好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。首先,我得仔细阅读用户提供的文章内容,理解其主要观点和关键信息。 这篇文章主要讨论了2025年引起混淆的一个主题,即NIS2的基本措施与欧盟法规2690/2024之间的关系。很多组织在实施基本措施到2026年10月的同时,也在担心何时需要关注法规2690。Milena Rizzi在会议上的发言明确指出,法规2690已经生效,并非未来或过渡阶段。 接下来,我需要提取关键点:法规2690的即时生效、ACN的战略(基本措施作为过渡)、法规的具体要求(如通知、报告、监控等)、过渡期的性质(支持而非处罚)、以及实施的时间线和潜在风险。 然后,我要将这些信息浓缩到100字以内,确保涵盖主要观点:法规已生效,ACN的策略是通过基本措施逐步实现合规,具体要求包括通知、报告等,并强调过渡期的支持性质和及时行动的重要性。 最后,检查语言是否简洁明了,避免使用复杂的术语,并确保内容连贯且符合用户的要求。 </think> 文章讨论了欧盟法规2690/2024与NIS2基本措施的关系。尽管许多组织正忙于实施基本措施至2026年10月,但ACN明确表示法规2690已立即生效。ACN将其视为逐步合规的基础,并提供过渡期支持。 2026-1-2 14:22:13 Author: www.cybersecurity360.it(查看原文) 阅读量:3 收藏
Tra i temi che hanno generato più confusione nel 2025 c’è la relazione tra le misure di base della NIS2 e il Regolamento di esecuzione (UE) 2690/2024.
Molte organizzazioni si sono chieste «quando devono preoccuparsi del regolamento 2690, se ora sono impegnate a implementare le misure di base entro ottobre 2026».
La risposta di Milena Rizzi (Prefetto capo servizio autorità e sanzioni, ACN), durante il convegno coordinato con Clusit lo scorso 3 dicembre 2025, è netta: il Regolamento 2690 è già vigente e operativo oggi, non è in una fase “futura” o meramente transitoria.
Lo status del Regolamento 2690: immediatamente vigente
Rizzi chiarisce che «le specifiche tecniche degli obblighi di base costituiscono la premessa dalla quale partire per consentire ai soggetti di arrivare a essere totalmente coerenti con le prescrizioni dettate dal Regolamento di esecuzione 2690. Tradotto, questo vuol dire che il Regolamento 2690 è immediatamente vigente, operativo, applicabile, quindi vincolante».
ACN, quindi, non sta dicendo che il 2690 scatterà dopo ottobre 2026, ma ribadisce che è già pienamente in vigore.
Ciò che cambia è l’approccio pragmatico dell’Agenzia che riconosce la necessità di una fase di transizione sostanziale per permettere alle organizzazioni di adeguarsi.
La strategia ACN: misure di base come stepping stone
Poiché gli obblighi previsti dal 2690 sono particolarmente stringenti, ACN ha disegnato le misure di base come un percorso graduale verso la piena conformità.
Rizzi spiega che, «in considerazione del fatto che sappiamo che gli obblighi ivi imposti sono particolarmente stringenti, quando abbiamo declinato le specifiche tecniche di base lo abbiamo fatto in maniera tale da consentire ai soggetti di incominciare il famoso percorso di implementazione che traguarderà, con l’adozione degli obblighi a lungo termine, l’essere pienamente coerenti con il Regolamento di esecuzione».
In pratica, chi implementa correttamente le misure di base tra gennaio e ottobre 2026 costruisce le fondamenta necessarie per affrontare gli obblighi più avanzati del 2690 in una fase successiva.
Cosa chiede il Regolamento 2690
Il Regolamento 2690 introduce obblighi che vanno oltre le misure di base. In sintesi, prevede:
- notifica degli incidenti entro 72 ore dal ragionevole sospetto
- reporting periodico sugli incidenti di sicurezza
- monitoraggio continuo della postura di sicurezza
- aggiornamenti e patch tempestivi
- documentazione strutturata di governance e gestione del rischio
Per i soggetti essenziali, il 2690 prevede inoltre controlli ispettivi ex ante periodici, cioè ispezioni programmate e non solo reattive.
Fase transitoria non equivale a non conformità
ACN è consapevole che un’aderenza immediata e totale al 2690 è difficile per molte organizzazioni. Per questo, il periodo fino al 31 ottobre 2026 viene considerato una fase di accompagnamento, non una stagione di enforcement aggressivo.
Rizzi lo sintetizza con realismo: gli obblighi sono vincolanti, ma «in considerazione del fatto che sappiamo che gli obblighi ivi imposti sono particolarmente stringenti», l’attenzione di ACN è concentrata sul supporto e sull’aiuto, non sulla sanzione immediata di chi è chiaramente in un percorso di adeguamento.
La domanda sulla capogruppo fornitore Ict e il 2690
Un caso particolarmente delicato riguarda le capogruppo che diventano soggetti essenziali perché forniscono servizi Ict infragruppo. La domanda è se, in questi casi, l’organizzazione debba rispettare sia le misure di base che il 2690.
La risposta di Rizzi è molto chiara: «Se la domanda è questa, la risposta è sì. Sì, sì».
Una volta qualificata come essenziale, l’organizzazione è sottoposta agli obblighi di base (con scadenza ottobre 2026) e, al tempo stesso, agli obblighi avanzati del 2690, già vigenti. Le misure di base, però, sono pensate proprio per non far vivere il 2690 come un “secondo shock normativo”.
Timeline realistica per la conformità al 2690
Per una organizzazione che si registra a gennaio 2026 come soggetto essenziale, un percorso realistico potrebbe essere:
- gennaio–ottobre 2026: implementazione delle misure di base;
- novembre 2026–fine 2027: rafforzamento delle capacità di notifica, reporting e monitoraggio continuo, man mano che ACN pubblica le linee guida per le misure a lungo termine;
- dal 2028 in avanti: consolidamento della piena conformità al 2690, anche in vista di ispezioni ex ante più strutturate.
Questo scenario presuppone che ACN mantenga un approccio di supporto e che le organizzazioni non attendano l’ultimo momento per avviare l’adeguamento.
Il pericolo della procrastinazione
Se un’organizzazione rinvia l’implementazione delle misure di base fino a settembre 2026, si trova in una posizione molto più fragile: dovrà completare in pochi mesi ciò che avrebbe potuto distribuire su quasi due anni, e, subito dopo, affrontare gli aspetti più avanzati del 2690.
La scelta di iniziare da subito il lavoro sulle misure di base non serve solo a rispettare una scadenza: serve a costruire una struttura di sicurezza stabile, che potrà poi essere arricchita gradualmente con gli elementi richiesti dal regolamento.
Il 2690 non è il “nemico”, ma l’orizzonte
Il messaggio conclusivo di ACN sul Regolamento 2690 è chiaro: non è un nemico nascosto, ma l’orizzonte naturale del percorso NIS2.
Le misure di base non sono un adempimento isolato, bensì il ponte verso la piena conformità agli obblighi avanzati di notifica, reporting e controllo.
如有侵权请联系:admin#unsafe.sh