NIS 2 – Gli obblighi previsti dalla fase di prima applicazione e la registrazione dei nuovi soggetti

Oggi, a nove mesi dall’invio delle comunicazioni di primo inserimento sulla piattaforma ACN (12-13 aprile 2025), è un momento perfetto per fare un check di quanto previsto per la fase di prima applicazione della normativa NIS2.

L’art. 42, comma 1, lett. c) del D.Lgs 138/2024 stabilisce che, sino al 31 dicembre 2025, l’obbligo di notifica degli incidenti (art. 25) va adempiuto entro 9 mesi dalla ricezione della comunicazione di inserimento nell’elenco; mentre gli obblighi di gestione del rischio e della sicurezza (artt. 23, 24 e 29) vanno adempiuti entro 18 mesi dalla medesima comunicazione.

A questo punto, dunque, tutti i soggetti qualificati come importanti ed essenziali da ACN devono essere effettivamente in grado di notificare eventuali incidenti informatici. Non si tratta di un adempimento formale ma di un processo che deve funzionare davvero: ruoli, reperibilità, raccolta evidenze, classificazione dell’evento devono essere già individuati e disciplinati internamento in modo chiaro. In altre parole: la notifica dell’incidente presuppone una catena organizzativa che deve essere già pronta.

Per agevolare questo compito, oltre alle specifiche di base oggi indicate dalla determinazione ACN 379907/2025 (adottata il 19 dicembre 2025 e applicabile dal 15 gennaio 2026), l’Agenzia ha elaborato le “linee guida NIS – Specifiche di base – per la definizione del processo di gestione degli incidenti di sicurezza informatica”, suggerendo così anche un modello di processo di gestione degli incidenti.

Tali documenti consentono anche di allargare lo sguardo verso quelle misure di sicurezza e obblighi settoriali (artt. 23, 24 e 29 D.Lgs. 138/2024), per la cui adozione il Decreto fissa, come ricordato, il termine di 18 mesi dalla ricezione della comunicazione di inserimento.

Diciotto mesi possono sembrare tanti ma, a ben vendere, non c’è tempo da perdere, ove si consideri cosa entra nel perimetro delle misure: governance, politiche, gestione del rischio, continuità, gestione incidenti, controlli tecnici e organizzativi, supply chain, ecc. Non si tratta solo di questioni tecnologiche ma di assetto aziendale.

Infine, per quanto riguarda i soggetti pubblici e privati per i quali i presupposti NIS si sono verificati nel 2025, è opportuno ricordare che dal 1° gennaio al 28 febbraio 2026 è aperta la registrazione 2026 sulla piattaforma ACN, a cui deve far seguito la designazione del punto di contatto.

In questo caso il riferimento operativo è la Determinazione 379887/2025, che indica espressamente modalità, termini e procedimenti della registrazione prevista dall’art. 7 del Decreto.