Con la determinazione 164179 del 14 aprile 2025, ACN ha adottato le Specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.
LE SPECIFICHE DI BASE
- Misure di sicurezza di base, a carico degli organi di amministrazione e direttivi e in materia di misure di gestione dei rischi per la sicurezza informatica per i soggetti importanti e essenziali
- Specifiche di base per la notifica degli incidenti per i soggetti importanti e essenziali.
SICUREZZA INFORMATICA E NOTIFICA DEGLI INCIDENTI: COSA PREVEDONO LE SPECIFICHE DI BASE
In materia di misure di sicurezza informatica è prevista l’adozione delle specifiche entro ottobre 2026.
Si tratta di implementare 37 misure, declinate in 87 requisiti, per i soggetti importanti sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection.
I soggetti essenziali, inoltre, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti.
In materia di notifica degli incidenti significativi sono state definite le fattispecie di incidenti che i soggetti dovranno notificare a partire da gennaio 2026. Anche in questo caso per i soggetti essenziali si tratta di
indicazioni più stringenti.
LE PROSSIME SCADENZE
Dal 12 aprile ACN ha comunicato ai soggetti interessati l’inserimento nell’elenco dei soggetti NIS.
Entro il 31 maggio i soggetti NIS sono tenuti ad alcuni adempimenti:
- Designare il sostituto punto di contatto. Il sostituto punto di contatto è una persona fisica, distinta dal punto di contatto dell’organizzazione.
- Fornire e aggiornare le informazioni previste dall’articolo 7, commi 4 e 5, del decreto NIS. In particolare devono essere segnalati i componenti degli organi di amministrazione e direttivi, gli indirizzi IP (pubblici e statici) e i nomi di dominio, in uso o nella disponibilità del soggetto.
