News | 09.05.2025

NIS 2 – Tutte le scadenze dell’ACN per l’attuazione del decreto

Tutte le scadenze dell’ACN per l’attuazione del decreto

Nel mese di aprile 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) – soggetto attuatore e autorità centrale di riferimento per la Direttiva NIS 2 in materia di cybersicurezza – ha adottato tre importanti determinazioni, destinate a incidere concretamente sulla vita di centinaia di soggetti pubblici e privati rientranti nel perimetro NIS.

Le determinazioni, numerate 136117, 164179 e 136118, regolano rispettivamente l’accesso e la gestione della piattaforma digitale NIS, l’adozione di specifiche tecniche minime di sicurezza e la notifica degli accordi volontari di condivisione delle informazioni. Insieme, costituiscono il quadro operativo iniziale con cui enti pubblici, aziende strategiche e operatori di servizi critici dovranno confrontarsi nei prossimi mesi.

Un portale, molte responsabilità: cosa prevede la Determina ACN n. 136117/2025

La prima determinazione (prot. 136117 del 10 aprile 2025) disciplina in dettaglio le modalità di utilizzo della piattaforma digitale NIS, il sistema centrale attraverso cui i soggetti NIS (essenziali e importanti) sono chiamati a interagire con l’Agenzia.

Tra le principali novità introdotte vi è l’obbligo, per tutti i soggetti già notificati, di:

  • designare formalmente un punto di contatto e un sostituto abilitati ad agire all’interno del sistema;
  • mantenere aggiornati i dati critici: indirizzi IP pubblici, nomi a dominio, Stati UE serviti, responsabili interni;
  • trasmettere (in formato strutturato) l’elenco aggiornato degli accordi di condivisione informativa.

Va sottolineato che la nomina del punto di contatto e del sostituto non è un adempimento meramente formale: entrambe le figure devono disporre di una solida conoscenza delle dinamiche organizzative e delle misure di sicurezza in atto. La loro funzione comprende anche il monitoraggio dell’aggiornamento tempestivo delle informazioni e il coordinamento dei flussi informativi con l’ACN.

La finestra di aggiornamento annuale è fissata tra il 15 aprile e il 31 maggio, mentre entro il 31 maggio 2025 dovrà essere indicato il sostituto del punto di contatto. I soggetti stabiliti fuori dall’UE avranno tempo fino al 30 novembre per designare formalmente il rappresentante NIS in Italia.

Dal 1° gennaio al 28 febbraio di ogni anno, gli utenti compilano, tramite il Servizio NIS/Registrazione, la dichiarazione per il soggetto per cui operano ai fini della sua registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate.

 

Scadenze imminenti

Termine Obbligo Soggetti interessati
31 maggio 2025 Designazione del sostituto del punto di contatto Tutti i soggetti NIS
15 aprile – 31 maggio 2025 Aggiornamento annuale dei dati sulla piattaforma digitale ACN Tutti i soggetti NIS
1° settembre – 30 novembre Designazione o aggiornamento del rappresentante NIS (soggetti non UE) Soggetti NIS stabiliti fuori UE

 

Sicurezza concreta: misure minime e scadenze nella Determina ACN n. 164179/2025

La seconda determinazione, prot. 164179 e firmata anch’essa il 10 aprile 2025, è quella che più incide sulla dimensione tecnica della conformità. L’atto, emanato ai sensi dell’art. 31 del d.lgs. 138/2024, stabilisce le misure di sicurezza di base e i criteri per la notifica degli incidenti significativi, differenziati per soggetti importanti ed essenziali.

Le specifiche, raccolte negli allegati tecnici 1–4, comprendono:

  • prescrizioni organizzative e tecniche per la gestione del rischio cyber;
  • livelli minimi di maturità ispirati al Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025);
  • criteri oggettivi per la classificazione degli incidenti significativi, da notificare in funzione della gravità e dell’impatto.

È importante sottolineare che tali misure non sono rigide né standardizzate: devono essere adattate al contesto specifico dell’organizzazione tramite un processo di valutazione del rischio. L’integrazione con le politiche di sicurezza già esistenti è incoraggiata, così da evitare sovrapposizioni e garantire coerenza strategica.

