martedì 7 luglio 2026

Nuova ISO/IEC 27000:2026

E' stata pubblicata la nuova ISO/IEC 27000:2026: https://www.iso.org/standard/27000.

C'è un post su LinkedIn con alcuni ulteriori dettagli: https://www.linkedin.com/posts/isoiec-27000-ugcPost-7478432923336019968-nPLG/.

Purtroppo, sembra che non ci sia più la versione gratuita.

lunedì 6 luglio 2026

Sanzione a Lepida per trattamenti scorretti di dati personali

Il Garante ha sanzionato Lepida, fornitore di servizi SPID; https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10263964.

Faccio le seguenti riflessioni e mi chiedo se sono condivise:

  • giusto il censurare l'approccio "tutti possono vedere tutto", soprattutto considerando i grandi numeri di autorizzati e interessati;
  • giusto il dire che i documenti "lavorati" vanno subito tolti dalla circolazione per quanto possibile;
  • vedo come misura faticosa l'uso di viewer per i documenti, perché farla bene non è banale e fatta male non serve a niente;
  • mi fa ridere la proposta di lanciare messaggi per ricordare ogni volta di cancellare i documenti perché già la terza volta verranno ignorati.

giovedì 2 luglio 2026

Scadenze NIS (ver 2)

Ho provato a riepilogare, soprattutto per me stesso, le scadenze NIS. Lo dico subito: Governo e ACN non ci stanno rendendo la vita facile e questo conferma la mia impressione, ossia che dietro a tutto questo c'è un'impostazione da "grande azienda" (o da "grande società di consulenza" o da "professore") e temo che non ne siano consapevoli (perché tutto ciò ha anche delle conseguenze).

Come sempre: segnalatemi errori.

Soggetti NIS: anni successivi

  • Dal 1 gennaio al 28 febbraio: aggiornamento anagrafiche come richiesto dall'art. 7, comma 1 del D. Lgs. 138 e art. 11 Determinazione art. 7;
  • fino al 14 aprile: ulteriore finestra di aggiornamento anagrafiche, come richiesto dall'art. 16 Determinazione art. 7 [questa pare ridondante, visto che le modifiche vanno comunicate entro 14 giorni];
  • Dal 15 aprile al 31 maggio: aggiornamento anagrafiche (inclusi indirizzamento IP pubblico e i nomi di dominio, Stati membri in cui forniscono servizi, fornitori) come richiesto dall'art. 7, commi 4 e 5 del D. Lgs. 138 e art. 16 Determinazione art. 7;
  • dal 1  maggio  al  30 giugno: elenco macro-aree e impatti, come richiesto dall'art. 30, comma 1 del D. Lgs. 138 e art. 20 Determinazione art. 7;
  • Dal 1 settembre al 30 novembre: designazione del rappresentante NIS in Italia e aggiornamento; come richiesto dall'art. 7, commi 4 e 5 della determinazione art 7.

Soggetti NIS: modifiche

  • entro 14 giorni dalla modifica: comunicazione ad ACN delle informazioni (art. 7 comma 7 del D. Lgs. 138 e art. 1 comma 1 lettera hh della Determinazione art. 7.

Soggetti NIS: inizializzazione:

  • Dal 1 gennaio al 28 febbraio: iscrizione sulla piattaforma NIS (art. 7, comma 1 del D. Lgs. 138 e art. 11 Determinazione art. 7);
  • Dal 15 aprile al 31 maggio: ulteriore anagrafiche, inclusi indirizzamento IP pubblico e i nomi di dominio, Stati membri in cui forniscono servizi, fornitori, sostituto punto di contatto (art. 7, commi 4 e 5 del D. Lgs. 138 e artt. 5 e 16 Determinazione art. 7);
  • dal 1 gennaio 2027: obbligo di notificare gli incidenti per chi si è registrato nel 2026 (Determinazione art. 31;
  • 31 luglio 2027: implementazione delle misure di sicurezza di base per chi si è registrato nel 2026 (Determinazione art. 31).

Riferimenti alle determine al 6 maggio 2026:

  • Determinazione art. 7:  " Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 7, comma 6, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, recante termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimento di designazione dei rappresentanti NIS sul territorio nazionale" -- sul sito la si trova come "Determinazione ACN 127437/2026 - Piattaforma, Punto di contatto e sostituto, aggiornamento delle informazioni e rappresentante NIS di cui all'articolo 7 del decreto NIS".
  • Determinazione art. 31: " Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che stabilisce i termini per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo per i soggetti inseriti per la prima volta nell’elenco nell’anno solare 2026" --- sul sito la si trova come "Determinazione ACN 127434/2026 - Termini per i soggetti 2026 in relazione agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS".

