Attuazione della disciplina NIS: completata la prima fase, adesso tocca alle aziende

La nuova disciplina NIS, così come normata dalla Dir. (UE) 2022/2555 (“direttiva NIS2”) e recepita in Italia dal D.Lgs. 138/2024 (“Decreto NIS”), è una norma piuttosto complessa, che coinvolge a vario titolo aziende, istituzioni e organi di controllo di ciascun Paese al fine di garantire un livello comune elevato di sicurezza e resilienza informatica nei settori critici del tessuto economico e sociale.

Per questo, la sua attuazione si sviluppa su un arco temporale di alcuni anni, secondo un piano articolato in 3 fasi principali che ogni Stato membro è incaricato di portare avanti nel proprio ambito nazionale.

In Italia, il “Tavolo per l’attuazione della disciplina NIS” è costituito per assicurare l’implementazione del piano che prevede, in accordo con le tempistiche stabilite dal Decreto NIS e dalla direttiva comunitaria a cui fa riferimento, le seguenti fasi:

Nella sua qualità di “Autorità nazionale competente NIS”, l’ACN (Agenzia per la Cybersicurezza Nazionale) stabilisce, attraverso apposite determinazioni, modalità e tempistiche operative di ciascuna fase del piano.

La prima fase attuativa ha preso il via il 16 Ottobre 2024, con l’entrata in vigore del Decreto NIS, per traguardare, nell’arco di 6 mesi e dunque entro il 16 Aprile 2025, i seguenti obiettivi:

  • Stilare l’elenco dei soggetti interessati NIS, ovvero il registro di tutti i soggetti pubblici e privati che, per dimensioni, tipologia di attività e settore di appartenenza, rientrano nel campo di applicazione della disciplina, nonché le modalità di utilizzo ed accesso alla piattaforma digitale tramite la quale i soggetti interessati devono comunicare con ACN e fornire le informazioni richieste dalla normativa;
  • Definire e adottare le modalità e le specifiche di base per l’adempimento da parte dei soggetti interessati agli obblighi in termini di misure di sicurezza informatica, notifica di incidenti significativi e altre comunicazioni previsti dal Decreto NIS.

Con la determinazione n. 38565 del 26/11/2024, rimasta in vigore fino al 31 marzo 2025, l’ACN ha definito termini e modalità per l’accesso, da parte dei punti di contatto incaricati, alle funzionalità di Registrazione dei soggetti interessati sulla piattaforma digitale dei “Servizi NIS” pubblicata sul proprio portale web, in modo da completare il primo censimento dei soggetti interessati entro il previsto termine di fine febbraio 2025.

L’attività di verifica che ne è seguita ha consentito così ad ACN di stilare entro i termini previsti la prima versione dell’elenco, che conta oltre 20.000 organizzazioni di cui oltre 5.000 soggetti essenziali: per ovvii motivi di sicurezza, i soggetti registrati sono stati informati direttamente da ACN riguardo alla conferma o meno del loro inserimento all’interno dell’elenco.

Nei giorni scorsi, la prima fase attuativa della disciplina NIS si è finalmente completata, con la pubblicazione da parte di ACN di alcune ulteriori determinazioni. In particolare:

  • Det. ACN n. 136117 del 10/04/2025. Sostituendo la precedente n. 38565 del 2024, questa determina aggiorna termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale dei “Servizi NIS”, nonché ulteriori informazioni e comunicazioni che i soggetti devono fornire all’Autorità nazionale competente NIS.
  • Det. ACN n. 136118 del 10/04/2025. Rappresenta di fatto un dettaglio della determina precedente, in quanto stabilisce le modalità con cui i soggetti essenziali e i soggetti importanti notificano all’Autorità nazionale competente NIS la propria partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica.
  • Det. ACN n. 164179 del 14/04/2025. Regola le modalità e le specifiche di base per l’adempimento agli obblighi di sicurezza informatica, notifica di incidenti significativi e altre comunicazioni di cui agli articoli 23, 24, 25, 29 e 32 del Decreto NIS.

I ruoli aziendali coinvolti nell’interlocuzione con ACN e il processo di aggiornamento annuale delle informazioni

Le prime specifiche riguardanti i compiti dei ruoli aziendali nella gestione degli adempimenti previsti dalla disciplina NIS sono state emanate con la determina ACN n. 38565 del 26/11/2024, allo scopo principale di consentire il primo censimento dei soggetti interessati entro le scadenze previste.

