Con la presente rammentiamo le prossime scadenze del percorso di adeguamento al D.lgs. 138/2024 (c.d. Decreto NIS) e portiamo in evidenza le ultime Determinazioni emesse dall’Agenzia per la Cybersicurezza Nazionale (c.d. ACN).
In primo luogo, nel corso del corrente mese di gennaio 2026 scadrà il termine di 9 mesi per l’adozione della procedura di notifica degli incidenti significativi di base prevista dall’art. 25 del Decreto NIS e – più nello specifico – dalla Determinazione ACN 379907/2025 del 19.12.2025.
In particolare, il predetto termine di 9 mesi decorre a partire dalla ricezione da parte delle imprese interessate della comunicazione di inserimento nell’elenco dei soggetti c.d. “essenziali o importanti” dell’ACN, inviata indicativamente nel mese di aprile 2025.
Per l’implementazione della suddetta procedura l’ACN, in data 31.12.2025, ha pubblicato delle Linee Guida ufficiali, contenenti un modello per il processo di gestione degli incidenti.
– Linee Guida: Linee guida NIS – Specifiche di base – Definizione del processo di gestione degli incidenti di sicurezza informatica
– Guida alla lettura delle specifiche di base (valida anche per le misure di sicurezza di base di cui sotto): Guida alla lettura
Altra importante scadenza ricorrerà indicativamente nel mese di ottobre 2026, ossia decorsi 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti c.d. “essenziali o importanti”, entro il quale le imprese interessate dovranno completare l’adozione delle misure di sicurezza ai sensi degli artt. 23 e 24 del Decreto NIS e – più nello specifico – dalla Determinazione ACN 379907/2025 del 19.12.2025.