Come scadenze, la Determinazione art. 7 copre anche quelle relative agli accordi di condivisione di cui alla "Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 17, comma 4, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera f), recante le modalità con cui i soggetti essenziali e i soggetti importanti notificano all’Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica" -- sul sito la si trova come "Determinazione ACN 136118 del 10 aprile 2025 – Notifica degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all'articolo 17 del decreto NIS".

Ringrazio Cristina Borghetti e Donato Taccogna degli Idraulici della privacy.

lunedì 29 giugno 2026

Articolo sulla diffusione della ISO/IEC 27001 in Italia

Segnalo un articolo scritto da me e Fabio Guasconi per il SC 27 Journal 2026.

L'articolo ha titolo "The Information Security Certification Market in Italy". Lo si trova qui, sotto "Volume 5, Issue 1 May 2026 – ISO/IEC 27001 Certification": https://committee.iso.org/sites/jtc1sc27/home/wg2.html.

lunedì 22 giugno 2026

Il DPO non paga i danni in caso di attacco informatico (aggiornamento)

Avevo scritto di una sentenza del Tribunale di Firenze relativo alle responsabilità del DPO (ma ho cancellato il post!). Rimando alla sentenza n. 3034 del 29 maggio 2026 del Tribunale di Firenze, sezione terza civile, e a un articolo su LinkedIn: https://it.linkedin.com/posts/daniele-gulinatti-b7592a_dpo-non-paga-danni-per-attacco-hacker-activity-7468204590765854720-NZA5.

Nicola Manzi mi ha risposto su LinkedIn dicendomi, in sintesi, che non avevo approfondito a dovere. E infatti l'ha fatto lui: https://www.linkedin.com/posts/nicolamanzi_dpo-gdpr-compliance-activity-7468665788628127744-65CW.

Vale la pena leggere il post, con anche il link alla sentenza.

Mi scuso con tutti e ringrazio Nicola Manzi.

Sanzione a Carrefour per accessibilità

Andrea Solimeno di Selexi mi ha segnalato la sanzione a Carrefour per inadempienze relative all'accessibilità. Questo in particolare riguarda l'e-commerce.

Segnalo questo articolo: https://www.digital360.it/blog-connect/website-carrefour-non-accessibile-condanna-accessibilita-digitale.

Data broker e sanzione del Garante

Il Garante ha sanzionato due aziende che avevano acquistato dati da un data broker senza aver verificato tutte le condizioni per trattare i dati personali.

Devo dire che ho avuto modo di vedere le condizioni di altri data broker e mi hanno lasciato molto perplesso, per non dire che mi sono sembrati discutibili.

Faccio prima a rimandare all'articolo di Christian Bernieri, forse un po' troppo sopra le righe, ma istruttivo: https://garantepiracy.it/blog/lusha/.

domenica 14 giugno 2026

Linee guida CE sulla marcatura dei contenuti generati dall'IA

Chiara Ponti, Idraulica della privacy, ha segnalato che "la Commissione europea ha pubblicato il codice di condotta definitivo sulla marcatura e l'etichettatura dei contenuti generati dall'intelligenza artificiale": https://digital-strategy.ec.europa.eu/en/news/commission-publishes-code-practice-marking-and-labelling-ai-generated-content (si può chiedere la traduzione in italiano).

La pagina è chiara quando indica i casi per cui è necessario etichettare contenuti e non si applica solo ai fornitori, ma anche agli utilizzatori ("deployer").

Le icone proposte non sono particolarmente fantasiose e quindi potrebbero essere utili.

lunedì 8 giugno 2026

D. Lgs. 96 del 2026: Trasparenza retributiva

E' stato approvato e pubblicato il D. Lgs. 96 del 2026 sulla trasparenza retributiva: https://www.altalex.com/documents/2026/06/05/trasparenza-retributiva-d-lgs-96-2026-attua-direttiva-ue-2023-970

Molti articoli si soffermano su alcune difficoltà attuative, ma non riguardano né la sicurezza delle informazioni né la privacy.

