Le 4 fasi critiche per l’adeguamento NIS2 e Legge 90/2024: la roadmap che devi conoscere

Le scadenze sono individuali e partono dalla comunicazione ACN. Se il tuo ente rientra nel perimetro della Legge 90/2024 o della direttiva NIS2, hai davanti un percorso a tappe obbligate che non puoi permetterti di improvvisare.

La complessità nascosta? Non è solo compilare moduli online. Ogni fase richiede decisioni strategiche, riorganizzazioni interne e competenze specifiche che molti enti non hanno. E le sanzioni per chi sbaglia partono da 200.000 euro.

NIS2 e Legge 90/2024: il percorso completo in quattro fasi

Fase 1: la registrazione al portale acn non è una semplice iscrizione

La registrazione si apre dal 1° gennaio al 28 febbraio di ogni anno. Ma non pensare sia una procedura standard.

Dovrai fornire informazioni dettagliate sulla tua organizzazione, identificare correttamente se sei un soggetto essenziale o importante, mappare tutti i codici ATECO pertinenti e definire con precisione i rapporti con altre entità del gruppo. È fondamentale includere: dati su fatturato e bilancio, numero preciso dei dipendenti, struttura societaria completa, relazioni con imprese collegate o partecipate.

Il nodo più complesso sta nell’identificazione della categoria corretta. Sbagliare la classificazione iniziale significa compromettere tutto il percorso successivo, con conseguenze che si ripercuotono su tutte le fasi seguenti.

Un errore qui costa minimo 200.000 euro di sanzione.

Per i Comuni nel perimetro, la struttura organizzativa spesso complessa rende difficile mappare correttamente tutti i servizi. Le aziende sanitarie pubbliche dovranno considerare sia i servizi sanitari che quelli amministrativi, creando una doppia complessità nella classificazione.

Fase 2: l’aggiornamento annuale e la nomina del punto di contatto

Dal 15 aprile al 31 maggio di ogni anno dovrai aggiornare i dati e, soprattutto, designare formalmente il Punto di Contatto.

Questo ruolo può coincidere con il Referente Cybersicurezza previsto dalla Legge 90, ma attenzione: non è una nomina simbolica. Il Punto di Contatto ha responsabilità personali precise e risponde direttamente agli organi direttivi.

Dovrai anche nominare un Sostituto Punto di Contatto entro il 31 maggio dell’anno in cui ricevi la comunicazione di inserimento nell’elenco NIS.

Va precisato che la designazione richiede una delega formale scritta dal rappresentante legale. Non basta un’email o una comunicazione informale: serve un atto formale che definisca poteri, responsabilità e limiti operativi. Tutti gli organi di amministrazione e direttivi devono essere mappati e i loro codici fiscali comunicati attraverso la piattaforma.

La trappola nascosta? Una nomina fatta male espone sia l’ente che la persona fisica a conseguenze pesanti, incluse responsabilità personali in caso di incidenti non gestiti correttamente.

Fase 3: il sistema di segnalazione incidenti – il vero banco di prova

Hai 9 mesi dalla comunicazione ACN per strutturare un sistema completo di gestione e segnalazione degli incidenti. Per i soggetti già operativi come ex-OSE e operatori telco, l’obbligo parte dal 30 aprile 2025.

Non si tratta di scrivere una procedura e metterla nel cassetto.

Dovrai strutturare un processo che prevede notifica iniziale entro 24 ore dall’incidente, rapporto intermedio entro 72 ore con analisi dettagliata, rapporto finale completo entro 30 giorni. Ma questo è solo l’inizio. Servono template specifici per ogni tipo di incidente (IS-1 per perdita di riservatezza, IS-2 per perdita di integrità, IS-3 per perdita di disponibilità, IS-4 per violazioni di autenticità), procedure alternative quando il portale ACN non funziona, una catena di comando chiarissima con responsabilità definite.

È importante ricordare che dovrai formare tutto il personale coinvolto, non solo i tecnici IT. Chi risponde al telefono alle 3 di notte quando c’è un incidente? Sa cosa dire? Ha il template pronto? Conosce la procedura PEC di emergenza?

Un errore nella segnalazione comporta sanzioni da 250.000 a 1.500.000 euro. E non parliamo solo di errori tecnici: anche un ritardo di poche ore nella notifica iniziale può costare caro.

