Le Nostre News

NIS2: sei davvero in regola con la nuova fase? Ecco cosa ti serve sapere

Dal 12 aprile 2025 è partita la seconda fase con notifiche e registrazioni per oltre 20.000 organizzazioni: scopri cosa prevede la normativa e come adeguarti con il supporto di Gendata.

Coltiviamo conoscenza, ispirazione ed innovazione

Contesto normativo e ambito di applicazione

Con il Decreto Legislativo 4 settembre 2024, n. 138, l’Italia ha recepito la direttiva UE 2022/2555 (NIS2), in vigore dal 16 ottobre 2024. Il decreto amplia l'applicazione normativa a 18 settori (11 altamente critici + 7 critici), interessando oltre 80 tipologie di operatori tra pubblici e privati, incluse molte pubbliche amministrazioni.

Le organizzazioni vengono classificate come “soggetti essenziali” o “soggetti importanti” in base al criterio dimensionale e settoriale (“size-cap rule”).

📌 (Fonte: https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)


Avvio della seconda fase: notifiche e registrazioni

Dal 12 aprile 2025, l’ACN (Agenzia per la Cybersicurezza Nazionale) ha iniziato a comunicare ai soggetti interessati, tramite piattaforma, l’inclusione nell’elenco dei soggetti NIS: in gioco ci sono oltre 20.000 organizzazioni, di cui oltre 5.000 essenziali. La riunione del 10 aprile 2025 ha segnato il passaggio alla seconda fase, che si sviluppa fino al 2026.

📌 (Fonte: https://www.acn.gov.it/portale/w/nis-avviata-la-seconda-fase)


Misure di sicurezza e notifiche di base: tempi e modalità 

La Determina ACN n. 164179 del 14 aprile 2025 definisce le “specifiche di base” per i soggetti NIS in fase di prima applicazione.

  • Notifiche di incidente: da attuare entro 9 mesi dalla data di consolidamento dell’elenco NIS (presumibilmente fine marzo 2025).
  • Misure di sicurezza informatica: da completare entro 18 mesi dalla stessa data.

Le misure di base per

  • i soggetti importanti sono contenute nell’allegato 1;
  • i soggetti essenziali nell’allegato 2 della stessa determina.

Tra gli obblighi previsti rientrano:

  • gestione del rischio (art. 24),
  • notifiche di incidente (art. 25),
  • responsabilità degli organi direttivi (art. 23),
  • sicurezza, stabilità e resilienza per domini (art. 29).

📌 (Fonte: determina ACN n. 164179 del 14 aprile 2025)


Perché è fondamentale adeguarsi

La NIS2 non è solo burocrazia: il mancato rispetto delle scadenze può avere conseguenze pesanti.

  • Il mancato adempimento della registrazione (art. 7) può comportare sanzioni fino allo 0,1 % del fatturato annuo mondiale.
  • L’approccio graduale e proporzionato permette un adeguamento sostenibile, per evitare impatti operativi rilevanti.
  • Il rafforzamento della cybersicurezza nazionale passa anche attraverso la cooperazione intra-settoriale e europea (EU‑CyCLONe, Gruppo Cooperazione NIS…).

Raccomandazioni operative

  1. Completa l’aggiornamento annuale entro il 31 maggio (o, eventualmente, entro il 31 luglio se supportato).
  2. Designa e documenta il punto di contatto e il suo sostituto, includi i nominativi degli organi direttivi, IP pubblici e domini.
  3. Pianifica l’implementazione delle notifiche entro 9 mesi da consolidamento (entro fine 2025), e delle misure entro 18 mesi (entro ottobre 2026).
  4. Categorizza i sistemi IT nel 2026 per adeguare livelli di sicurezza sulla base del rischio reale (art. 30).


Linee guida ACN disponibili


L’ACN ha pubblicato le Linee guida – Specifiche di base che dettagliano obblighi, misure di sicurezza e modalità applicative per soggetti essenziali e importanti. Si tratta del documento di riferimento ufficiale per interpretare correttamente la NIS2 nella fase attuale.

📌 (Fonte: https://www.acn.gov.it/portale/documents/20119/56212/Guida+alla+lettura+Specifiche+di+base.pdf/9d89bc56-2eb2-8f6d-9a2e-3e78b4219d4b?t=1756978139752)


🚀 Evolve NIS2: il supporto Gendata

La seconda fase della NIS2 è un passaggio cruciale: organizzazioni pubbliche e private devono registrarsi, aggiornare i dati e programmare interventi concreti.

Per aiutarti in questo percorso, Gendata ha creato Evolve NIS2, il servizio pensato per supportare le aziende nell’applicazione delle misure previste per i soggetti importanti ed essenziali.

Con Evolve Nis2 ti offriamo:

✅ Un’analisi sistematica del livello di implementazione delle misure richieste.

✅ Una roadmap personalizzata per adeguarti progressivamente alle scadenze, comprese quelle legate alle notifiche di incidenti significativi.

✅ Supporto nella produzione della documentazione chiave e nella gestione del progetto, con un team multidisciplinare dedicato e riunioni SAL mensili per monitorare i progressi.

(Per maggiori informazioni 👉🏻https://www.gendata.it/evolve)

Conclusione

La NIS2 non è più un orizzonte lontano: le prime scadenze sono già realtà.
Il tempo stringe: sei sicuro che la tua organizzazione sia davvero in regola?

👉 Vuoi capire se sei coinvolto e cosa ti manca per la piena conformità?

Compila il forum "Entra in Contatto" per ricevere maggiori informazioni a riguardo.


Fonti principali: acn.gov.it

  • ACN, “NIS, avviata la seconda fase” (comunicazione ACN 12 apr 2025)
  • ACN, “Normativa – decreto legislativo 138/2024”
  • ACN, “Modalità e specifiche di base” e "Obblighi di base"