NIS 2: nuova scadenza al 31 luglio 

L’ACN prolunga i tempi per la trasmissione delle informazioni NIS. Ecco spiegato il perché

Proroga NIS 2 al 31 luglio:L’Agenzia per la Cybersicurezza Nazionale ha comunicato che a oggi, circa la metà dei soggetti obbligati ha inserito parzialmente le informazioni richieste per la NIS 2*, mentre oltre mille le hanno già trasmesse all’Autorità nazionale competente.
Il portale dedicato alla compilazione del form presentava alcuni campi poco intuitivi e molte aziende hanno inizIato ad aprire segnalazioni per richiedere chiarimenti.
Un esempio pratico è il campo “spazio di indirizzamento IP e nomi di dominio”, che non permetteva di inserire indirizzi IPv6 (limitazione non esplicitata).

Alla luce di queste criticità, è stato proposto di riservare la proroga al 31 luglio solo a chi avesse segnalato un problema, ma la conseguente ondata richieste ha spinto l’Authority a estenderla a tutte le imprese.

NIS 2, proroga al 31 luglio: come trasformare due mesi extra in un vantaggio concreto

Il rinvio concesso al 31 luglio 2025 diventa un’opportunità, un’occasione per rafforzare davvero la postura di sicurezza, evitando il classico rush finale e il rischio di sanzioni salate.

Perché la proroga è un’opportunità, non una scusa per rimandare

Due mesi in più permettono di:

• consolidare la governance (responsabilità chiare, canali di escalation e reporting);
• potenziare gli strumenti di monitoraggio con log e alert in tempo reale;
• formare il personale, spesso il punto più debole della catena di difesa.

Le minacce non aspettano le scadenze. 
Rimandare decisioni e investimenti ora significa esporsi comunque a un rischio crescente di violazioni e downtime.

Un percorso in tre tappe, semplice e sostenibile

1. Fotografia dello stato attuale
   Mappa i sistemi critici, individua le vulnerabilità e valuta quanto già soddisfi i requisiti NIS 2. Un assessment veloce (interviste, check-list tecnica, review delle policy) fa emergere subito le priorità.
2. Piano strategico
   Trasforma i gap in una roadmap: assegna budget, responsabilità e scadenze intermedie. Piccoli blocchi di lavoro, con delivery settimanali, evitano colli di bottiglia.
3. Implementazione graduale e verifica
   Parti dai controlli ad alto impatto, come backup affidabili, gestione patch, autenticazione forte, e procedi verso quelli complementari.
   Ogni step include test e revisione, così a luglio carichi sul portale dati già validati.

Dove conviene investire subito

• SIEM e threat intelligence per un monitoraggio continuo e contestualizzato degli eventi.
• Soluzioni di incident response automatizzate: playbook pronti riducono i tempi di reazione da ore a minuti.
• Backup e disaster recovery con replica geografica: essenziali per garantire business continuity.
• Automazione dei flussi di sicurezza, così l’IT non affoga negli alert.

Prepararsi al “dopo-proroga”

ACN ha già fatto capire che, finita la proroga, le verifiche verranno effettivamente svolte. Chi avrà sfruttato bene questo periodo si troverà in vantaggio competitivo: potrà dimostrare conformità, affidabilità e potrà proporre servizi più sicuri ai clienti.

Questo rinvio è tempo prezioso che puoi sfruttare per avere un’infrastruttura più resiliente, dipendenti formati e clienti fidelizzati.

* A chi si applica la direttiva NIS 2

La NIS 2 non riguarda tutte le aziende, ma si rivolge in modo specifico a entità medio-grandi con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro, operanti in settori considerati essenziali o importanti per il funzionamento della società.

Tra i settori coinvolti rientrano, ad esempio: energia, sanità, trasporti, infrastrutture digitali, servizi cloud, telecomunicazioni, finanza, pubblica amministrazione e gestione rifiuti.

Sono generalmente escluse le micro e piccole imprese, salvo casi specifici, come:

• attività che svolgono un ruolo critico per la collettività;
• soggetti che fanno parte della supply chain di aziende essenziali (es. fornitori di software, infrastrutture IT, apparati o servizi strategici).

In questi casi, anche un’azienda di dimensioni ridotte potrebbe essere coinvolta e soggetta agli obblighi previsti dalla direttiva.