I termini per l’adeguamento sono così fissati:

  • 18 mesi per adottare le misure di sicurezza di base (dalla comunicazione di iscrizione nell’elenco NIS);
  • 9 mesi per implementare i meccanismi di notifica degli incidenti.

Particolari regole transitorie sono previste per:

  • i soggetti già identificati come OSE ai sensi del d.lgs. 65/2018;
  • gli operatori telco, tenuti a notificare anche in base a soglie combinate di durata del disservizio e percentuale di utenza colpita (dal 15% per più di un’ora fino al 1% per oltre 8 ore);
  • i soggetti del Perimetro di sicurezza nazionale cibernetica (PSNC), limitatamente ai sistemi non già inclusi nel perimetro stesso.

La determinazione è entrata in vigore il 30 aprile 2025, mentre gli allegati tecnici diventeranno applicabili al termine della procedura di informazione prevista dalla direttiva (UE) 2015/1535.

 

Collaborare conviene: la nuova disciplina sugli accordi volontari – Determina ACN n. 136118/2025

Con la determinazione n. 136118, anch’essa datata 10 aprile 2025, l’ACN completa il quadro regolatorio avviando la disciplina degli accordi di condivisione delle informazioni sulla sicurezza informatica.

In linea con l’art. 17 del decreto NIS, i soggetti essenziali e importanti devono notificare, tramite il portale ACN:

  • l’elenco aggiornato degli accordi sottoscritti;
  • il testo integrale, la denominazione e i partecipanti;
  • eventuali modifiche o cessazioni, entro 14 giorni dal verificarsi dell’evento.

Tali accordi possono riguardare lo scambio volontario di indicatori di compromissione (IoC), di vulnerabilità emergenti o di buone pratiche adottate per la protezione delle infrastrutture digitali. Il valore operativo di questa cooperazione risiede nella sua tempestività: una minaccia nota condivisa in tempo reale può evitare danni su larga scala.

Ogni anno, tra il 15 aprile e il 31 maggio, andrà confermato l’elenco degli accordi in essere. Gli accordi sottoscritti prima dell’entrata in vigore del decreto, se ancora attivi, dovranno essere notificati entro il 31 maggio 2026.

 

Prossimi passi

L’impianto normativo italiano in materia di cybersicurezza si è dotato di strumenti operativi chiari, vincolanti e documentati. I soggetti inclusi nel perimetro NIS sono ora chiamati a:

  • verificare la propria inclusione e classificazione (essenziale, importante, estero);
  • aggiornare o costituire il proprio profilo sulla piattaforma ACN;
  • adottare misure, procedure e processi coerenti con gli allegati tecnici ACN;
  • pianificare le attività di compliance continuativa, inclusa la revisione della governance, l’allocazione di risorse e l’aggiornamento delle competenze interne.

L’ACN ha pubblicato le determinazioni sui propri canali ufficiali (www.acn.gov.it) e tramite comunicazione sulla Gazzetta Ufficiale. Si prevede inoltre l’adozione di ulteriori atti applicativi nei prossimi mesi, anche con riferimento al sistema sanzionatorio.

 

Gli esperti di Gruppo 2G e iSimply sono a disposizione per offrire un adeguato supporto operativo alle organizzazioni soggette agli obblighi NIS, affiancandole nell’interpretazione delle determinazioni ACN, nella predisposizione della documentazione richiesta e nell’adozione delle misure tecniche e organizzative previste dal nuovo quadro normativo.

Altre news

Rifiuti abbandonati: telecamere e multe più facili con il “Decreto Terra dei Fuochi”

arrow_forward

GDPR: rassegna stampa N° 8/2025 agosto

arrow_forward

TRIBUTI: rassegna stampa N° 9/2025 agosto

arrow_forward

Buone pratiche di cybersecurity di base per i dipendenti della PA

arrow_forward

TRIBUTI: rassegna stampa N° 8/2025 luglio

arrow_forward