Fase 2 del Decreto NIS - Obblighi per le imprese identificate come soggetti NIS

Come già comunicato, alcune categorie di imprese rientrano nell’ambito di applicazione della normativa NIS in materia di cybersicurezza. Per maggiori dettagli sulle imprese coinvolte, rimandiamo ai nostri articoli “Sicurezza informatica, direttiva UE e decreto italiano” e “NIS2, attiva la piattaforma per la registrazione - Unione commercio turismo servizi Alto Adige - Bolzano”.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha concluso la fase di raccolta delle registrazioni alla propria piattaforma. A partire dal 12 aprile 2025, l’ACN ha iniziato a notificare ufficialmente alle imprese interessate se rientrano o meno nell’elenco dei soggetti NIS.

Con l’invio di queste comunicazioni prende avvio la Fase 2 di attuazione del Decreto NIS (D.Lgs. 138/2024), che introduce una serie di obblighi per le imprese identificate come soggetti NIS. Tali adempimenti si articolano su un arco temporale di 18 mesi e comprendono i seguenti punti principali:

1. Registrazione e aggiornamento delle informazioni (art. 7 del Decreto NIS):
Dal 15 aprile al 31 maggio, i soggetti NIS devono fornire e aggiornare i dati richiesti sulla piattaforma ACN, comprese quelli relativi a indirizzi IP e nomi di dominio utilizzati o detenuti. In questa fase va inoltre designato il Sostituto punto di contatto.

2. Designazione delle figure responsabili (art. 23):
Entro ottobre 2026, le imprese dovranno comunicare i nominativi degli organi di amministrazione e direzione, identificati come responsabili della sicurezza informatica.

3. Adozione delle misure di sicurezza (art. 24):
Le misure di cybersicurezza previste dal Decreto dovranno essere implementate entro ottobre 2026.

4. Obblighi di notifica degli incidenti (art. 25):
A partire da gennaio 2026, le imprese dovranno rispettare gli obblighi di notifica in caso di incidenti legati alla sicurezza informatica.

5. Obblighi relativi alla banca dati dei nomi di dominio
Per le imprese appartenenti alle categorie soggette, tali obblighi dovranno essere adempiuti entro ottobre 2026.

6. Categorizzazione di attività e servizi
Dal 2026, ogni anno tra il 1° maggio e il 30 giugno, i soggetti NIS dovranno classificare le proprie attività e servizi.

7. Notifica degli accordi di condivisione delle informazioni
Le imprese devono notificare eventuali accordi volontari di condivisione di informazioni sulla cybersicurezza, stipulati con altri soggetti NIS o fornitori. Gli accordi firmati prima dell’entrata in vigore del Decreto e ancora validi devono essere notificati entro il 31 maggio 2026.

Per ulteriori approfondimenti:
• Determinazione ACN n. 136117 del 10 aprile 2025 (che sostituisce la n. 38565 del 26 novembre 2024)
• Determinazione ACN n. 136118 del 10 aprile 2025
• Determinazione ACN n. 164179 del 14 aprile 2025
• FAQ pubblicate dall’ACN: Domande frequenti NIS - ACN