempimenti. Nel dettaglio, a fronte della prima scadenza che era il 31 maggio 2025, la stessa è stata spostata al 31 luglio 2025.
Nuove tempistiche per i soggetti NIS 2
Da alcuni giorni, i soggetti NIS 2 hanno ricevuto, per mezzo PEC, una comunicazione formale dell’Agenzia per la Cybersicurezza Nazionale (ACN) circa i termini degli adempimenti. Nel dettaglio, quelli che riguardano i termini per l’aggiornamento annuale delle informazioni, secondo il Decreto NIS.
Se, infatti, prima l’ultima data valida era quella del 31 Maggio 2025, questa è passata al 31 Luglio prossimi. Non sarà comunque necessario inviare delle specifiche segnalazioni all’Agenzia per utilizzare i nuovi termini temporali dell’adempimento. Così operando, si è scelta una via più razionale, evitando rallentamenti.
Contestualmente, poi, si è ribadito come anche nella comunicazione ogni confronto con l’ACN dovrà avvenire in maniera prioritaria con il ‘Service Desk’ della piattaforma. In un’ottica sistemica, questi attori saranno più affidabili, anche in rapporto alle varie minacce cyber.
I riferimenti normativi
Il quadro di riferimento giuridico è costruito in relazione alle norme comunitarie. Con il Decreto Legislativo 4 settembre 2024, n. 138, l’Italia ha infatti recepito nell’ordinamento nazionale la Direttiva (UE) 2022/2555 (NIS2).
L’atto, relativo a tutte quelle misure vertenti un livello comune elevato di sicurezza informatica nell’Unione, ha abrogato la precedente Direttiva NIS del 2016. In quanto Direttiva – da implementare all’interno di ciascuno Stato – il ‘Sistema Paese’ Italia si è dovuto confrontare con degli obblighi. Quelli in capo agli operatori di servizi essenziali (OSE) e ai fornitori di servizi digitali (FSD).
Nella misura in cui i cambiamenti strutturali andranno ad agire direttamente sulle catene del valore – nazionali ed europee – si è stabilito un crono programma, partendo dalla prima fase attuativa.
Il valore del cambiamento
L’adeguamento alla Direttiva NIS2 dei soggetti “essenziali” e “importanti” è avvenuto sotto l’egida e i riferimenti dell’Agenzia per la Cybersicurezza Nazionale (ACN). Al netto dello spostamento delle tempistiche, si sono elaborate ed affermate tutta una serie di prescrizioni da rispettare.
Da questo punto di vista, la traduzione italiana della Direttiva è avvenuta in una cornice in cui l’Autorità nazionale competente NIS stabilisce obblighi proporzionati. Ovviamente, tenendo debitamente conto del grado di esposizione dei soggetti di merito ai rischi.
E insieme, delle loro dimensioni e della probabilità che si possano verificare degli incidenti. Tutto questo va considerato nell’ottica di una connessione e di una relazione di tutte le problematiche e del loro impatto sociale ed economico.
Le misure specifiche
Come da normativa e da direttive dell’ACN, ai sensi degli articoli 23, 24, 25, 29 e 32 del “Decreto NIS” (Decreto Legislativo 4 settembre 2024, n. 138) valgono delle specifiche di base da rispettare.
In origine, si erano stabiliti diciotto i mesi di tempo dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, all’interno di un preciso ambito operativo. Da qui, i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione che si devono adeguare alle previsioni su “Sicurezza, stabilità e resilienza dei sistemi di nomi di dominio“.
Per gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica, i ‘soggetti importanti’ devono adempire alle fattispecie di cui agli articoli 23 e 24. I ‘soggetti essenziali’ – sempre ex artt. 23 e 24 – troveranno le specifiche di base nel medesimo articolato. Si aggiunga anche l’implementazione degli allegati 3 e 4, sempre con riferimento all’articolo 25.
