Marco Gemo di Ecocerved ha assistito e mi ha mandato la sintesi dell'incontro organizzato dal Clusit con ACN il 3 dicembre 2025.

Io lo ringrazio e ne faccio un'ulteriore sintesi:

- ACN conferma il proprio approccio prevalentemente collaborativo e non sanzionatorio; l'approccio sanzionatorio sarà graduale, prima con intimazioni e diffide, riservando le sanzioni ai casi di inadempienza persistente;

- sono ricordate le responsabilità degli Organi amministrativi: l'approvazione dei piani di sicurezza, l'allocazione di budget adeguato e la supervisione sull'implementazione (per garantirne la consapevolezza, i membri degli organi direttivi devono registrarsi personalmente sulla piattaforma);

- i fornitori di servizi ICT infragruppo possono rientrare nell'ambito di applicazione della NIS 2 (non rientra una capogruppo che si limita ad acquistare licenze o servizi da un fornitore terzo e a distribuirli; rientra una capogruppo che eroga i servizi in prima persona);

- i soggetti già registrati nel 2025 sono invitati a rinnovare la propria iscrizione a partire da gennaio 2026, senza attendere la scadenza; la finestra di gennaio 2026 è aperta anche per i nuovi soggetti i cui presupposti per l'obbligo si sono manifestati nel corso del 2025; per chi non si è ancora registrato, il messaggio è "meglio prima che mai e, soprattutto, meglio prima rispetto a quando poi li potremmo scovare noi";

- il CSIRT fornisce un supporto operativo gratuito per la gestione e la mitigazione degli incidenti; la sua funzione è nettamente separata da quella ispettiva e sanzionatoria;

- i soggetti che rientrano nel regolamento DORA devono comunque registrarsi sulla piattaforma NIS;

- l'implementazione delle misure di sicurezza di base è richiesta entro ottobre 2026; è avviata la definizione di misure di sicurezza più incisive e potenzialmente diversificate per settore, garantendo un adeguato lasso di tempo per la loro implementazione;

- il Referente CSIRT deve essere una figura tecnica, in grado di parlare la lingua degli analisti dello CSIRT (IOC, log, exploit, etc.); è suggerita la nomina di sostituti per garantire la tempestività;

- soggetti PSNC (Perimetro): per gli asset conferiti nel perimetro, continuano a seguire le regole di notifica del PSNC; per tutto ciò che è fuori dal perimetro, devono applicare la tassonomia e le regole di notifica della NIS 2;

- Legge 90: per superare il rischio di una duplicazione degli oneri di notifica, la strategia di ACN è di allineare la tassonomia degli incidenti della Legge 90 a quella della NIS 2.