La determina n. 136117 del 10/04/2025, in vigore dal 15/04/2025, aggiorna e sostituisce la precedente n. 38565, al fine di definire le modalità e tempistiche operative per l’aggiornamento delle informazioni fornite ad ACN anche successivamente all’adozione del primo elenco dei soggetti interessati NIS. Le principali novità introdotte riguardano:

  • La definizione di compiti e caratteristiche del Sostituto punto di contatto:1
    • È una persona fisica designata con le stesse modalità e condizioni previste per il punto di contatto e si registra sul Portale ACN su invito di quest’ultimo;
    • Supporta il punto di contatto nell’esercizio delle proprie funzioni, potendo interloquire direttamente con l’ACN e svolgere le stesse azioni, eccezion fatta per la prima registrazione del soggetto NIS sul Portale;
    • Va designato entro il 31 Maggio dell’anno in cui il soggetto NIS ha ricevuto comunicazione di inserimento nell’elenco.
  • La possibilità per il punto di contatto di autorizzare l’accesso ai Servizi NIS del Portale ACN anche ad altri utenti con ruolo “operatore” e, al più, un utente con ruolo “segreteria”, non necessariamente appartenenti al personale dipendente del soggetto NIS. Gli utenti con questi ruoli:
    • non possono effettuare azioni sul portale che determinino la trasmissione di comunicazioni, inerenti il perfezionamento degli adempimenti di cui al decreto NIS, al domicilio digitale del soggetto NIS o all’Autorità nazionale competente NIS;
    • tuttavia, compilano la registrazione dei soggetti NIS dal 1° gennaio al 28 febbraio di ogni anno
  • La definizione dettagliata del processo per l’aggiornamento annuale, attraverso il Servizio NIS, delle informazioni riguardanti il soggetto interessato
    • Tra il 15 aprile e il 31 maggio 2025, gli utenti aggiornano, per conto del soggetto per cui operano, le informazioni previste dalla normativa, assicurandone la correttezza. In particolare:
      • I dati anagrafici e di contatto del soggetto NIS
      • Per i soggetti essenziali, l’elenco dei componenti degli organi amministrativi e direttivi, quali persone fisiche responsabili ai sensi dell’art.38 c.5 del decreto NIS, specificando per ciascuna di esse Codice Fiscale e PEC
      • Ove applicabile, l’elenco dei servizi in ambito NIS che il soggetto offre in UE
      • Lo spazio di indirizzamento IP pubblico e dei nomi di dominio in uso o nella disponibilità del soggetto NIS, eventualmente distinto a livello di articolazioni di primo livello
      • L’elenco degli accordi di condivisione delle informazioni a cui il soggetto NIS partecipa
      • Per alcuni fornitori di servizi e infrastrutture digitali o di servizi ICT B2B:2 l’elenco delle sedi del soggetto NIS in UE, specificandone l’indirizzo.
    • Resta comunque in carico al Punto di Contatto (o, in alternativa, al sostituto) la conferma a mezzo DSAN delle informazioni aggiornate dagli utenti
    • Il legale rappresentante del soggetto NIS e, per i soggetti essenziali, i membri degli organi amministrativi / direttivi, confermano e accettano le informazioni inserite che li riguardano.
    • In ogni caso, gli organi amministrativi e direttivi dei soggetti NIS sovrintendono alla registrazione, comunicazione o aggiornamento delle informazioni e sono responsabili delle eventuali violazioni.

È importante osservare, infine, che la determina n. 136117 verrà aggiornata entro il 30 giugno 2025, a conferma della natura transitoria degli adempimenti richiesti in questa fase, che è solo la prima di quelle previste dal piano di attuazione.

Condivisione di informazioni sulla sicurezza informatica

Ove adeguatamente coordinato e gestito, lo scambio di informazioni sulla sicurezza informatica nell’ambito di comunità di soggetti essenziali e importanti e, ove opportuno, dei loro fornitori, consente di aumentare il livello di sicurezza complessivo, promuovendo la collaborazione tra i vari attori della filiera nonché tra soggetti pubblici e privati, al fine di prevenire o rilevare incidenti, recuperare dagli stessi o mitigarne l’impatto.

