Le scadenze imposte dalla Direttiva NIS 2 sono strutturate per garantire l’adeguamento graduale e proporzionato dei soggetti coinvolti. Si riporta di seguito un riepilogo dei principali termini temporali previsti:

• Il 17 gennaio 2025 rappresentava la scadenza, stabilita dall’articolo 42 del D.Lgs. 138/2024, per la registrazione sulla piattaforma digitale ACN dei seguenti fornitori di servizi: fornitori di servizi di sistema dei nomi di dominio; gestori di registri dei nomi di dominio di primo livello; fornitori di servizi di registrazione dei nomi di dominio; fornitori di servizi di cloud computing; fornitori di servizi di data center; fornitori di reti di distribuzione dei contenuti; fornitori di servizi gestiti; fornitori di servizi di sicurezza gestiti; fornitori di mercati online; fornitori di motori di ricerca online; fornitori di piattaforme di servizi di social network;

• il termine ultimo per la registrazione sulla piattaforma ACN per tutti gli altri soggetti che

  rientrano nell’ambito di applicazione del decreto è fissato al 28 febbraio 2025;

• entro il 31 marzo 2025, l'Agenzia per la Cybersicurezza Nazionale (ACN), basandosi sulle

  registrazioni effettuate, avrà costituito l'elenco dei soggetti essenziali e importanti;

• l'Autorità nazionale competente NIS comunica ai soggetti, entro metà aprile 2025, l'inclusione o meno nell'elenco dei soggetti NIS e adotta gli obblighi di base in materia di sicurezza informatica e notifica di incidenti;

• entro metà maggio 2025 i soggetti che hanno ricevuto la notifica di inclusione nell'elenco dei soggetti essenziali o importanti devono comunicare e aggiornare tempestivamente (i.e. non oltre 14 giorni) qualsiasi modifica delle informazioni trasmesse, tramite la piattaforma ACN;

• i soggetti NIS devono adempiere agli obblighi di base in materia di notifica di incidenti entro gennaio 2026, ovvero entro 9 mesi dalla ricezione della notifica di inclusione nell'elenco dei soggetti NIS;

• infine, entro ottobre 2026 (18 mesi dalla ricezione della notifica di inclusione nell'elenco), i

  soggetti NIS devono adempiere agli obblighi di base in materia di sicurezza informatica.

Scadenze annuali ricorrenti

• Dal 1° gennaio al 28 febbraio di ogni anno – ad eccezione del termine previsto per il 17 gennaio 2025 – i soggetti di cui all'articolo 3 del D.Lgs. 138/2024 devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale dell'ACN, fornendo o aggiornando almeno le seguenti informazioni: «la ragione sociale; l'indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono; la designazione di un punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi email e i numeri di telefono; ove applicabile, i pertinenti settori, sottosettori e tipologie di

  soggetto di cui agli allegati I, II, III e IV»;

• entro il 31 marzo di ogni anno l'ACN redige l'elenco dei soggetti essenziali e importanti;

• Secondo l'articolo 30, comma 1, del D.Lgs. 138/2024, dal 1° maggio al 30 giugno di ogni anno, dalla prima comunicazione di inserimento nell'elenco dei soggetti NIS, i soggetti essenziali e importanti devono comunicare e aggiornare, tramite la piattaforma digitale, «un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza».

Tutti questi temi verranno trattati, con esperti della materia, durante il Data Protection Forum 2025 il prossimo 06 giugno 2025 all'Auditorium Appiani di Treviso.

Non perderti l'evento e clicca subito sul pulsante qui sotto per iscriverti!

La partecipazione è gratuita, previa iscrizione e fino ad esaurimento dei posti!