Il consiglio pratico che emerge dall’esperienza sul campo: prepara un “kit di emergenza incidenti” con tutti i contatti, i template precompilati e le checklist operative. Quando l’incidente arriva, non avrai tempo di cercare informazioni.

Fase 4: il piano di cybersicurezza e l’adeguamento tecnico

Entro 18 mesi dalla comunicazione ACN dovrai implementare un piano completo basato sul framework NIST.

Questo significa strutturare sei aree fondamentali che coprono l’intero ciclo di vita della sicurezza informatica.

• il framework GOVERN richiede la definizione della governance, dei ruoli e delle responsabilità, delle politiche di sicurezza e della gestione della supply chain
• IDENTIFY prevede l’inventario completo di sistemi e dati con valutazione dei rischi
• PROTECT stabilisce le misure di protezione concrete
• DETECT definisce il monitoraggio continuo
• RESPOND struttura la risposta agli incidenti
• RECOVER pianifica il ripristino e la continuità operativa

Comprensibilmente, molti enti si spaventano di fronte a questa complessità.

Stiamo parlando di 30 requisiti ACN principali suddivisi in oltre 300 controlli specifici. Ogni elemento deve essere documentato, tracciabile, aggiornabile e soprattutto integrato con i processi esistenti dell’ente.

Non è un documento da produrre e archiviare. È un sistema vivo che deve integrarsi con tutti i processi aziendali, dalla gestione del personale agli acquisti, dalla manutenzione dei sistemi alla formazione continua.
cosa succede se scegli le alternative sbagliate

Il “fai da te” interno sembra la soluzione più economica, ma ti espone a interpretazioni errate della normativa.

Hai letto le 14 pagine della Determinazione ACN 136117/2025? E gli allegati tecnici? E le successive integrazioni?

I consulenti frammentati, quelli che ti vendono un pezzo di soluzione alla volta, ti lasciano con documenti che non si parlano tra loro.

Il template per gli incidenti non è allineato con il piano di cybersicurezza. Le procedure operative contraddicono le policy.

Il risultato? Nel momento del bisogno, nessuno sa cosa fare davvero.

Non fare nulla sperando di passare inosservato?

Oltre alle sanzioni milionarie e alle responsabilità personali per dirigenti e amministratori, rischi il blocco operativo dei servizi essenziali. Immagina di non poter più erogare servizi digitali ai cittadini perché l’ACN ha rilevato inadempienza grave. Il danno reputazionale sarebbe irreparabile.

NIS2 e Legge 90/2024: la strada da percorrere adesso

Il percorso di adeguamento alla NIS2 e alla Legge 90/2024 non è una corsa contro il tempo, ma una maratona che richiede preparazione, metodo e supporto specializzato.

La regola d’oro è partire subito con una valutazione realistica della situazione del tuo ente.

Dove ti trovi oggi? Quali competenze hai internamente? Quanto tempo puoi dedicare realisticamente a questo progetto?

Vale la pena precisare che non si tratta solo di conformità normativa. Un sistema di cybersicurezza ben strutturato protegge davvero il tuo ente, migliora l’efficienza operativa e aumenta la fiducia dei cittadini nei servizi digitali che eroghi.

Con il nostro supporto hai la possibilità di trasformare questa complessità normativa in processi chiari e gestibili.

Puoi scaricare la presentazione da qui: Supporto ScuDoc – Brochure di presentazione

Template testati su decine di enti, procedure validate dall’esperienza sul campo, un sistema documentale che dialoga perfettamente con i portali ACN.

La tranquillità di sapere che quando arriverà un incidente alle 3 di notte, avrai già tutto pronto: la procedura chiara, il template compilabile, la certezza di essere compliant.

Non si tratta di scegliere la soluzione più economica, ma quella che ti garantisce di dormire sonni tranquilli sapendo che il tuo ente è protetto e conforme.

Perché quando arriva quella comunicazione ACN, il cronometro parte. E non puoi permetterti di perdere tempo a capire cosa fare.

Se hai dubbi, puoi prenotare una telefonata di 30 minuti gratuita e senza impegno qui: Contatti

 

Vuoi rimanere aggiornato sulle notizie legate al tema della cybersicurezza per la PA?