Data la natura potenzialmente sensibile delle informazioni condivise, il Decreto NIS prevede all’art.17 che:

  • lo scambio di tali informazioni, pur restando applicabile su base volontaria, sia opportunamente regolamentato attraverso appositi accordi di condivisione stipulati tra le parti;
  • i soggetti interessati notifichino all’Autorità nazionale competente NIS la propria partecipazione a tali accordi al momento della loro sottoscrizione o, se già effettivi, del proprio eventuale ritiro dagli stessi.

La determina n. 136118 del 10/04/2025 definisce in modo specifico le modalità con le quali i soggetti interessati debbano notificare ad ACN, nella sua qualità di Autorità nazionale competente NIS, la propria partecipazione ad accordi di condivisione delle informazioni sulla sicurezza informatica. In particolare, stabilisce che:

  • I soggetti NIS condividano, attraverso le apposite funzionalità dei “Servizi NIS” disponibili sul portale ACN, il testo degli accordi, la loro denominazione e l’elenco dei partecipanti.
  • A partire dal 15 Aprile 2025 (data di entrata in vigore della determina), l’elenco degli accordi di condivisione sia aggiornato/confermato annualmente tra il 15 Aprile e il 31 Maggio di ogni anno.
    • Fanno eccezione gli accordi sottoscritti precedentemente all’entrata in vigore del Decreto NIS (16 ottobre 2024), che vanno notificati entro il 31 Maggio 2026 se ancora in atto nella medesima data.
  • A partire dal 31 Maggio 2025, qualsiasi modifica agli accordi in essere va comunicata ad ACN entro 14 giorni dalla modifica.

Modalità e specifiche di base per misure di sicurezza e notifiche di incidenti

La disciplina NIS prevede che i soggetti interessati siano tenuti a rispettare una serie di obblighi a carico degli organi di amministrazione e direttivi in materia di misure di sicurezza informatica e di notifica di incidenti significativi, nonché riguardo ad altre comunicazioni previste verso l’Autorità nazionale competente NIS.

In fase di prima applicazione della disciplina, la portata di tali obblighi è circoscritta alle cosiddette “specifiche di base”, così come stabilite dalla determina ACN n. 164179 del 14/04/2025.

L’ACN ha pubblicato al riguardo alcune risposte a domande frequenti che aiutano a chiarire alcuni dettagli. Nel seguito si riepilogano comunque gli aspetti salienti di quanto previsto dalla determina, che entra in vigore dal 30/04/2025.

Misure di sicurezza di base

Le misure di sicurezza di base sono state sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection (FNCS), che a sua volta riprende la struttura del NIST CyberSecurity Framework (CSF), e prevedono:

  • per i soggetti importanti, l’adozione di 37 misure di base, declinate in 87 requisiti, come dettagliati nell’allegato 1 alla determina.
  • per i soggetti essenziali, ulteriori 6 misure e 29 requisiti, per un totale di 43 misure declinate in 116 requisiti, come dettagliati nell’allegato 2 alla determina.

I soggetti, sia importanti che essenziali, sono tenuti ad adottare le misure di base entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, ovvero entro ottobre 2026.

INCIDENTI SIGNIFICATIVI di base

La determina definisce le fattispecie degli incidenti significativi che i soggetti interessati NIS sono tenuti a notificare all’ACN. In particolare:

  • per i soggetti importanti sono state identificate 3 fattispecie di incidenti significativi di base, dettagliate nell’allegato 3 alla determina.
  • per i soggetti essenziali le fattispecie di incidenti significativi da notificare sono 4, e sono dettagliate nell’allegato 4 alla determina.

Il termine per l’adempimento dell’obbligo di notifica è fissato, sia per i soggetti importanti che essenziali, in 9 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, e dunque entro gennaio 2026.

Banca dati dei nomi di dominio

Come abbiamo già avuto modo di approfondire in un precedente articolo, l’art. 29 del decreto NIS prescrive che i soggetti i quali, indipendentemente dalla dimensione aziendale, operano come registri dei nomi di dominio di primo livello (TLD) o come fornitori di servizi di registrazione dei nomi di dominio, mantengano una banca dati di registrazione dei nomi di dominio, contenente le informazioni necessarie per identificare e contattare i titolari dei nomi di dominio e i punti di contatto che amministrano i nomi di dominio presenti, registrati o censiti nel registro dei nomi di dominio di primo livello (top level domain – TLD).

