Come tutti i 17 Stati membri dell’UE, anche l’Italia sta lavorando intensamente per recepire le misure introdotte dalla Direttiva NIS2.
Direttiva NIS2 in 3 minuti: tutto quello che devi sapere
Con la chiusura del periodo di registrazione esteso al 31 luglio 2025, le organizzazioni hanno superato il primo checkpoint: l’aggiornamento dei dati sul portale ACN.
Sono stati trasmessi i dati aziendali, i punti di contatto e le informazioni tecniche (domini e indirizzi IP).
Secondo l’Agenzia per la Cybersicurezza Nazionale (ACN), 30.000 entità hanno inviato le informazioni richieste. Tra queste, 20.000 – inclusi oltre 5.000 operatori essenziali – hanno ottenuto l’autorizzazione alla conformità.
Oggi
Le entità idonee stanno ricevendo notifiche via e-mail o tramite il portale ACN che confermano la loro classificazione come essenziali o importanti.
Da questo momento, le organizzazioni hanno circa 9 mesi per affrontare il “prossimo passo”:
- definire i propri servizi;
- garantire la capacità di gestire l’Obbligo di Notifica degli Incidenti, ossia rilevare, segnalare e rispondere agli incidenti in modo adeguato al livello di rischio.
In questa fase, le organizzazioni dovranno rendere trasparente la propria catena di fornitura di sicurezza, adottando procedure efficaci per: governare, identificare, proteggere/rilevare, rispondere e ripristinare.
Tra le attività chiave:
- analisi e mappatura dei sistemi/servizi ICT,
- allineamento con stakeholder e terze parti,
- definizione di policy,
- formazione del personale.
Tutto ciò copre le aree centrali della direttiva:
- Gerarchia organizzativa
• Gestione del rischio
• Gestione dei fornitori
• Continuità operativa
• Gestione delle risorse umane
• Gestione degli asset
• Gestione degli incidenti
• Ciclo di vita delle applicazioni IT
• Automazione dei processi
Per supportare le aziende, ACN ha pubblicato la guida pratica “Linee Guida NIS – Specifiche di base: Guida alla lettura”, che chiarisce le modalità di conformità agli articoli 23, 24 e 25 del decreto NIS.
🔗 [ACN – Linee Guida NIS Specifiche di base]
Azione
La direttiva non è più un concetto astratto: oggi richiede analisi, pianificazione e investimenti concreti.
Per molte organizzazioni si tratta del primo approccio a obblighi strutturati di cybersecurity. Per altre – in particolare le PMI inserite nella supply chain di grandi player – può sembrare di essere trascinate in un sistema normativo inaspettato.
In questi casi, la consulenza specializzata diventa uno strumento strategico per assicurare efficienza e risultati.
In SORINT crediamo che agire con tempestività sia il modo migliore per trasformare la conformità in valore tecnico e aziendale, considerando che il tempo è la variabile critica.
Dopo gennaio 2026
Entro ottobre 2026, le organizzazioni dovranno adottare il Quadro Nazionale ampliato per la Cybersecurity e la Protezione dei Dati, che introduce 43 misure di sicurezza e 116 requisiti dettagliati.
Le scadenze sono ravvicinate e sfidanti, ma il percorso è chiaro:
- rafforzare la difesa,
- condividere la responsabilità,
- costruire una nuova base di resilienza per i servizi digitali.
👉 Per ogni ulteriore aggiornamento, l’ACN rimane la fonte ufficiale di riferimento.