In linea con le tempistiche stabilite dal D.Lgs. 138/2024 (“Decreto NIS”) che recepisce in Italia la Dir. (UE) 2022/2555 (“direttiva NIS2”), il piano italiano di implementazione della disciplina NIS si trova oggi nel pieno della sua seconda fase attuativa.
Avviata a metà Aprile 2025, dopo la composizione del primo elenco dei soggetti NIS e la pubblicazione degli obblighi di base in materia di misure di sicurezza informatica e notifica degli incidenti significativi, la seconda fase del piano di attuazione contempla i passi necessari per arrivare, entro metà Aprile 2026, all’elaborazione e all’adozione del modello di categorizzazione delle attività e dei servizi, nonché degli ulteriori obblighi a lungo termine previsti dalla disciplina in capo ai soggetti interessati.
Le prossime importanti scadenze sono ormai alle porte: a partire da Gennaio 2026, scatterà infatti, per le aziende già incluse nel primo elenco dei soggetti NIS dell’Aprile scorso, l’obbligo di notifica degli incidenti significativi di base, come stabiliti dalla Det. ACN n. 164179 del 14/04/2025.

Per supportare i soggetti interessati nell’adempiere in modo efficace a questo ed altri obblighi, in coerenza con gli obiettivi della seconda fase attuativa, negli ultimi mesi l’ACN è intervenuta con alcune determinazioni che hanno a più riprese aggiornato termini, modalità e procedimenti di utilizzo e accesso alla Piattaforma digitale dei “Servizi NIS” raggiungibile attraverso il portale ACN, nonché le relative informazioni e comunicazioni richieste ai soggetti interessati.
Le prime modifiche dei Servizi NIS disponibili sulla Piattaforma ACN – pubblicata inizialmente a Dicembre 2024 con le sole funzionalità necessarie per consentire al Punto di contatto dei soggetti interessati di registrarsi, al fine dell’inserimento della propria azienda nell’elenco dei soggetti NIS – sono state introdotte, in concomitanza con l’avvio della seconda fase attuativa del piano, dalla Det. ACN n. 136117 del 10/04/2025 e hanno riguardato:
- La figura del Sostituto punto di contatto, definendone compiti e caratteristiche1
- La possibilità per il punto di contatto di autorizzare l’accesso alla Piattaforma digitale dei Servizi NIS anche ad altri utenti con ruolo “operatore” e, al più, un utente con ruolo “segreteria”, non necessariamente appartenenti al personale dipendente del soggetto NIS.
- La definizione dettagliata del processo di “Aggiornamento annuale delle informazioni” riguardanti il soggetto interessato, da comunicare, attraverso le funzionalità dei “Servizi NIS”, tra il 15 aprile e il 31 maggio 2025
La Det. ACN n. 283727 del 22/07/2025, entrata in vigore il 31 Luglio, ha aggiornato e sostituito la precedente, n. 136117, al fine di integrare le previsioni relative alla piattaforma digitale dei Servizi NIS con le seguenti modifiche:
- Conferma del servizio di “Aggiornamento annuale delle informazioni”, che i soggetti interessati NIS devono effettuare dal 15 Aprile al 31 Maggio di ogni anno.2
- Tale servizio ha una funzione di revisione delle informazioni caricate in piattaforma che riguardano il soggetto NIS, ivi compresa la lista delle persone fisiche che ne compongono gli organi di amministrazione e direttivi, effettuata dal Punto di Contatto al fine di consentire ad ACN di aggiornare con cadenza annuale l’elenco dei soggetti
- Introduzione del servizio di “Aggiornamento continuo”: in questo modo, viene consentito ai soggetti NIS di aggiornare le informazioni trasmesse non più soltanto in occasione degli aggiornamenti annuali, bensì su base continua e, in ogni caso, entro 14 giorni dalla modifica come previsto dal Decreto NIS
- L’aggiornamento continuo delle informazioni è possibile fino al 14 Aprile di ogni anno successivo all’inserimento del soggetto interessato all’interno dell’elenco dei soggetti NIS, in modo da non sovrapporsi al servizio di aggiornamento annuale attivo dal 15 Aprile.
La determinazione n. 283727 è stata, a sua volta, aggiornata e sostituita dalla Det. ACN n. 333017 del 16/09/2025, che ha introdotto le seguenti principali modifiche alla piattaforma dei servizi NIS entrate in vigore dal 30 settembre 2025:
- Deroga all’obbligo di nomina del “Sostituto punto di contatto” per i soggetti NIS che versino nell’impossibilità materiale di effettuare tale adempimento, in quanto, trattandosi evidentemente di micro/piccole aziende, il Punto di Contatto è l’unica persona fisica operante nell’organizzazione.
- Introduzione dei ruoli “Referente CSIRT” e relativi Sostituti: persone fisiche designate dal Punto di Contatto per interloquire con lo CSIRT Italia al fine di effettuare le notifiche di incidenti e le notifiche volontarie di informazioni pertinenti di cui agli articoli 25 e 26 del Decreto NIS.