A tale riguardo, la determina n. 164179 di ACN prevede che tali soggetti:

  • si adeguino alle prescrizioni previste dall’art. 29 del Decreto NIS nel termine di 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, ovvero entro ottobre 2026.
  • si dotino di politiche, approvate dagli organi amministrativi e direttivi, al fine di assicurare un livello di sicurezza informatica coerente con le specifiche di cui all’allegato 1 alla determina, vale a dire le stesse specifiche di base previste per i soggetti importanti.

Prossimi passi

La seconda fase attuativa della disciplina NIS vede un coinvolgimento significativo dei soggetti interessati, i quali infatti, riassumendo quanto fin qui descritto, devono adempiere ad alcuni degli obblighi loro imposti secondo le seguenti scadenze:

  • 31 Maggio 2025
    • Designazione del Sostituto punto di contatto
    • Aggiornamento sul portale ACN delle informazioni riguardanti il soggetto NIS, incluso l’elenco degli accordi di condivisione delle informazioni sulla sicurezza
  • Gennaio 2026
    • Obbligo di notifica degli incidenti significativi di base
  • 31 Maggio 2026
    • Aggiornamento sul portale ACN dell’elenco degli accordi di condivisione delle informazioni sulla sicurezza
  • Ottobre 2026 (terza fase attuativa)
    • Completa implementazione delle misure di sicurezza di base

Conclusioni

Come abbiamo visto sopra, con la determina n. 164179 del 14/04/2025 l’ACN ha definito gli obblighi di base in capo ai soggetti NIS in materia di misure di sicurezza informatica e notifica degli incidenti.

Tuttavia, è bene ricordarlo, si tratta di dettagli operativi che fanno riferimento ai requisiti generali di sicurezza stabiliti dalla norma, che naturalmente continuano a valere e che rendono necessaria un’adeguata preparazione non solo tecnica ma anche organizzativa, nell’ambito di una più ampia strategia di cybersecurity: in tale contesto, 18 mesi sono un lasso di tempo non particolarmente lungo; è opportuno quindi che i soggetti interessati NIS si adoperino fin da subito per pianificare le attività necessarie a soddisfare tali requisiti, in modo da farsi trovare pronti entro le scadenze stabilite.

Trattandosi di aspetti che fanno riferimento alle migliori pratiche in tema di sicurezza informatica, gli standard internazionali in materia, come la norma ISO/IEC 27001, rappresentano il punto di partenza più naturale per affrontare il problema.

Adeguarsi alla decreto NIS attraverso l’adozione di un SGSI certificato secondo lo standard ISO/IEC 27001, che tenga conto degli specifici requisiti di sicurezza e di notifica richiesti dalla norma, rappresenta infatti un’ottima soluzione, oltre che un importante elemento utilizzabile per dimostrare l’aderenza ai requisiti normativi da parte dei soggetti interessati NIS.

NEUS ha maturato una lunga esperienza nel settore dell’innovazione tecnologica e della sicurezza informatica, ed è in grado di mettere le sue competenze a disposizione delle aziende che intendono migliorare la propria postura di cybersecurity, supportandole nell’implementazione di sistemi di gestione e nell’adozione di soluzioni in grado di rispondere ai requisiti normativi.

Se vuoi saperne di più, scrivici compilando la form di questa pagina: siamo a tua disposizione per approfondire.

  1. La figura del Sostituto punto di contatto è espressamente prevista dall’art.7 c.4 lett.d del decreto NIS. ↩︎
  2. vi rientrano in dettaglio: tra i servizi altamente critici, alcune tipologie di fornitori di infrastrutture digitali (segnatamente: fornitori di servizi di sistema dei nomi di dominio, gestori di registri dei TLD, fornitori di servizi di cloud computing o di data center, fornitori di reti di distribuzione dei contenuti), nonché i gestori dei servizi ICT B2B; inoltre, tra i servizi critici, anche i Fornitori di Servizi Digitali (mercati online, motori di ricerca, piattaforme di social network, registrazione di nomi di dominio) ↩︎

Vuoi approfondire?

Lasciaci un messaggo e ti ricontatteremo


    Articoli recenti

    Scopri i nostri articoli più recenti ricchi di informazioni e consigli utili per l’evoluzione aziendale in modalità sicura.