Cybersecurity

NIS2: al via la seconda fase attuativa. Cosa devono fare aziende e PA dopo la notifica ACN

foto di Daniele Sorgente
AUTORE: Daniele Sorgente
d.sorgente@studiolegally.com
icona di linkedin

NIS2: al via la seconda fase attuativa. Cosa devono fare aziende e PA dopo la notifica ACN

Dal 12 aprile 2025 è iniziata la seconda fase attuativa della Direttiva NIS2: cosa comporta per aziende e PA registrate come soggetti NIS2.

NIS2 - Seconda fase e direttive dalla ACN per soggetti NIS2 registrati

 

Con l’entrata in vigore della Direttiva NIS2 e la successiva trasposizione nel D.Lgs. 138/2024, il percorso verso la piena conformità per i soggetti pubblici e privati inclusi nel perimetro normativo si arricchisce di nuovi adempimenti. Dal 12 aprile 2025, infatti, ha preso il via la seconda fase attuativa con l’invio delle notifiche formali da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN) e la pubblicazione della nuova determinazione del 10 aprile 2025.

 

Indice dell’articolo

  1. Notifica ufficiale
  2. Obblighi e trasmissione del set informativo
  3. Le novità
  4. Azioni da intraprendere
  5. FAQ tecniche

 

Notifica via PEC e riconoscimento formale

A partire dal 12 aprile 2025, tutti i soggetti rientranti nel perimetro della Direttiva NIS2 e registrati al portale ACN riceveranno una comunicazione ufficiale tramite PEC da parte dell’ACN. Questa notifica rappresenta il riconoscimento formale della loro inclusione tra i soggetti obbligati, avviando ufficialmente l’iter di adeguamento normativo.

La notifica, inoltre, è accompagnata dalla nuova Determinazione ACN del 10 aprile 2025 che definisce:

  • le misure minime di sicurezza informatica da adottare;

  • le tempistiche e modalità di notifica degli incidenti;

  • le nuove figure organizzative e modalità di designazione;

  • e l’introduzione del servizio NIS/Aggiornamento annuale.

Cosa si intende per “nuova determinazione”?

La nuova determinazione è un atto formale emesso dall’Agenzia per la Cybersicurezza Nazionale (ACN) che aggiorna e sostituisce una precedente regolamentazione operativa.

In questo caso, la determinazione del 10 aprile 2025 integra e riformula i contenuti della precedente delibera del 26 novembre 2024, mantenendone l’impianto generale ma introducendo nuove figure organizzative, obblighi più dettagliati e procedure aggiornate per la gestione della sicurezza cibernetica. Questi aggiornamenti rendono più chiaro e completo il quadro normativo a cui i soggetti NIS2 devono attenersi.


 

Obblighi NIS2: cosa prevede la seconda fase attuativa dell’ACN

Uno degli adempimenti fondamentali previsti per i soggetti inclusi è la trasmissione del set informativo obbligatorio tramite il Portale dei Servizi ACN entro fine maggio 2025.

Il set dovrà includere:

  • i propri indirizzamenti IP pubblici;

  • l’elenco degli Stati membri UE in cui si prestano servizi digitali o infrastrutturali;

  • il nominativo del responsabile della sicurezza;

  • il nominativo del sostituto punto di contatto, da attivare in caso di assenza del titolare.

Tutti questi dati dovranno essere mantenuti aggiornati e ogni variazione dovrà essere comunicata entro 14 giorni.

Cosa si intende per “punto di contatto”?

Il punto di contatto NIS2 è una figura designata dall’organizzazione per garantire l’interlocuzione diretta e continuativa con l’Agenzia per la Cybersicurezza Nazionale (ACN). Deve essere una persona fisica dotata di adeguati poteri di rappresentanza, come un legale rappresentante o un procuratore generale regolarmente iscritto al registro delle imprese.

Il punto di contatto ha il compito di trasmettere e aggiornare tutte le informazioni obbligatorie, ricevere comunicazioni ufficiali da parte dell’ACN e coordinare la risposta agli obblighi previsti dalla normativa.

La nuova determinazione del 10 aprile 2025 introduce anche la possibilità di nominare un sostituto del punto di contatto, da designare entro il 31 maggio 2025, e una figura di segreteria di supporto, al fine di garantire una gestione strutturata e continuativa del rapporto con l’Autorità.


