Cybersecurity: avviata la procedura TRIS sullo schema di determinazione ACN per l’attuazione della Direttiva NIS 2

3 Settembre 2025

Avviata la procedura TRIS relativamente allo schema di determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale volto a stabilire i metodi e le specifiche di base per adempiere agli obblighi previsti dalla Direttiva NIS 2.

Lo schema di provvedimento stabilisce i metodi e le specifiche di base per garantire la sicurezza dei sistemi di rete e di informazione delle entità NIS, intesa come la capacità dei sistemi di rete e di informazione di resistere, con un certo livello di affidabilità, a eventi che possano compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati memorizzati, trasmessi o trattati o dei servizi offerti o accessibili tramite tali reti e sistemi di informazione. In particolare:

  • introduce gli allegati tecnici (misure minime di sicurezza per entità importanti ed essenziali e incidenti significativi di base per entità importanti ed essenziali)
  • stabilisce che il termine per l’adozione delle misure di sicurezza di base è fissato a 18 mesi dalla ricezione da parte del soggetto NIS della comunicazione di inserimento nell’elenco dei soggetti NIS e che il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base è fissato a 9 mesi dalla ricezione da parte del soggetto NIS della comunicazione di inserimento nell’elenco dei soggetti NIS
  • si stabilisce l’avvio dell’obbligo di notifica degli incidenti per i soggetti inclusi nel Perimetro Nazionale di Sicurezza Cibernetica a decorrere dalla data di entrata in vigore della determinazione
  • viene disciplinato il regime transitorio verso il nuovo sistema NIS per gli operatori di servizi essenziali, individuati ai sensi del D.Lgs. 65/2018, e per gli operatori di telecomunicazioni, individuati ai sensi del Decreto del Ministro dello Sviluppo Economico del 12 dicembre 2018

La procedura TRIS è un meccanismo di notifica che consente agli Stati membri dell’UE di informare la Commissione e gli altri Stati membri sulla loro intenzione di adottare regolamentazioni tecniche. Dopo la notifica, è stabilito un periodo di status quo di tre mesi, durante il quale lo Stato membro notificante non può adottare la regolamentazione. Questo periodo, che nel caso di specie terminerà il prossimo 11 novembre, consente alla Commissione e agli altri Stati membri di controllare che la normativa oggetto sia in linea con le regole del mercato unico e il diritto UE.

Link