Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

guida alla normativa

Regolamento 2690 e NIS2: cosa cambia e come le misure di base portano alla piena conformità

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Il Reg. UE 2690/2024 è già vigente, non in transizione. ACN spiega come le misure di base sono il ponte verso la piena conformità con gli obblighi avanzati di notifica e reporting

Pubblicato il 2 gen 2026
Regolamento 2690 e NIS2

Tra i temi che hanno generato più confusione nel 2025 c’è la relazione tra le misure di base della NIS2 e il Regolamento di esecuzione (UE) 2690/2024.

Molte organizzazioni si sono chieste «quando devono preoccuparsi del regolamento 2690, se ora sono impegnate a implementare le misure di base entro ottobre 2026».

La risposta di Milena Rizzi (Prefetto capo servizio autorità e sanzioni, ACN), durante il convegno coordinato con Clusit lo scorso 3 dicembre 2025, è netta: il Regolamento 2690 è già vigente e operativo oggi, non è in una fase “futura” o meramente transitoria.

Le azioni dei CdA in ambito NIS2: le linee guida ACN sulle specifiche di base

Lo status del Regolamento 2690: immediatamente vigente

Rizzi chiarisce che «le specifiche tecniche degli obblighi di base costituiscono la premessa dalla quale partire per consentire ai soggetti di arrivare a essere totalmente coerenti con le prescrizioni dettate dal Regolamento di esecuzione 2690. Tradotto, questo vuol dire che il Regolamento 2690 è immediatamente vigente, operativo, applicabile, quindi vincolante».

ACN, quindi, non sta dicendo che il 2690 scatterà dopo ottobre 2026, ma ribadisce che è già pienamente in vigore.

Ciò che cambia è l’approccio pragmatico dell’Agenzia che riconosce la necessità di una fase di transizione sostanziale per permettere alle organizzazioni di adeguarsi.

La strategia ACN: misure di base come stepping stone

Poiché gli obblighi previsti dal 2690 sono particolarmente stringenti, ACN ha disegnato le misure di base come un percorso graduale verso la piena conformità.

Rizzi spiega che, «in considerazione del fatto che sappiamo che gli obblighi ivi imposti sono particolarmente stringenti, quando abbiamo declinato le specifiche tecniche di base lo abbiamo fatto in maniera tale da consentire ai soggetti di incominciare il famoso percorso di implementazione che traguarderà, con l’adozione degli obblighi a lungo termine, l’essere pienamente coerenti con il Regolamento di esecuzione».

In pratica, chi implementa correttamente le misure di base tra gennaio e ottobre 2026 costruisce le fondamenta necessarie per affrontare gli obblighi più avanzati del 2690 in una fase successiva.

Cosa chiede il Regolamento 2690

Il Regolamento 2690 introduce obblighi che vanno oltre le misure di base. In sintesi, prevede:

  • notifica degli incidenti entro 72 ore dal ragionevole sospetto
  • reporting periodico sugli incidenti di sicurezza
  • monitoraggio continuo della postura di sicurezza
  • aggiornamenti e patch tempestivi
  • documentazione strutturata di governance e gestione del rischio

Per i soggetti essenziali, il 2690 prevede inoltre controlli ispettivi ex ante periodici, cioè ispezioni programmate e non solo reattive.

Fase transitoria non equivale a non conformità

ACN è consapevole che un’aderenza immediata e totale al 2690 è difficile per molte organizzazioni. Per questo, il periodo fino al 31 ottobre 2026 viene considerato una fase di accompagnamento, non una stagione di enforcement aggressivo.

Rizzi lo sintetizza con realismo: gli obblighi sono vincolanti, ma «in considerazione del fatto che sappiamo che gli obblighi ivi imposti sono particolarmente stringenti», l’attenzione di ACN è concentrata sul supporto e sull’aiuto, non sulla sanzione immediata di chi è chiaramente in un percorso di adeguamento.

La domanda sulla capogruppo fornitore Ict e il 2690

Un caso particolarmente delicato riguarda le capogruppo che diventano soggetti essenziali perché forniscono servizi Ict infragruppo. La domanda è se, in questi casi, l’organizzazione debba rispettare sia le misure di base che il 2690.

La risposta di Rizzi è molto chiara: «Se la domanda è questa, la risposta è sì. Sì, sì».

Una volta qualificata come essenziale, l’organizzazione è sottoposta agli obblighi di base (con scadenza ottobre 2026) e, al tempo stesso, agli obblighi avanzati del 2690, già vigenti. Le misure di base, però, sono pensate proprio per non far vivere il 2690 come un “secondo shock normativo”.

Timeline realistica per la conformità al 2690

Per una organizzazione che si registra a gennaio 2026 come soggetto essenziale, un percorso realistico potrebbe essere:

  • gennaio–ottobre 2026: implementazione delle misure di base;
  • novembre 2026–fine 2027: rafforzamento delle capacità di notifica, reporting e monitoraggio continuo, man mano che ACN pubblica le linee guida per le misure a lungo termine;
  • dal 2028 in avanti: consolidamento della piena conformità al 2690, anche in vista di ispezioni ex ante più strutturate.

Questo scenario presuppone che ACN mantenga un approccio di supporto e che le organizzazioni non attendano l’ultimo momento per avviare l’adeguamento.

Il pericolo della procrastinazione

Se un’organizzazione rinvia l’implementazione delle misure di base fino a settembre 2026, si trova in una posizione molto più fragile: dovrà completare in pochi mesi ciò che avrebbe potuto distribuire su quasi due anni, e, subito dopo, affrontare gli aspetti più avanzati del 2690.

La scelta di iniziare da subito il lavoro sulle misure di base non serve solo a rispettare una scadenza: serve a costruire una struttura di sicurezza stabile, che potrà poi essere arricchita gradualmente con gli elementi richiesti dal regolamento.

Il 2690 non è il “nemico”, ma l’orizzonte

Il messaggio conclusivo di ACN sul Regolamento 2690 è chiaro: non è un nemico nascosto, ma l’orizzonte naturale del percorso NIS2.

Le misure di base non sono un adempimento isolato, bensì il ponte verso la piena conformità agli obblighi avanzati di notifica, reporting e controllo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Mattia Lanzarone
Giornalista

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Aziende

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Convenzione quadro del Consiglio d'Europa sull'intelligenza artificiale

  • scenari

    Augmented Humans, costruire l'interazione efficace tra uomo e AI

    24 Set 2025

    di Alessia Valentini

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Dpo e Ciso, un'alleanza necessaria: due funzioni, un’unica visione

  • GDPR

    Il DPO deve essere indipendente e autonomo: punto fermo ribadito dal Garante privacy

    03 Mar 2025

    di Rosario Palumbo

    Condividi
  • Nato, pioggia di miliardi per la cyber: serve una governance unitaria e trasparente

  • geopolitica e cyber

    Nato Intelligence, l'Artico come scelta geopolitica: le 4 aree chiave delle competenze

    23 Mag 2025

    di Marco Santarelli

    Condividi
0
Lascia un commento, la tua opinione conta.x