Mentre una parte significativa delle imprese italiane ancora si sta organizzando per far fronte agli obblighi introdotti dalla direttiva NIS2, recepita nel nostro ordinamento con il decreto legislativo n. 138 del 4 settembre 2024, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha ufficialmente avviato la seconda fase operativa con la pubblicazione di tre determinazioni cruciali datate 10 aprile 2025.
Si tratta di un’evoluzione significativa che delinea il passaggio dalla fase di identificazione dei soggetti NIS – tramite comunicazione PEC – a quella della vera e propria attuazione tecnica e organizzativa degli obblighi previsti dal nuovo impianto normativo.
Il quadro che emerge è quello di una crescente formalizzazione, strutturazione e tracciabilità dell’interazione tra soggetti pubblici e privati e l’autorità nazionale competente NIS, in una logica di responsabilizzazione progressiva, centralità del dato e rafforzamento dei meccanismi di sicurezza e reazione agli incidenti.
Indice degli argomenti
Misure minime, notifica incidenti e criteri oggettivi
Con la prima delle tre determinazioni, contrassegnata dal numero 164179, ACN stabilisce in maniera ufficiale le specifiche tecniche di base che i soggetti NIS dovranno adottare in fase di prima applicazione della normativa.
Il documento è particolarmente articolato e si fonda su quattro allegati che definiscono, rispettivamente, le misure minime di sicurezza e la definizione di incidente significativo, distintamente per soggetti “importanti” e “essenziali”.
La determinazione recepisce pienamente l’impostazione del Framework Nazionale per la Cybersecurity e la Data Protection 2025, e ne fa esplicito riferimento, ancorando le misure tecniche a categorie, sottocategorie e requisiti organizzati secondo una logica funzionale.
Non si tratta, quindi, di un semplice elenco di misure o prescrizioni, ma di un modello adattativo che tiene conto del contesto, della maturità del soggetto, del suo ruolo all’interno del sistema socioeconomico e del potenziale impatto di un eventuale incidente informatico.
Viene stabilito che le misure minime devono essere adottate entro un termine massimo di diciotto mesi dalla ricezione della comunicazione ufficiale da parte di ACN.
In modo complementare, i requisiti per la notifica degli incidenti significativi – anch’essi dettagliati negli allegati – devono essere recepiti entro nove mesi dalla stessa data.
Da notare che le soglie di impatto previste per i soggetti Telco introducono per la prima volta criteri oggettivi e quantitativi, legati alla durata dell’interruzione del servizio e alla percentuale di utenza coinvolta: un passaggio che finalmente supera l’ambiguità del concetto di “incidente grave” lasciato all’interpretazione del singolo operatore.
Piattaforma ACN: registrazione, aggiornamenti annuali e punto di contatto
Il secondo provvedimento, identificato come determinazione n. 136117, completa e formalizza l’architettura digitale attraverso cui i soggetti NIS devono interfacciarsi con l’autorità.
La cosiddetta piattaforma ACN, accessibile tramite il Portale dei Servizi dell’Agenzia, rappresenta il fulcro delle comunicazioni ufficiali e delle attività previste dalla disciplina NIS.
Viene definito in modo puntuale il concetto di “punto di contatto”, figura cardine nella gestione della compliance: si tratta di una persona fisica che, per conto del soggetto NIS, assume la responsabilità operativa delle comunicazioni, dell’accesso alla piattaforma e della trasmissione delle informazioni richieste.
Tale figura può essere il rappresentante legale, un procuratore o anche un dipendente formalmente delegato. È inoltre prevista la possibilità di designare un “sostituto punto di contatto”, con funzioni analoghe, e di nominare ulteriori figure di supporto come “operatori” o “segreterie”.
L’aspetto forse più rilevante di questo provvedimento è l’obbligo di aggiornare ogni anno le informazioni tramite la piattaforma digitale. L’intervallo temporale fissato è compreso tra il 15 aprile e il 31 maggio e comprende la revisione e la conferma di tutti i dati anagrafici, contabili e tecnici dell’organizzazione.
Oltre ai dati generali, i soggetti dovranno dichiarare il proprio assetto societario, la presenza di imprese collegate o capogruppo, l’eventuale operatività in altri Stati Membri dell’Unione, i servizi offerti e persino l’elenco dei nomi a dominio e degli indirizzi IP pubblici nella loro disponibilità.
Un passaggio non trascurabile riguarda la responsabilità diretta degli organi di amministrazione: ai sensi dell’art. 23 del decreto NIS, essi rispondono in prima persona dell’adeguatezza e della veridicità delle informazioni trasmesse.
L’ACN potrà procedere a verifiche di coerenza a campione, con riserva di richiedere integrazioni o chiarimenti.
Accordi di condivisione: da prassi volontaria a obbligo formale
Il terzo documento pubblicato da ACN, identificato come determinazione n. 136118, si concentra su un aspetto spesso sottovalutato: la partecipazione agli accordi volontari di condivisione delle informazioni sulla sicurezza informatica.
Se in passato questa pratica era lasciata all’iniziativa dei singoli, oggi diventa un adempimento formalizzato, con obbligo di notifica, aggiornamento e documentazione.
In particolare, le organizzazioni soggette alla disciplina NIS devono notificare, attraverso la piattaforma digitale, tutti gli accordi sottoscritti a partire dall’entrata in vigore del decreto. L’adempimento prevede la condivisione del testo dell’accordo, della sua denominazione e dell’elenco dei partecipanti.
Entro il 31 maggio di ogni anno deve essere eseguito l’aggiornamento degli accordi in essere, e ogni variazione – dalla sottoscrizione alla risoluzione, fino alla modifica dei partecipanti – va comunicata entro 14 giorni.
Anche gli accordi precedenti al decreto, se ancora attivi, dovranno essere notificati entro il 31 maggio 2026.
Nuovo paradigma: la cyber sicurezza come responsabilità strutturata
L’avvio della seconda fase di attuazione del decreto NIS segna un salto qualitativo nell’approccio alla cyber sicurezza nazionale.
Non si tratta più soltanto di un obbligo normativo, ma dell’introduzione di un sistema formale di accountability che coinvolge in modo trasversale le organizzazioni pubbliche e private, esigendo consapevolezza, struttura, trasparenza e responsabilità.
Gli adempimenti non sono più relegati alla buona volontà del CISO o del team IT, ma diventano obblighi documentati, certificabili, tracciabili, che si legano direttamente alla governance aziendale. La figura del punto di contatto, le soglie di impatto, gli aggiornamenti annuali e gli obblighi di notifica – compresi quelli relativi agli accordi informativi – costituiscono le tessere di un mosaico più grande: quello di un ecosistema digitale resiliente, capace di prevenire, rilevare e rispondere efficacemente agli attacchi.
Il tempo a disposizione è definito e vincolante. Chi ha ricevuto la comunicazione ufficiale di inserimento nell’elenco dei soggetti NIS è ora chiamato ad agire, a costruire una roadmap interna per adeguarsi nei tempi stabiliti e a formalizzare ruoli, processi e strumenti.
Non si tratta solo di adempiere, ma di maturare una postura di sicurezza strutturata, in linea con le migliori prassi europee.
Ogni ritardo, ogni ambiguità interpretativa o superficiale leggerezza può trasformarsi non solo in una non conformità, ma in una falla. E una falla, oggi, equivale a un rischio reale: tecnico, economico, reputazionale.
È il momento di prenderlo sul serio. È il momento di essere pronti.