Per quanto riguarda la privacy, segnalo le seguenti:

- art. 5 comma 2: "Ai candidati a un impiego non possono essere chieste informazioni sulle retribuzioni percepite negli attuali o nei precedenti rapporti di lavoro";

- art. 7 comma 1: [...] "è riconosciuto ai lavoratori il diritto di richiedere e ricevere per iscritto [...] le informazioni sui livelli retributivi medi, ripartiti per sesso, delle categorie di lavoratori che svolgono lo stesso lavoro o un lavoro di pari valore"; però, al comma 8, è indicato che "Al fine di evitare l'identificazione diretta o indiretta dei singoli lavoratori in conformità al [GDPR...], per i datori di lavoro che occupano fino a quarantanove dipendenti, le informazioni di cui al comma 1 possono essere fornite con le modalità previste dall'articolo 9, comma 4";

- art. 9, comma 4: dice che saranno pubblicati uno o più decreti del Ministro del lavoro e delle politiche sociali, sentito il Garante per la privacy, per fornire indicazioni per "le modalità di raccolta ed esposizione dei dati";

- art. 11 comma 2: "l'accesso alle informazioni di cui agli articoli 7, 9 e 10 è riservato esclusivamente ai rappresentanti dei lavoratori, all'Ispettorato del lavoro e agli organismi per la parità territorialmente competenti ove comporti la divulgazione, diretta o indiretta, della retribuzione di un lavoratore identificabile. I rappresentanti dei lavoratori o l'organismo per la parità forniscono consulenza ai lavoratori in merito a eventuali ricorsi connessi al principio della parità di retribuzione senza divulgare i livelli retributivi effettivi dei singoli lavoratori che svolgono lo stesso lavoro o un lavoro di pari valore".

- art. 11 comma 3: "I dati trattati ai sensi degli articoli 7, 9 e 10 non sono utilizzabili per scopi diversi dall'applicazione del principio della parità di retribuzione. La trasmissione dei dati personali è consentita nei casi, nelle forme e nei limiti previsti dalla normativa vigente".

Temo ci siano informative da aggiornare.

giovedì 4 giugno 2026

Il furto di credenziali Instagram con Meta AI (e l'IA agentica)

Simone Ceccherini mi ha segnalato l'articolo "Meta AI usata per rubare gli account Instagram, il caso che coinvolge Obama e Sephora": https://www.wired.it/article/instagram-meta-ai-vulnerabilita-account-alto-profilo/.

Il suo commento: Trovo fondamentale riflettere sull'utilizzo di bot per queste operazioni delicate. Equivale quasi dare il controllo alle AI e a chiunque parli con loro...

L'IA sicuramente si evolverà e migliorerà. Nel frattempo credo proprio che dobbiamo stare molto attenti (però un cliente rifletteva che le operazioni di sicurezza IT dovranno sempre più basarsi sull'IA, perché ormai la velocità degli attacchi, con strumenti IA, è tale che possono essere contrastati solo da altre IA).

Nuova ISO 19011 sulla conduzione degli audit

E' stata pubblicata la nuova versione della ISO 19011:2026 "Guidelines for auditing management systems": https://www.iso.org/standard/19011.

I cambiamenti sono pochi e faccio prima a rimandarvi a un articolo di Monica Perego (che si basa sulla bozza finale, ma eventuali cambiamenti sarebbero solo editoriali): https://www.agendadigitale.eu/sicurezza/iso-190112025-cosa-cambia-guida-alle-novita/.

Ringrazio Monica stessa e Paolo Sferlazza di Gerico per avermelo segnalato.

Carola Frediani

Il 3 giugno 2026 è morta Carola Frediani, la fondatrice di Guerre di rete e non solo: https://www.lastampa.it/cronaca/2026/06/03/news/addio_a_carola_frediani_voce_critica_delle_guerre_digitali-15645599/.

Non la conoscevo né, ahimè, la conoscerò mai di persona.

La qualità delle sue indagini, in termini di argomenti scelti e di approfondimenti, ci dicono cosa abbiamo perso da un punto di vista professionale e tecnico.

Posso immaginare che abbia dimostrato il suo valore anche nell’impresa di Guerre di rete, ossia coinvolgendo persone che non solo hanno imparato da lei a scegliere e scrivere bene temi importanti (e questo è sotto gli occhi di tutti), ma che sapranno portarla avanti e, perché no?, migliorarla. A loro vanno tutti i miei auguri.

