Con l’entrata in vigore della Direttiva NIS2 e la successiva trasposizione nel D.Lgs. 138/2024, il percorso verso la piena conformità per i soggetti pubblici e privati inclusi nel perimetro normativo si arricchisce di nuovi adempimenti. Dal 12 aprile 2025, infatti, ha preso il via la seconda fase attuativa con l’invio delle notifiche formali da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN) e la pubblicazione della nuova determinazione del 10 aprile 2025.

1. Notifica ufficiale
2. Obblighi e trasmissione del set informativo
3. Le novità
4. Azioni da intraprendere
5. FAQ tecniche

A partire dal 12 aprile 2025, tutti i soggetti rientranti nel perimetro della Direttiva NIS2 e registrati al portale ACN riceveranno una comunicazione ufficiale tramite PEC da parte dell’ACN. Questa notifica rappresenta il riconoscimento formale della loro inclusione tra i soggetti obbligati, avviando ufficialmente l’iter di adeguamento normativo.

La notifica, inoltre, è accompagnata dalla nuova Determinazione ACN del 10 aprile 2025 che definisce:

• le misure minime di sicurezza informatica da adottare;

• le tempistiche e modalità di notifica degli incidenti;

• le nuove figure organizzative e modalità di designazione;

• e l’introduzione del servizio NIS/Aggiornamento annuale.

Uno degli adempimenti fondamentali previsti per i soggetti inclusi è la trasmissione del set informativo obbligatorio tramite il Portale dei Servizi ACN entro fine maggio 2025.

Il set dovrà includere:

• i propri indirizzamenti IP pubblici;

• l’elenco degli Stati membri UE in cui si prestano servizi digitali o infrastrutturali;

• il nominativo del responsabile della sicurezza;

• il nominativo del sostituto punto di contatto, da attivare in caso di assenza del titolare.

Tutti questi dati dovranno essere mantenuti aggiornati e ogni variazione dovrà essere comunicata entro 14 giorni.

La Determinazione ACN del 10 aprile 2025, che sostituisce quella precedente del 26 novembre 2024, conferma alcuni aspetti già regolati e introduce importanti novità:

• la figura del sostituto del punto di contatto, da designare entro il 31 maggio 2025, con funzione di supporto e interlocuzione con l’Autorità nazionale competente;

• la figura della segreteria, intesa come persona fisica incaricata di supportare punto di contatto e sostituto nella gestione operativa dei rapporti con l’ACN;

• la possibilità di designare procuratori generali (censiti nel Registro Imprese) come punto di contatto, oppure — per la PA — personale di altre amministrazioni previa autorizzazione ex art. 53 D.Lgs. 165/2001;

• la definizione dei termini annuali per l’aggiornamento della documentazione relativa al rappresentante nell’Unione (dal 1° settembre al 30 novembre);

• l’introduzione del servizio NIS/Aggiornamento annuale, volto a verificare e consolidare le informazioni trasmesse, inclusi dati anagrafici, contatti, servizi offerti nell’UE, indirizzi IP, domini, composizione degli organi direttivi, ed eventuali accordi di condivisione dati;

• la previsione che l’elenco dei soggetti NIS può essere aggiornato successivamente alla sua prima elaborazione.

A seguito della notifica ufficiale di inclusione nel perimetro NIS2 da parte dell’ACN, i soggetti designati — pubblici e privati — sono tenuti a rispettare una serie di adempimenti operativi previsti dal D.Lgs. 138/2024 e dalla Determinazione ACN del 10 aprile 2025. Di seguito, un riepilogo sintetico delle attività obbligatorie:

• Designazione formale del punto di contatto NIS e del relativo sostituto, con indicazione dei dati anagrafici e di contatto. La nomina del sostituto è obbligatoria entro il 31 maggio 2025.

• Trasmissione del set informativo tramite il Portale dei Servizi ACN, contenente:

  • indirizzi IP pubblici utilizzati dal soggetto;

  • nomi di dominio associati;

  • elenco degli Stati membri UE in cui vengono erogati servizi digitali o infrastrutturali;

  • generalità del responsabile della sicurezza;

  • dati dei componenti dell’organo amministrativo o di direzione.
    Il termine per la trasmissione è fissato entro fine maggio 2025.

• Aggiornamento tempestivo delle informazioni trasmesse, da effettuarsi entro 14 giorni dall’intervenuta modifica.

• Partecipazione al servizio NIS/Aggiornamento annuale, obbligatorio ogni anno tra il 1° settembre e il 30 novembre, per il consolidamento e la verifica dei dati già trasmessi.

• Verifica e gestione delle deleghe per l’accesso alla piattaforma, garantendo che le funzioni siano assegnate a soggetti con adeguata rappresentanza o poteri formali.