Pubblicate dall’ACN le nuove FAQ per le notifiche degli incidenti relativi alla Direttiva NIS2, mentre prosegue il percorso di attuazione della disciplina.

L’Agenzia per la Cybersicurezza Nazionale (ANC) ha pubblicato le nuove FAQ in materia di risposte agli incidenti cyber dei soggetti NIS2. Tutto questo rientra all’interno delle fasi di allineamento alla normativa, secondo quanto deliberato.

Si risponde, in particolare, ai quei dubbi di interpretazione sugli “Obblighi in materia di notifica di incidente” al CSIRT Italia di cui l’articolo 25 del Decreto NIS2.

La loro pubblicazione è di estremo interesse e tempismo, in quanto per molti operatori suddetto obbligo diventerà applicabile a partire dal prossimo gennaio.

Gli incidenti di “base”

Tra gli aspetti più importanti (qui la pagina dell’ACN con tutte le FAQ), la dicitura “di base”. L’impiego di tale dicitura indica gli incidenti significativi che i soggetti NIS notificano in fase di prima applicazione ai sensi dell’art. 42 del decreto NIS. Per brevità, ove non si perda di chiarezza, potranno essere indicati anche come “incidenti significativi”.

Ogni incidente significativo ha un suo codice identificativo e dalla descrizione di ciascuna tipologia di incidente. In particolare:

• le prime due fattispecie (IS-1 e IS-2) sono relative, rispettivamente, alle violazioni in termini di riservatezza e di integrità dei servizi e delle attività del soggetto NIS.
• La terza fattispecie (IS-3) è prevalentemente relativa alle violazioni in termini di disponibilità dei servizi e delle attività del soggetto NIS.
• La quarta fattispecie (IS-4) è relativa all’accesso non autorizzato o con abuso dei privilegi concessi.

Linee guida ENISA

L’attuazione della disciplina NIS2 ha seguito le novità introdotte dalla Determina ACN sull’aggiornamento della piattaforma NIS, attraverso l’istituzionalizzazione della figura del referente CSIRT.

Linee guida sono arrivate anche dall’ENISA. L’Agenzia europea ha infatti sostenuto l’attuazione della NIS2 pubblicando orientamenti tecnici pratici per le infrastrutture digitali, la gestione dei servizi ICT e i fornitori di servizi digitali. Gli orientamenti descritti forniscono:

• Consigli pratici.
• Esempi di prove.
• Mappature dei requisiti di sicurezza per aiutare le organizzazioni ad allinearsi agli obblighi dell’UE in materia di sicurezza informatica previsti dal regolamento di esecuzione (UE) 2024/2690.

Le prossime fasi

Fino al 31 dicembre 2025, i punti di contatto NIS potranno procedere alla designazione del referente CSIRT per l’interlocuzione con il CSIRT Italia.

È disponibile, all’interno del Portale dei Servizi, nella funzionalità di “Aggiornamento dati”, una nuova sezione per l’inserimento dei dati del referente CSIRT (codice fiscale e indirizzo di posta elettronica). Present anche la possibilità di inserire i dati degli eventuali suoi sostituti, che il Punto di Contatto potrà compilare.

Per completare la procedura, il Referente CSIRT (e i suoi sostituti) dovrà accedere sul Portale dei Servizi e completare il censimento della propria utenza.

Dal 1° gennaio al 28 febbraio 2026, si apre la registrazione 2026. Proprio in questo periodo i soggetti pubblici e privati (i cui presupposti per l’inserimento nell’ambito di applicazione NIS si sono verificati nel 2025) devono designare il Punto di contatto. Dopodiché, serve la registrazione sul Portale dei Servizi ACN.

Tale obbligo riguarda anche i soggetti NIS già registratisi in piattaforma nel 2025, che devono presentare una nuova dichiarazione 2026, tramite il Portale dei Servizi ACN. In questi termini si confermano o modificano i dati della precedente dichiarazione.

In preparazione a tale attività, in dicembre, non è stato “più possibile trasmettere le dichiarazioni 2025 ai fini della registrazione“.

Per approfondire

• NIS2, le nuove FAQ.
• NIS – Network Information Security.
• Decreto Legislativo 4 settembre 2024, n. 138.
• Portale dei Servizi ACN.

Vai al sito di Cybersecurity Italia.

L'articolo ACN, pubblicate le nuove FAQ per le notifiche incidenti NIS2 sembra essere il primo su CyberSecurity Italia.