Per chi non conoscesse ancora Guerre di rete: https://www.guerredirete.it/.

mercoledì 27 maggio 2026

Servizio aggiornamento provvedimenti NIS

Lorenzo Frasconi mi ha segnalato il portale che ha sviluppato per consultare gli ultimi aggiornamenti e la documentazione NIS, attraverso un monitoraggio delle modifiche e delle linee guida pubblicate dall'ACN, oltre che avere nella sezione "Documentazione NIS2" tutti i documenti che vengono caricati in generale sul portale ACN.

Il portale è qui: https://frascoh.github.io/monitor-acn-nis2/.

E' possibile scaricarlo anche da GitHub: https://github.com/FRASCOH/monitor-acn-nis2.

Il servizio offre anche la sottoscrizione a un canale Telegram per ricevere le notifiche. Molto comodo.

Nuovo Regolamento sulle sanzioni Accessibilità

Andrea Solimeno di Selexi mi ha segnalato che AgID ha approvato il 15 maggio 2026 e pubblicato il 26 maggio il "Regolamento recante le modalità di accertamento e di esercizio del potere sanzionatorio ai sensi dell’art. 9 della Legge n. 4 del 2004 e degli artt. 21 e 24 del Decreto Legislativo n. 82 del 2022": https://trasparenza.agid.gov.it/page/103/details/5600/adozione-del-regolamento-recante-le-modalita-di-accertamento-e-di-esercizio-del-potere-sanzionatorio-ai-sensi-dellart-9-della-legge-n-4-del-2004-e-degli-artt-21-e-24-del-decreto-legislativo-n-82-del-2022.html.

Si sta parlando di accessibilità, ossia delle "Disposizioni per favorire e semplificare l'accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici".

Il Regolamento si applica in relazione a:

a) siti web e applicazioni mobili dei soggetti erogatori pubblici, di cui all’art. 3, comma 1, della Legge Accessibilità;

b) siti web e applicazioni mobili di soggetti erogatori privati, con un fatturato medio, negli ultimi tre anni di attività, superiore a cinquecento milioni di euro, di cui all’art. 3, comma 1-bis, della Legge Accessibilità.

Su questo argomento ci sono anche Direttive europee e il quadro non mi è chiarissimo.

Però, sappiamo che AgID ha pubblicato le “Linee Guida sull’accessibilità dei servizi in attuazione dell’articolo 21 del decreto legislativo n. 82 del 2022” (https://www.agid.gov.it/it/linee-guida). Esse riguardano siti web e app e sono state approvate con determinazione n. 38/2026 con comunicato su Gazzetta Ufficiale n. 69 del 24.3.2026 mercoledì 25 marzo 2026 (https://www.gazzettaufficiale.it/eli/id/2026/03/24/26A01427/SG).

Attenzione che nella pagina AgID ci sono anche queste, e quindi bisogna stare attenti a differenziare;

- Linee Guida sull'accessibilità degli strumenti informatici per soggetti privati;

- Linee Guida sull'accessibilità degli strumenti informatici - PA.

C'è anche il documento “Vigilanza sull’accessibilità dei siti web e delle applicazioni mobili da parte di soggetti erogatori art. 3 comma 1-bis” applicabile a chi “offre servizi al pubblico attraverso siti web o applicazioni mobili, con un fatturato medio, negli ultimi tre anni di attività, superiore a cinquecento milioni di euro”. È del dicembre 2022 (come aggiornamento di regole di aprile 2022 e quindi bisogna stare attenti a leggere quelle nuove): https://trasparenza.agid.gov.it/page/103/details/2734/determinazione-n3552022-del-23-dicembre-2022-regolamenti-in-materia-di-accessibilita-e-potere-sanzionatorio-modifiche-per-adeguamento-a-disposizioni-normative-successivamente-intervenute.html.

La pagina di riferimento è questa: https://www.agid.gov.it/it/ambiti-intervento/accessibilita-usabilita.

Il nuovo Regolamento non parla proprio di questo documento relativo alla vigilanza e sono un po' confuso.

lunedì 25 maggio 2026

Hacking Apple Pay

Simone Ceccherini mi ha segnalato un hack ad Apple Pay. Si può leggere l'articolo "Thieves Can Drain Funds From A Locked iPhone With This Transit Trick: How To Protect Yourself": https://www.forbes.com/sites/davidphelan/2026/04/19/thieves-can-drain-funds-from-a-locked-iphone-with-this-trick-how-to-protect-yourself/.