 

Determinazione ACN 10 aprile 2025: tutte le novità per i soggetti NIS2

La Determinazione ACN del 10 aprile 2025, che sostituisce quella precedente del 26 novembre 2024, conferma alcuni aspetti già regolati e introduce importanti novità:

  • la figura del sostituto del punto di contatto, da designare entro il 31 maggio 2025, con funzione di supporto e interlocuzione con l’Autorità nazionale competente;

  • la figura della segreteria, intesa come persona fisica incaricata di supportare punto di contatto e sostituto nella gestione operativa dei rapporti con l’ACN;

  • la possibilità di designare procuratori generali (censiti nel Registro Imprese) come punto di contatto, oppure — per la PA — personale di altre amministrazioni previa autorizzazione ex art. 53 D.Lgs. 165/2001;

  • la definizione dei termini annuali per l’aggiornamento della documentazione relativa al rappresentante nell’Unione (dal 1° settembre al 30 novembre);

  • l’introduzione del servizio NIS/Aggiornamento annuale, volto a verificare e consolidare le informazioni trasmesse, inclusi dati anagrafici, contatti, servizi offerti nell’UE, indirizzi IP, domini, composizione degli organi direttivi, ed eventuali accordi di condivisione dati;

  • la previsione che l’elenco dei soggetti NIS può essere aggiornato successivamente alla sua prima elaborazione.


 

Obblighi concreti dei soggetti registrati NIS2

A seguito della notifica ufficiale di inclusione nel perimetro NIS2 da parte dell’ACN, i soggetti designati — pubblici e privati — sono tenuti a rispettare una serie di adempimenti operativi previsti dal D.Lgs. 138/2024 e dalla Determinazione ACN del 10 aprile 2025. Di seguito, un riepilogo sintetico delle attività obbligatorie:

  • Designazione formale del punto di contatto NIS e del relativo sostituto, con indicazione dei dati anagrafici e di contatto. La nomina del sostituto è obbligatoria entro il 31 maggio 2025.

  • Trasmissione del set informativo tramite il Portale dei Servizi ACN, contenente:

    • indirizzi IP pubblici utilizzati dal soggetto;

    • nomi di dominio associati;

    • elenco degli Stati membri UE in cui vengono erogati servizi digitali o infrastrutturali;

    • generalità del responsabile della sicurezza;

    • dati dei componenti dell’organo amministrativo o di direzione.
      Il termine per la trasmissione è fissato entro fine maggio 2025.

  • Aggiornamento tempestivo delle informazioni trasmesse, da effettuarsi entro 14 giorni dall’intervenuta modifica.

  • Partecipazione al servizio NIS/Aggiornamento annuale, obbligatorio ogni anno tra il 1° settembre e il 30 novembre, per il consolidamento e la verifica dei dati già trasmessi.

  • Verifica e gestione delle deleghe per l’accesso alla piattaforma, garantendo che le funzioni siano assegnate a soggetti con adeguata rappresentanza o poteri formali.


 

FAQ | NIS2

Chi sono i soggetti tenuti a conformarsi alla direttiva NIS2?
I soggetti obbligati includono enti pubblici e imprese private classificate come “essenziali” o “importanti”, nonché imprese collegate che operano in settori ritenuti strategici o critici per la sicurezza nazionale e dell’Unione Europea.
Cosa comporta la notifica ricevuta dall’ACN a partire dal 12 aprile 2025?
La notifica rappresenta il riconoscimento formale dell’inclusione del soggetto nel perimetro applicativo della NIS2. Da quel momento, l’organizzazione è tenuta a rispettare le tempistiche e gli obblighi previsti, inclusa la trasmissione del set informativo iniziale e l’adeguamento alle misure minime di sicurezza definite dall’ACN.
Cos’è il punto di contatto previsto dalla NIS2?

Il punto di contatto è una figura obbligatoria per ogni soggetto incluso nella NIS2, responsabile della comunicazione con l’ACN. Deve essere una persona fisica dotata di poteri di rappresentanza o specifica delega. Oltre al titolare, è ora obbligatorio designare anche un sostituto, che supporta il titolare in caso di assenza o impedimento.

Quali sono le nuove figure introdotte dalla ACN?

La Determinazione ha introdotto nuove figure operative per rafforzare il sistema di compliance:

  • Sostituto del punto di contatto: figura obbligatoria, designata con le stesse modalità del titolare, per garantire continuità nei rapporti con l’ACN.
  • Segreteria tecnica: persona fisica di supporto al punto di contatto e al sostituto, con funzioni amministrative e di raccordo.
  • Procuratori generali: possono assumere il ruolo di punto di contatto se censiti nel Registro delle Imprese.
  • Funzionari di altre PA: nel caso di enti pubblici, il ruolo può essere affidato anche a personale esterno, con autorizzazione specifica ai sensi del D.Lgs. 165/2001.

registrazione portale acn nis2 | Iscrizione portale acn nis2

 

Dubbi sulla nuova determinazione?

Contattaci ora

Leggi gli altri articoli
Le clausole antistallo: la Russian Roulette Clause
Arbitro assicurativo: la nuova figura del 2025
Registrazione Portale ACN: Guida completa per soggetti NIS2
Quando l’AI discrimina: il caso Amazon e le nuove regole europee
AI e Privacy. Come la sanzione ad OpenAI rivela i costi del GDPR.

Ti serve qualche informazione in più sull'articolo? Scrivici a info@studiolegally.com