Il seminario operativo ha lo scopo di illustrare concretamente le misure di sicurezza di base a cui si dovranno adeguare entro 18 mesi i soggetti importanti NIS 2 con particolare riferimento a questi due aspetti: la gestione degli incidenti informativi e la gestione della catena di fornitura.

Sarà anche l'occasione per rispondere ad eventuali dubbi relativi all'aggiornamento delle informazioni sul portale ACN che i soggetti Importanti ed essenziali devono fare entro il 31 luglio 2025.  

Ricordiamo, infatti, che entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS, quindi entro il termine di ottobre 2026, dovranno essere adottate le misure di sicurezza previste dalla determinazione ACN 164179 del 14 aprile 2025 (in vigore dallo scorso 30 aprile). Tali misure variano a seconda della classificazione dei soggetti, in particolare:

• i soggetti importanti devono adottare le misure di sicurezza presenti nell’allegato 1 alla determinazione;
• i soggetti essenziali dovranno adottare le misure di sicurezza presenti nell’allegato 2 alla determinazione.

La determinazione definisce, tra le altre cose, gli obblighi di base. Si tratta delle misure minime di sicurezza informatica e i criteri di notifica degli incidenti, che saranno parte integrante delle misure da inserire nel sistema di cybersicurezza del soggetto.

Ad esempio sarà necessario definire una apposita strategia di gestione del rischio e degli incidenti, definire ruoli e responsabilità, la gestione degli asset e degli accessi, formare il personale e gestire il rischio della supply chain, assicurare la sicurezza dei dati e delle piattaforme, etc.