L'articolo dice di non farsi prendere dal panico perché si tratta di un'operazione difficile. Ciò non toglie che anche i sistemi di pagamento, che dovrebbero essere super sicuri, hanno le loro falle e dobbiamo starci attenti.

A questo proposito (della serie "parlo della mia famiglia anche se non nella rubrica sugli uomini che possono fare tutto"): Intesa Sanpaolo permetterebbe di bloccare le carte dei miei figli dall'app, ma questo non succede (almeno non con uno degli almeno 2 metodi disponibili), ma almeno i limiti impostati sono rispettati. Ormai il livello di complessità di questi strumenti è decisamente elevato e l'errore è sempre dietro l'angolo. Da parte mia, preferisco ridurre al minimo la tecnologia da usare per ridurre al minimo la superficie d'attacco (e già so che se qualcuno mi prendesse di mira, sicuramente dei danni me ne farà).

domenica 24 maggio 2026

Verizon Data breach report 2026

Ecco qui il "2026 Data Breach Investigations Report" della Verizon: https://www.verizon.com/business/resources/reports/dbir/.

Non sono un grande fan di questi rapporti perché, come si capisce anche da come sono poste alcune domande, tendono a portare la discussione dove vogliono loro. Però i 4 punti chiave mi sembrano interessanti.

venerdì 15 maggio 2026

Claude Mythos e l'identificazione di vulnerabilità

Segnalo questo articolo dal titolo "Mythos and Cybersecurity": https://www.schneier.com/blog/archives/2026/04/mythos-and-cybersecurity.html

 Claude ha sviluppato Mythos, motore di ricerca di vulnerabilità software e i risultati sono incredibili: migliaia di vulnerabilità identificate nei sistemi operativi più diffusi e altro. Questo ha suggerito a Anthropic di rendere disponibile questo motore solo a 50 grandi produttori di software. 

L'articolo di Bruce Schneier riflette sulla mancanza di dati sui falsi positivi, sulla attuale capacità di identificare vulnerabilità sui sistemi meno diffusi e quanto questo potrà essere pericoloso in futuro, sui rischi generali che corriamo considerando che i software sono attualmente sviluppati e mantenuti da società private. Sembra poi che GPT-5.5 sia altrettanto potente e già disponibile.

giovedì 14 maggio 2026

Gli uomini possono fare tutto (Maggio 2026)

E' vero che, fortunatamente, in molti ambienti sono ampiamente accettate modifiche agli incontri a causa di impegni familiari. Quindi un giorno dovevo essere da un cliente e da lì verificare alcune cose con due diversi fornitori, ma io sono arrivato in ritardo a causa di un contrattempo con i soliti figli, un fornitore ha spostato di un'ora l'appuntamento perché doveva accompagnare la madre da un dottore, l'altro ha anticipato l'appuntamento perché doveva andare a prendere la figlia a scuola e infine la mia referente mi ha sbattuto fuori dagli uffici appena finite le riunioni perché anch'essa doveva andare a prendere i figli a scuola.

Io so che, nel mio caso, non è solo il cliente che sceglie il consulente, ma anche viceversa. C'è una specie di incontro che ha successo quando ambedue, tra tante cose, capiamo che le emergenze familiari vengono prima di quelle lavorative e siamo pronti a rispettare gli impegni reciproci.

Va detto che non offro servizi di cardiochirurgia di emergenza, di assistenza a impianti nucleari, di supporto a navicelle spaziali con guasti mentre si avvicinano alla Luna e cose simili. Quindi è più facile accettare spostamenti agli appuntamenti (bisogna però avvertire per tempo e non approfittarsene!). Purtroppo so per certo che non è così per tutti e questo è un peccato, soprattutto in un Paese in cui si dice (ma non sempre si pratica) che la famiglia è la cosa più importante.

mercoledì 13 maggio 2026

Sicurezza dei dispositivi periferici

Claudio Sartor mi ha segnalato questa pagina: "Rapporto di sintesi sulla cibersicurezza dei dispositivi periferici": https://it.ntc.swiss/news/2026-rapporto-periferiche.

In realtà, mi aveva segnalato la pagina di Paolo Attivissimo (https://attivissimo.me/podcast-rsi-tastiere-e-cuffie-come-grimaldelli-i-rischi-inattesi-delle-periferiche-wireless/).

