| La Determinazione 379907/2025 è un provvedimento che aggiorna e perfeziona le regole operative per la sicurezza digitale di soggetti essenziali e importanti. Il nuovo quadro entrerà ufficialmente in vigore il 15 gennaio 2026, chiudendo la lunga fase transitoria che aveva caratterizzato il 2025. |
Un testo più chiaro per regole più esigenti
La determinazione rivede gli allegati tecnici, cuore del dispositivo normativo, introducendo specifiche più chiare su cosa debbano fare gli operatori per essere conformi. Le modifiche riguardano sia le misure di sicurezza minime, differenziate per soggetti essenziali e importanti, sia i criteri per identificare e classificare gli incidenti significativi, ossia quelli che devono essere notificati al CSIRT. Un altro tassello riguarda la formalizzazione del ruolo del referente CSIRT, figura chiave nel coordinamento delle comunicazioni con l’autorità.
|
Notifiche degli incidenti: si chiude il transitorio
Fino al 14 gennaio 2026 erano valide le vecchie regole sulle notifiche, ancora ereditate dal quadro pre‑NIS2. Ma dal giorno successivo è scattato un regime unico per tutti, con tempistiche e criteri pienamente allineati alla nuova direttiva. Questa uniformazione era attesa da mesi e rappresenta uno dei passaggi più concreti verso un sistema nazionale di rilevazione e gestione degli incidenti più efficiente e comparabile.
|
Focus su rischio, continuità operativa e acquisti software
Tra gli affinamenti più significativi emergono nuovi obblighi operativi:
- un ruolo più centrale per la gestione del rischio cyber, ora esplicitamente richiamata come parte integrante delle responsabilità delle organizzazioni
- aggiornamenti su continuità operativa e disaster recovery, inclusi test obbligatori di ripristino dei backup per i soggetti essenziali
- criteri più rigorosi sugli acquisti software, per prevenire vulnerabilità introdotte da soluzioni non adeguatamente valutate
|
Scadenze confermate
Non cambiano invece le tempistiche di adeguamento già annunciate:
- 18 mesi per completare l’adozione delle misure di sicurezza richieste
- 9 mesi per garantire l’operatività della notifica degli incidenti
Entrambi i conteggi scattano dalla comunicazione di inserimento nell’elenco nazionale NIS. |
|
|
Il pacchetto servizi NIS2 di AptGetDefence può aiutare i tuoi clienti soggetti NIS a rispettare le presrizioni della Direttiva. La proposta si articola nelle opzioni di:
- NIS2_Fase1, che serve a chiarire i dubbi delle aziende sulla NIS2 e guidarle all'iscrizione sul portale ACN (scade il prosssimo 28/02).
- NIS2_Fase2, cheaccompagna il cliente attraverso il percorso completo di adeguamento.
Ed inoltre abbiamo previsto il Servizio Referente CSIRT sia per soggetti importanti che esseniali con l'opzione di copertura H24 e l'impegno aggiuntivo in caso di bata breach.
|
