NIS2: ACN Avvia la Seconda Fase Attuativa con Nuove Determinazioni
09.05.2025 - ASSOCIAZIONE
Il 10 aprile 2025 l'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato tre nuove determinazioni che segnano l’avvio della seconda fase attuativa della direttiva NIS2. Le misure stabilite mirano a rafforzare la sicurezza cibernetica nazionale attraverso una maggiore responsabilizzazione dei soggetti coinvolti, in particolare quelli classificati come “essenziali” e “importanti”.
Una delle determinazioni più significative è la n. 164179, che definisce le misure minime di sicurezza e le modalità per la notifica degli incidenti. Tali obblighi dovranno essere rispettati entro 18 mesi dalla comunicazione ufficiale dell’ACN, mentre le regole relative alla segnalazione degli incidenti dovranno essere applicate entro 9 mesi.
Le misure sono adattate alla tipologia e alla criticità dei soggetti obbligati.
Un cambiamento rilevante introdotto da queste nuove disposizioni riguarda la governance: la responsabilità delle misure di sicurezza ricade direttamente sul Consiglio di Amministrazione e sulla dirigenza delle organizzazioni coinvolte. La cybersicurezza, quindi, non sarà più esclusivamente di competenza tecnica, ma un obbligo gestionale e giuridico ai massimi livelli aziendali.
Inoltre, entro maggio 2025, i soggetti coinvolti devono trasmettere all’ACN un set informativo obbligatorio. Tra i dati richiesti figurano:
- gli indirizzi IP utilizzati
- l’elenco degli Stati membri dell’UE in cui si opera
- il nominativo del responsabile della sicurezza informatica
- i contatti di riferimento.
Questa comunicazione sarà facilitata da una nuova piattaforma online predisposta dall’Agenzia.
L’obiettivo dell’ACN è rendere l’intero ecosistema digitale italiano più resiliente, strutturato e conforme alle direttive europee. I documenti ufficiali e le determinazioni sono consultabili direttamente sul sito dell’Agenzia per la Cybersicurezza Nazionale:
