L’ACN concede più tempo per completare l’aggiornamento annuale delle informazioni previste dalla direttiva NIS2. In un primo momento sembrava che la proroga fosse limitata solo alle organizzazioni che hanno richiesto assistenza poi invece il posticipo è stato allargato a tutti. Una decisione che risponde alle difficoltà operative di molte imprese e che deve trasformarsi in un’opportunità per rafforzare la sicurezza, non in un alibi per rimandare
La nota, pubblicata sul sito dell’ACN, è scarna, ma dirimente.
“I soggetti NIS, che hanno richiesto supporto per la finalizzazione dell’aggiornamento annuale dei dati, potranno concludere tale procedura entro il 31 luglio”, si legge in un primo comunicato, poi aggiornato con apertura della proroga a tutti i soggetti.
L’Agenzia per la Cybersicurezza Nazionale (ACN) accorda dunque una proroga, al prossimo 31 luglio, per il completamento dell’aggiornamento annuale delle informazioni da parte dei soggetti obbligati NIS2.
Con un limite chiaro.
La proroga è stata dunque concessa in un primo tempo solo ai soli soggetti che hanno avviato una richiesta di supporto ma poi a allargata a tutti.
La decisione e questa progressione è di fatto una risposta concreta alle difficoltà manifestate da numerose organizzazioni italiane nell’adeguarsi ai requisiti della direttiva NIS2.
Ed è di nuovo l’ACN a chiarire il punto precisando che “Ad oggi, circa la metà dei soggetti NIS ha inserito una parte delle informazioni richieste e oltre mille le hanno già trasmesse all’Autorità nazionale competente NIS”.
La proroga, scrive ancora l’Agenzia, è concessa “in linea con il percorso graduale e di ascolto, delineato a partire da ottobre 2024” e consentirà la pianificazione di sessioni informative rivolte agli organi di amministrazione e direzione.
ACN precisa, inoltre, che “la presa d’atto telematica prevista dall’articolo 16 della Determinazione n. 136117 del 10 aprile u.s. potrà essere effettuata anche successivamente al termine del 31 luglio”.
[Preoccupato per la NIS2 e la compliance della tua azienda? Scopri come e cosa fare nella guida esclusiva sviluppata dai talenti e dagli esperti di Lan Service Group. Qui tutti i dettagli]
NIS 2: Una proroga necessaria
Come detto, ACN ha di fatto preso atto di come la complessità degli adempimenti richiesti impatti sulle organizzazioni meno strutturate dal punto di vista cyber, che devono pianificare investimenti in termini di tecnologia, formazione e governance.
Appare dunque chiaro che l’estensione dei termini possa e debba rappresentare per le imprese non un semplice sollievo, bensì una opportunità per agire con maggiore consapevolezza e metodo.
Lo ricorda anche Assolombarda sul suo sito, segnalando gli adempimenti richiesti dalla normativa.
In particolare, sottolinea come l’aggiornamento annuale delle informazioni, previsto dall’articolo 7 (commi 4 e 5) del decreto NIS e disciplinato dall’articolo 15 della Determinazione ACN n. 136117/2025, prevede una serie di adempimenti specifici. Tra questi:
- Designazione del sostituto punto di contatto, ove non già indicato.
- Verifica e aggiornamento dei dati anagrafici e di contatto del soggetto NIS, che comprendono: codice fiscale, denominazione, sede legale, rappresentante legale, elenco dei procuratori generali, numeri di telefono, domicilio digitale e indirizzo email funzionale.
- Indicazione dei componenti degli organi di amministrazione e direzione, ovvero le persone fisiche responsabili ai sensi dell’articolo 38, comma 5, del decreto NIS.
- Eventuale coinvolgimento della segreteria, se ritenuto opportuno.
- Elenco dei servizi ricadenti nell’ambito della direttiva 2022/2555, con l’indicazione degli Stati membri dell’UE in cui tali servizi vengono erogati.
- Inserimento degli indirizzi IP statici (pubblici) e dei nomi di dominio in uso o nella disponibilità del soggetto NIS.
- Elencazione di eventuali accordi di condivisione delle informazioni con soggetti terzi.
Infine, sia il punto di contatto che il sostituto dovranno controllare l’esattezza dei propri dati identificativi e di contatto. Se è stata conferita una delega dal rappresentante legale, è necessario verificarne la validità, l’aggiornamento e la conformità alle disposizioni dell’articolo 4 della stessa determinazione.
[Preoccupato per la NIS2 e la compliance della tua azienda? Scopri come e cosa fare nella guida esclusiva sviluppata dai talenti e dagli esperti di Lan Service Group. Qui tutti i dettagli]
Proroga NIS2, un’opportunità non un alibi
Ecco allora che il tempo supplementare concesso dall’ACN rappresenta un’occasione preziosa per rafforzare la mappatura dei sistemi critici e delle relative vulnerabilità, rivedere e consolidare i dati anagrafici e organizzativi richiesti dal decreto NIS e dalla determinazione ACN, e coinvolgere in modo strutturato i componenti chiave della governance aziendale, come indicato nelle comunicazioni ufficiali dell’Agenzia.
Parallelamente, le organizzazioni dovrebbero cogliere l’opportunità per investire in soluzioni concrete e funzionali alla compliance: sistemi SIEM per garantire un monitoraggio continuo degli eventi di sicurezza, strumenti evoluti per la gestione degli incidenti e per il backup e il disaster recovery, oltre a tecnologie di automazione in grado di supportare in tempo reale l’analisi e la risposta agli alert generati dai moderni sistemi di sicurezza.
Il punto da tener presente è che le minacce cyber non attendono scadenze amministrative, e ogni ritardo nell’adozione di misure adeguate può esporre l’organizzazione a conseguenze gravi, anche in termini reputazionali.
LEGGI ANCHE: NIS2 cos’è, quando è entrata in vigore e a che punto siamo
