In Germania la legge di recepimento della Direttiva NIS2 è stata pubblicata il 5 dicembre 2025 col numero 301: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.

In dicembre sono state pubblicate da ACN le Linee guida NIS "Definizione del processo di gestione degli incidenti di sicurezza informatica".

La prima annotazione da fare è che riportano come documento di riferimento anche le linee guida NIST SP 800-61r2, che sono considerate obsolete da NIST stesso e che infatti non si trovano all'indirizzo web riportato nella guida ACN.

Pensando di poter essere in qualche modo d'aiuto, abbiamo compilato un piccolo calendario delle scadenze annuali per la Direttiva NIS2, senza nessuna pretesa di completezza o precisione:

1. Dal 1° gennaio e non oltre il 28 febbraio di ogni anno, i soggetti pubblici e privati a cui si applica la normativa devono registrarsi o rinnovare la registrazione, tramite il "Servizio NIS/Registrazione".
2. Dal 15 aprile al 31 maggio: i soggetti NIS integrano o aggiornano ogni anno le informazioni sulla piattaforma digitale, tramite il “Servizio NIS/Aggiornamento annuale informazioni", e cioè:
   1. dati anagrafici e di contatto,
   2. elenco componenti organi di amministrazione e direttivi con PEC (accettazione via PEC),
   3. elenco dei servizi offerti in UE che rientrano nell’ambito di applicazione della NIS2,
   4. spazio di indirizzamento IP pubblico e nomi di dominio in uso,
   5. elenco degli accordi di condivisione.
3. Riesame e revisione annuale delle politiche e delle procedure di sicurezza informatica.
4. Aggiornamento degli inventari (HW, SW, servizi, sistemi, fornitori).
5. Per almeno i sistemi informativi e di rete rilevanti, vulnerability assessment e/o penetration test (solo per soggetti NIS essenziali).
6. Per almeno i sistemi informativi e di rete rilevanti, test di ripristino da back-up (solo per soggetti NIS essenziali).
7. Verifica di conformità delle forniture.

Con la Determinazione Direttoriale del 19/09/2025 ACN ha introdotto una nuova figura per i soggetti NIS2, oltre al punto di contatto: il referente CSIRT. Dovrà occuparsi dei contatti con il CSIRT nazionale, ovvero sarà la persona che dovrà notificare gli incidenti informatici significativi. Da notare che il referente CSIRT deve essere designato dal punto di contatto. Anche se non sembra questa la intenzione dell'ACN, dalla lettura della determina nulla vieta che le due figure siano la stessa persona...
Interessante notare che il documento in questione non riporta alcun numero, come sarebbe opportuno. Viene citato nel sito ACN come 333017, ma il file che lo contiene ha nel nome il numero 250916.

ACN ha pubblicato due determinazioni che contengono anche le misure che devono prendere i soggetti NIS2. In pratica si tratta di un estratto dal Framework Nazionale per la Cybersecurity e la Data Protection. Le indicazioni della Commissione Europea (2024/2690 COMMISSION IMPLEMENTING REGULATION (EU) 2024/2690 of 17 October 2024; Commission Guidelines on the application of Article 4 (1) and (2) of Directive (EU) 2022/2555; Implementing Guidance On Commission Implementing Regulation (EU) 2024/2690) sono state completamente lasciate cadere.

La definizione di incidente significativo, per il quale si è soggetti ad obbligo di comunicazione, è enormemente ampliata rispetto a quella contenuta nel documento Implementing Act 2024/2690 della Commissione Europea. In pratica si devono segnalare tutti gli incidenti informatici che hanno un qualche impatto sull'esterno o che violano i livelli di servizio attesi che sono stati stabiliti.

È pubblicata la nuova versione del core del Framework Nazionale per la Cybersecurity e la Data Protection. Si tratta della versione 2.1 datata 2025.

Ad una prima occhiata presenta sensibili variazioni con la versione del 2019, perché si rifà alla versione 2 del NIST Cybersecurity Framework. Notiamo che nella colonna dei riferimenti, a differenza della versione precedente, porta un solo riferimento alla ISO/IEC 27001, peraltro poco a proposito (dove si parla di incidenti che coinvolgono dati personali) e citando la versione 2013, da tempo ritirata.

Le altre norme ISO nominate sono citate quasi tutte in versione vecchia e già ritirata (ISO/IEC 29001:2011, ISO/IEC 29134:2017, ISO/IEC 27018:2015, ecc.).

Alcune note sulla versione italiana della Direttiva (EU) 2022-2555, detta NIS2:

• Art.20, paragrafo 2: "management bodies" è stato tradotto con "organo di gestione" (al singolare), il che cambia l'interpretazione del paragrafo.
• Art. 21, paragrafo 2, punto i): "asset management" è stato tradotto con "gestione degli attivi": traduzione automatica?.
• Art. 33, Vigilanza ed esecuzione relative a soggetti essenziali. La versione in inglese invece titola il capitolo: "Supervisory and enforcement measures in relation to important entities". Il capitolo relativo ai soggetti essenziali in effetti è il 32.

La nuova direttiva sulla responsabilità per danno da prodotti difettosi è stata pubblicata nella Gazzetta Ufficiale dell'Unione Europea il 18 ottobre 2024 come Direttiva (UE) 2024/2853. Essa sostituisce la vecchia Direttiva sulla Responsabilità del Prodotto del 1985, al fine di soddisfare i requisiti del mercato unico digitale. 

Probabilmente la più grande innovazione della nuova versione della edirettiva è che riconosce il software come un prodotto. Questo apre la possibilità che il software possa essere riconosciuto difettoso ai sensi della Direttiva, per esempio a causa di una protezione dei dati o di una sicurezza informatica inadeguata. La direttiva comunque si applica ai prodotti immessi sul mercato o messi in servizio dopo il 9 dicembre 2026.

La direttiva si può scaricare da: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202402853

È uscita la seconda versione dello studio "ENISA Foresight Cybersecurity Threats for 2030", che rappresenta un'analisi e una valutazione completa delle minacce emergenti alla sicurezza informatica previste per il 2030.
Lo scopo di questo studio è sostenere il sesto obiettivo strategico dell'ENISA. I risultati hanno permesso di prendere decisioni informate e basate su dati concreti sulla futura ricerca in materia di cybersicurezza.
Potrebbe essere interessante per, una volta tanto, provare ad avere uno "sguardo lungo" quando si parla di sicurezza delle informazioni.

Uptime Institute ha pubblicato da poco la sua relazione annuale sulle interruzioni nelle infrastrutture digitali. Il rapporto analizza i dati recenti dell'Uptime Institute sull'andamento delle interruzioni di servizio di IT e data center: cause, costi e conseguenze.

Nell'immagine qui riportata il grafico con il sunto delle principali cause di interruzione.

Il rapporto in versione riassunta può essere scaricato da qui, mentre il rapporto completo è riservato ai membri del Uptime Institute