Nel mese di aprile 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato tre determinazioni fondamentali che avranno un impatto diretto su enti pubblici, aziende strategiche e operatori di servizi essenziali e importanti, in linea con quanto previsto dalla direttiva NIS2.
Di seguito un riepilogo delle principali novità:
Determinazione n. 136117/2025 – Gestione della piattaforma NIS (link)
Stabilisce le modalità di interazione con la piattaforma digitale NIS e prevede:
- Obbligo di designare un punto di contatto e un sostituto con competenze in sicurezza;
- Aggiornamento annuale (15 aprile - 31 maggio) dei dati critici, come IP, domini, Paesi UE serviti, responsabili interni;
- Trasmissione dell’elenco degli accordi informativi in formato strutturato.
Determinazione n. 136118/2025 – Accordi volontari di condivisione delle informazioni (link)
Introduce la possibilità di sottoscrivere accordi per la condivisione di informazioni su sicurezza, vulnerabilità e buone pratiche.
- Gli accordi vanno notificati entro 14 giorni dalla sottoscrizione, modifica o cessazione;
- Entro il 31 maggio 2026 dovranno essere notificati anche gli accordi preesistenti;
- Conferma annuale degli accordi attivi (15 aprile - 31 maggio).
Determinazione n. 164179/2025 – Misure di sicurezza e notifica incidenti (link)
Stabilisce requisiti minimi di sicurezza e criteri per la notifica di incidenti:
- Introduzione di misure tecniche e organizzative secondo il Framework Nazionale per la Cybersecurity 2025;
- Adozione entro 18 mesi delle misure di sicurezza di base e recepimento degli obblighi di notifica entro 9 mesi;
- Specifiche soglie per la notifica degli incidenti, in particolare per gli operatori telco.
L'ACN ha messo a disposizione una check-list in formato Excel, basata sul Framework Nazionale 2025, per supportare i soggetti essenziali e importanti nel monitoraggio e adeguamento delle misure di sicurezza (Nella sezione Modalità e specifiche di base presente nel portale dell'ACN).
Invitiamo tutti i soggetti potenzialmente coinvolti a valutare con attenzione queste determinazioni e ad avviare le opportune attività di compliance, anche con il supporto dei propri responsabili della sicurezza e referenti NIS.