L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato sul proprio portale tre determinazioni di particolare rilievo per l’attuazione del Decreto Legislativo 4 settembre 2024, n. 138, di recepimento della Direttiva (UE) 2022/2555 (NIS 2). Questi provvedimenti segnano l’avvio della seconda fase attuativa di NIS 2 in Italia.
Nel presente contributo si illustrano i principali contenuti delle tre determinazioni, con l’obiettivo di fornire una sintesi utile all’adeguamento normativo e operativo dei soggetti coinvolti.
- Determinazione ACN n. 136117
La determinazione – già in vigore dal 15 aprile – aggiorna e sostituisce la precedente determinazione ACN n. 38565 del 26 novembre 2024 relativamente all’utilizzo del Portale ACN e dei Servizi NIS. Si riprendono dunque i temi relativi al censimento, alla registrazione e all’aggiornamento annuale delle informazioni, nonché alla designazione dei rappresentanti nell’Unione, introducendo però anche nuovi elementi e ruoli tra cui:
- il “sostituto punto di contatto”, ovvero la persona fisica distinta dal punto di contatto, designata con le medesime modalità e funzioni del punto di contatto, ad eccezione della possibilità di registrare il soggetto NIS;
- la “segreteria”, ovvero la persona fisica che supporta il punto di contatto e il sostituto punto di contatto nelle interlocuzioni con l’ACN;
- l'”operatore”, ovvero la persona fisica che supporta il punto di contatto e il sostituto punto di contatto operando direttamente sui servizi NIS.
Nello specifico, al punto di contatto è ora data la facoltà di invitare ulteriori utenti con il ruolo di operatore e – al massimo – un utente con il ruolo di segreteria, che potranno effettuare determinate operazioni sul Portale ACN su indicazione del punto di contatto.
La determinazione introduce. Inoltre, indicazioni dettagliate sull’aggiornamento annuale delle informazioni previste dall’articolo 7, commi 4 e 5, già segnalato ai soggetti NIS tramite comunicazione ACN nei giorni scorsi. La determinazione n. 136117 sarà ulteriormente aggiornata entro il 30 giugno 2025.
- Determinazione ACN n. 136118
La determinazione – già in vigore dal 15 aprile – stabilisce le modalità con cui i soggetti NIS devono notificare all’ACN la partecipazione ad accordi volontari per la condivisione delle informazioni sulla sicurezza informatica, ai sensi dell’articolo 17 del Decreto NIS.
In particolare, è previsto che i soggetti NIS trasmettano all’ACN, tramite l’apposita piattaforma digitale, una comunicazione contenente il testo integrale dell’accordo, la sua denominazione ufficiale e l’elenco dettagliato dei partecipanti coinvolti. L’aggiornamento annuale obbligatorio delle informazioni comunicate si inserisce nel più ampio processo di aggiornamento previsto dall’articolo 7, comma 4, del decreto NIS, da effettuarsi ogni anno nel periodo compreso tra il 15 aprile e il 31 maggio.
Ogni variazione agli accordi precedentemente notificati deve essere tempestivamente comunicata all’ACN entro 14 giorni dalla modifica stessa. Infine, entro il 31 maggio 2026, i soggetti NIS devono notificare gli accordi già attivi e stipulati prima dell’entrata in vigore del Decreto NIS.
- Determinazione ACN n. 164179 ed allegati
La determinazione – che entrerà in vigore a decorrere dal 30 aprile – definisce le specifiche tecniche minime richieste per adempiere agli obblighi di sicurezza informatica e di notifica degli incidenti significativi previsti dagli articoli 23, 24, 25, 29 e 32 del Decreto NIS.
Vengono introdotte specifiche tecniche dettagliate, contenute in quattro allegati:
- Allegati 1 e 2: illustrano le misure minime di sicurezza obbligatorie rispettivamente per i soggetti importanti e per quelli essenziali, con riferimento ai requisiti specifici di gestione dei rischi per la sicurezza informatica; per i soggetti importanti, si tratta di implementare 37 misure, declinate in 87 requisiti, mentre i soggetti essenziali dovranno adottare ulteriori 6 misure e 29 requisiti per un totale di 43 misure e 116 requisiti.
- Allegati 3 e 4: descrivono le tipologie di incidenti significativi che dovranno essere notificati all’ACN. Per i soggetti importanti sono individuate tre categorie di incidenti, mentre i soggetti essenziali sono tenuti a monitorare e notificare la ricorrenza di quattro fattispecie distinte di incidente.
L’adozione di queste misure minime di sicurezza deve avvenire entro 18 mesi dalla ricezione della comunicazione ufficiale di inserimento nell’elenco NIS. Parallelamente, l’obbligo di notifica degli incidenti entrerà in vigore dopo 9 mesi dalla medesima comunicazione, con piena operatività prevista da gennaio 2026.
Sono previsti inoltre obblighi specifici per garantire la sicurezza e resilienza dei sistemi di nomi di dominio (DNS), ai sensi dell’articolo 29 del Decreto NIS, nonché chiarimenti sugli obblighi di notifica per i soggetti rientranti nel perimetro nazionale di sicurezza cibernetica.
Infine, la determinazione definisce un regime transitorio dedicato agli operatori dei servizi essenziali (OSE) ai sensi del Decreto Legislativo 18 maggio 2018, n. 65 (con il quale si recepiva la prima direttiva NIS) e agli operatori TELCO.
Conclusioni
Con la pubblicazione delle determinazioni si avvia formalmente la seconda fase esecutiva dell’attuazione della disciplina NIS 2. I soggetti rientranti nell’ambito di applicazione del decreto dovranno predisporre tempestivamente le misure necessarie all’adeguamento, nel rispetto delle tempistiche fissate.
Per un approfondimento sulla applicazione di NIS 2 può essere di interesse l’articolo “Il meccanismo dello sportello unico nella Direttiva NIS 2: guida per le imprese all’ identificazione dello stabilimento principale“.
