Entro il 31 maggio 2025 i soggetti NIS dovranno porre in essere alcuni adempimenti e comunicare ulteriori dati per completare la fase di registrazione già iniziata in precedenza.
Con l’emanazione di tre nuove determinazioni, ACN – Agenzia per la cybersicurezza nazionale – ha dato avvio alla seconda fase del processo di attuazione della disciplina NIS, che coinvolgerà nei prossimi mesi le imprese e le pubbliche amministrazioni (c.d. soggetti NIS) che sono state individuate al termine della prima fase di registrazione.
Dopo aver individuato e informato a mezzo pec i soggetti NIS direttamente assoggettati alla normativa (circa 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali), ACN ha definito le regole e le procedure relative a:
a) aggiornamento delle informazioni, che dovranno essere fornite dai soggetti NIS entro il 31 maggio p.v. (Determinazione ACN 136117 del 10 aprile 2025);
b) specifiche di base per l’adempimento agli obblighi di sicurezza di base e di notifica degli incidenti (Determinazione ACN 164179 del 14 aprile 2025);
c) notifica degli accordi di condivisione delle informazioni sulla sicurezza informatica (Determinazione ACN 136118 del 10 aprile 2025).
Sintesi dei principali contenuti
a) Aggiornamento delle informazioni
Entro il 31 maggio 2025, i soggetti NIS sono tenuti a designare il “sostituto punto di contatto” e a fornire e aggiornare le informazioni previste dall’articolo 7, commi 4 e 5, del decreto NIS (Determinazione ACN 136117/2025). In particolare, sarà necessario segnalare all’Agenzia i componenti degli organi di amministrazione e direttivi, gli indirizzi IP (pubblici e statici), unitamente ai nomi di dominio, in uso o nella disponibilità del soggetto.
Il sostituto punto di contatto è una persona fisica, distinta dal punto di contatto, designato con le medesime modalità, che supporta quest’ultimo nell’esercizio delle proprie funzioni, che può interloquire direttamente con l’Autorità nazionale competente NIS e che può effettuare sulla piattaforma digitale le medesime azioni del punto di contatto. Inoltre, per agevolare le attività tramite i servizi NIS resi disponibili sul Portale ACN, il punto di contatto potrà farsi assistere da ulteriori utenti, invitandoli a svolgere il ruolo di operatore o di segreteria.
Con riferimento ai componenti degli organi di amministrazione e direttivi, ACN ha precisato con propria FAQ che ai fini dell’aggiornamento annuale è richiesta la sola l’elencazione dei componenti del Consiglio di amministrazione dell’organizzazione, o strutture analoghe tenuto conto della natura giuridica e alla struttura organizzativa dell’organizzazione. Essi, infatti, ai sensi dell’articolo 23 del Decreto NIS, sovrintendono all’implementazione degli obblighi di cui al decreto NIS e sono responsabili delle eventuali violazioni.
Pertanto, ai fini dell’adempimento in parola, non è attesa l’elencazione delle persone fisiche che svolgono le funzioni di punto di contatto (e sostituto), di CISO o di responsabile della sicurezza aziendale, né altre figure apicali sotto ordinate al CDA, salvo che essi siano anche componenti del CDA.
Per concludere l’adempimento, sarà necessario anche verificare la correttezza dei dati anagrafici e di contatto del soggetto NIS, nonché indicare ulteriori informazioni, come i servizi offerti e le sedi nell’UE.
b) Misure di sicurezza di base e notifica degli incidenti significativi
Per l’adempimento degli obblighi di cui agli articoli 23, 24, e 25 del decreto NIS, i soggetti NIS, sono tenuti ad adottare le misure di sicurezza di base e a notificare al CSIRT Italia gli incidenti significativi di base stabiliti dalla Determinazione ACN 164179/2025.
Entro 18 mesi (ottobre 2026) dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS, i soggetti importanti sono tenuti ad adottare le misure di sicurezza riportate nell’allegato 1 della citata determinazione, mentre i soggetti essenziali sono tenuti ad adottare le misure di sicurezza riportate nell’allegato 2 della medesima determina.
Le misure di sicurezza sono sviluppate in accordo al Framework nazionale per la Cybersecurity e la Data Protection e sono organizzate in funzioni, categorie, sottocategorie e requisiti.
Ogni misura è costituita da un codice identificativo e una descrizione e da uno o più requisiti. Il codice e la descrizione fanno riferimento alle sottocategorie del framework. I requisiti indicano ciò che è richiesto ai fini dell’implementazione della misura.
Entro 9 mesi (gennaio 2026) dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS, i soggetti importanti sono tenuti a notificare al CSRIT Italia gli incidenti significativi riportati nell’allegato 3 della Determinazione ACN 164179/2025, mentre i soggetti essenziali sono tenuti a notificare al CSIRT Italia gli incidenti significativi riportati nell’allegato 4 della medesima determina.
c) Notifica degli accordi di condivisione
La Determinazione ACN 136118/2025 stabilisce le modalità con cui i soggetti NIS notificano ad ACN l’eventuale partecipazione agli accordi di condivisione previsti all’art. 17 del decreto NIS.
Gli accordi di condivisione consentono ai soggetti NIS e, laddove opportuno, anche ad ulteriori soggetti, di scambiarsi, su base volontaria, pertinenti informazioni sulla sicurezza informatica, comprese informazioni relative a minacce informatiche, quasi-incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di sicurezza informatica e raccomandazioni concernenti la configurazione degli strumenti di sicurezza informatica per individuare le minacce informatiche.
Per maggiori informazioni contattare Francesco Angeletti
Tel. 071 29048218 | mobile 3315758931 | f.angeletti@confindustria.an.it