Riassunto del riassunto: tastiere, cuffie e altri dispositivi possono diventare una porta d’accesso ai sistemi critici.

Io invece non li sopporto perché tendono a scaricarsi nei momenti meno opportuni (ed è per questo che sono restio a cambiare cellulare, visto che adesso tutti hanno tolto il jack).

domenica 10 maggio 2026

Scadenze NIS

Ho provato a riepilogare, soprattutto per me stesso, le scadenze NIS. Lo dico subito: Governo e ACN non ci stanno rendendo la vita facile e questo conferma la mia impressione, ossia che dietro a tutto questo c'è un'impostazione da "grande azienda" (o da "grande società di consulenza" o da "professore") e temo che non ne siano consapevoli (perché tutto ciò ha anche delle conseguenze).

Come sempre: segnalatemi errori. Per questa prima bozza ringrazio Cristina Borghetti e Donato Taccogna degli Idraulici della privacy. 

Soggetti NIS: anni successivi

  • Dal 1 gennaio al 28 febbraio: aggiornamento anagrafiche come richiesto dall'art. 7, comma 1 del D. Lgs. 138 e art. 11 Determinazione art. 7;
  • fino al 14 aprile: ulteriore finestra di aggiornamento anagrafiche, come richiesto dall'art. 16 Determinazione art. 7 [questa pare ridondante, visto che le modifiche vanno comunicate entro 14 giorni];
  • Dal 15 aprile al 31 maggio: aggiornamento anagrafiche (inclusi indirizzamento IP pubblico e i nomi di dominio, Stati membri in cui forniscono servizi, fornitori, accordi di condivisione) come richiesto dall'art. 7, commi 4 e 5 del D. Lgs. 138 e art. 16 Determinazione art. 7;
  • dal 1  maggio  al  30 giugno: elenco macro-aree e impatti, come richiesto dall'art. 30, comma 1 del D. Lgs. 138 e art. 20 Determinazione art. 7;
  • Dal 1 settembre al 30 novembre: designazione del rappresentante NIS in Italia e aggiornamento; come richiesto dall'art. 7, commi 4 e 5 della determinazione art 7. 

Soggetti NIS: modifiche

  • entro 14 giorni dalla modifica: comunicazione ad ACN delle informazioni (art. 7 comma 7 del D. Lgs. 138 e art. 1 comma 1 lettera hh della Determinazione art. 7.

Soggetti NIS: inizializzazione:

  • Dal 1 gennaio al 28 febbraio: iscrizione sulla piattaforma NIS (art. 7, comma 1 del D. Lgs. 138 e art. 11 Determinazione art. 7);
  • Dal 15 aprile al 31 maggio: ulteriore anagrafiche, inclusi indirizzamento IP pubblico e i nomi di dominio, Stati membri in cui forniscono servizi, fornitori, sostituto punto di contatto (art. 7, commi 4 e 5 del D. Lgs. 138 e artt. 5 e 16 Determinazione art. 7);
  • dal 1 gennaio 2027: obbligo di notificare gli incidenti per chi si è registrato nel 2026 (Determinazione art. 31;
  • 31 luglio 2027: implementazione delle misure di sicurezza di base per chi si è registrato nel 2026 (Determinazione art. 31). 

Riferimenti alle determine al 6 maggio 2026:

  • Determinazione art. 7:  " Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 7, comma 6, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, recante termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimento di designazione dei rappresentanti NIS sul territorio nazionale" -- sul sito la si trova come "Determinazione ACN 127437/2026 - Piattaforma, Punto di contatto e sostituto, aggiornamento delle informazioni e rappresentante NIS di cui all'articolo 7 del decreto NIS".
  • Determinazione art. 31: " Determinazione del Direttore Generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che stabilisce i termini per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo per i soggetti inseriti per la prima volta nell’elenco nell’anno solare 2026" --- sul sito la si trova come "Determinazione ACN 127434/2026 - Termini per i soggetti 2026 in relazione agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS".

Come scadenze, la Determinazione art. 7 copre anche quelle relative agli accordi di condivisione di cui alla "Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 17, comma 4, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera f), recante le modalità con cui i soggetti essenziali e i soggetti importanti notificano all’Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica" -- sul sito la si trova come "Determinazione ACN 136118 del 10 aprile 2025 – Notifica degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all'articolo 17 del decreto NIS". 

NB: aggiornato successivamente.