Recentemente, l’Agenzia per la Cybersicurezza Nazionale ha pubblicato una serie di aggiornamenti fondamentali per i soggetti coinvolti dalla Direttiva NIS 2, tracciando un percorso chiaro per i prossimi due anni. Con la Determinazione n. 136118/2025, si chiariscono infatti gli obblighi informativi e procedurali legati alla sicurezza informatica, evidenziando nel contempo alcune criticità normative, tra cui l’incompatibilità della Legge 90/2024 con il recepimento italiano della direttiva europea. Il quadro aggiornato include la nuova versione 2.1 del Framework nazionale per la Cybersecurity e la Data Protection, atteso da tempo perché adeguato agli standard internazionali come il NIST Cybersecurity Framework 2.0. Tale aggiornamento mette in luce una sovrapposizione con la Legge 90/2024, che anticipa alcuni principi della NIS 2 ma è stata varata prima del decreto legislativo di recepimento (D.Lgs. 138/2024). Tale legge impone obblighi aggiuntivi, spesso non coordinati con quelli della NIS 2, generando ulteriori difficoltà applicative per le organizzazioni coinvolte, specialmente nel settore pubblico.

Uno degli aspetti più delicati trattati nella Determinazione riguarda la condivisione volontaria di informazioni sulla sicurezza informatica. L’art. 17 del D.Lgs. 138/2024, infatti, pur definendo tale scambio come facoltativo, impone di fatto vincoli procedurali e obblighi di notifica che ne complicano l’attuazione. A differenza della Direttiva NIS 2, che intende facilitare lo scambio tra pari la normativa italiana sembra trattare tali informazioni come sensibili e soggette a un controllo rigido da parte dell’autorità: in particolare, i soggetti essenziali e importanti devono notificare all’ACN la loro adesione o uscita da accordi di condivisione informativa, aggiornando tali informazioni entro quattordici giorni da ogni variazione e ciò comporta la necessità di inserire clausole contrattuali specifiche anche nei rapporti con i fornitori, ma solo quando strettamente indispensabile.

Parallelamente, è stato aggiornato anche il sistema di registrazione alla piattaforma ACN. Le organizzazioni devono ora inserire nuovi dati entro il 31 maggio, tra cui gli indirizzi IP pubblici e i nomi di dominio. È stata inoltre introdotta la figura della “segreteria”, pensata per supportare operativamente l’inserimento dei dati, una funzione particolarmente utile nei contesti complessi. Un altro punto critico riguarda l’elenco dei componenti degli organi di amministrazione e direttivi, che dovranno essere identificati chiaramente come soggetti responsabili ai sensi della normativa.

La Determinazione 164179/2025 ha quindi introdotto infine gli obblighi di base per la sicurezza informatica. Questi obblighi, differenziati tra soggetti “essenziali” e “importanti”, sono elencati negli allegati tecnici e rappresentano il riferimento minimo per gli interventi in cybersecurity. Tuttavia, i criteri per la segnalazione degli incidenti risultano ancora poco chiari, con il rischio che anche eventi minori debbano essere notificati. Il focus si concentra su misure formali e strutturali, orientate alla gestione del rischio e alla continuità operativa, piuttosto che su soluzioni tecnologiche specifiche. In definitiva, l’approccio adottato appare coerente con le buone pratiche di settore, ma richiede alle imprese uno sforzo significativo in termini di adeguamento, gestione documentale e coinvolgimento dell’intera struttura organizzativa.

In definitiva, la direttiva NIS 2 rappresenta un passaggio importante verso una maggiore resilienza digitale a livello europeo e le nuove disposizioni rafforzano l’obbligo di prevenzione, gestione e comunicazione degli incidenti, ponendo la sicurezza informatica al centro delle strategie aziendali e istituzionali. Per gli Stati membri, l’attuazione richiederà uno sforzo coordinato e tempestivo, volto a garantire uniformità ed efficacia. Gli enti pubblici ed i soggetti privati dovranno adattarsi rapidamente, trasformando gli obblighi in opportunità. In questo scenario, la consapevolezza e la preparazione sono le vere chiavi per affrontare il futuro.

Visualizzazioni: 1