- Ampliamento della platea di “utenti” che possono accedere alla piattaforma: oltre al Punto di Contatto, al Sostituto punto di contatto, alla segreteria e agli utenti con ruolo operatore, già previsti in precedenza, la nuova determinazione include tra gli utenti della piattaforma anche il Referente CSIRT e il Sostituto referente CSIRT, nonché i componenti degli organi di amministrazione e direttivi del soggetto NIS.
In relazione a quest’ultimo punto, merita ricordare che il Decreto NIS assegna agli organi di amministrazione e direttivi dei soggetti NIS ruoli e responsabilità ben precisi, che si estendono anche alle singole persone fisiche che ne fanno parte. Per questo, la Piattaforma digitale dei Servizi NIS prevede:
- La comunicazione, nell’ambito del processo di aggiornamento delle informazioni, dell’elenco dei componenti degli organi amministrativi e direttivi dei soggetti essenziali, quali persone fisiche responsabili ai sensi dell’art.38 c.5 del Decreto NIS, specificando per ciascuna di esse Codice Fiscale e PEC;3
- La possibilità per tali componenti, come chiarito dalla determinazione ACN n. 333017, di poter accedere come utenti alla piattaforma.
Modalità di notifica allo CSIRT Italia degli incidenti significativi e delle informazioni pertinenti
Con l’introduzione, attraverso la determinazione n. 333017 del 16/09/2025, della figura del “Referente CSIRT” e dei suoi Sostituti, l’ACN ha messo a punto gli ultimi dettagli per consentire ai soggetti NIS di adempiere, a partire da Gennaio 2026, ai previsti obblighi di notifica degli incidenti significativi di base.
In particolare, le caratteristiche del Referente CSIRT (e sostituti) e le loro funzioni nell’interlocuzione con lo CSIRT Italia sono dettagliate nell’art. 7 della determinazione come segue:
- Il Referente CSIRT è una persona fisica, che deve essere designata a partire dal 20/11/2025 ed entro il 31/12/2025, a cura del Punto di Contatto, tramite la dedicata procedura telematica resa disponibile sulla Piattaforma ACN
- Il Referente CSIRT ha il compito di interloquire con lo CSIRT Italia, ed effettuare per conto del soggetto NIS le notifiche di incidenti significativi e le notifiche volontarie di informazioni pertinenti di cui agli articoli 25 e 26 del Decreto NIS
- Al fine di assicurare il tempestivo svolgimento dei compiti del Referente CSIRT, con particolare riferimento alla notifica degli incidenti significativi di cui all’articolo 25 del Decreto NIS e relativi seguiti, con le medesime modalità previste per la designazione del Referente, il Punto di Contatto può designare uno o più Sostituti referente CSIRT.
- I Sostituti referente CSIRT, ove designati, supportano il referente CSIRT nell’esercizio delle sue funzioni e possono svolgerle per suo conto.
- Il referente CSIRT e i suoi sostituti, ove designati, possiedono almeno competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale operano.
Conclusioni
La seconda fase attuativa della disciplina NIS vede un coinvolgimento crescente dei soggetti interessati, con i primi importanti adempimenti a loro carico da mettere in atto con le seguenti scadenze:
- Dal 20 Novembre al 31 Dicembre 2025
- Designazione del Referente CSIRT e dei suoi Sostituti
- Gennaio 2026
- Obbligo di notifica degli incidenti significativi di base
- 31 Maggio 2026
- Aggiornamento sul portale ACN delle informazioni riguardanti il soggetto NIS, incluso l’elenco degli accordi di condivisione delle informazioni sulla sicurezza
- Ottobre 2026 (terza fase attuativa)
- Completa implementazione delle misure di sicurezza di base
Come la determinazione n. 333017 del 16/09/2025 evidenzia chiaramente, è importante assicurare il tempestivo svolgimento degli obblighi a cui sono sottoposti i soggetti NIS, in particolare per quanto riguarda la notifica allo CSIRT Italia degli incidenti significativi di cui all’articolo 25 del Decreto NIS e relativi seguiti. Per questo, la determinazione prevede che il Referente CSIRT possa essere affiancato da uno o più Sostituti.
Tuttavia, la designazione del Referente CSIRT, pur con il supporto di tutti i Sostituti che potremmo immaginare, non basta da sola ad assicurare la necessaria tempestività nell’assolvimento degli obblighi previsti dalla disciplina NIS, se non è accompagnata, nell’ambito di una più ampia strategia di cybersecurity, da un’adeguata preparazione tecnica ed organizzativa all’interno dell’azienda.
Con le prossime importanti scadenze alle porte, chi non si è ancora attrezzato deve correre urgentemente ai ripari, mettendo in atto le attività necessarie per fare in modo che alla nomina del Referente CSIRT faccia seguito anche l’introduzione in azienda di appositi strumenti e metodologie di gestione della sicurezza informatica, che lo mettano in condizione si svolgere i propri compiti in modo efficace e tempestivo.
A tale riguardo, può essere molto utile fare riferimento ai principali standard internazionali in materia di sicurezza informatica, ai quali anche la disciplina NIS si ispira, come il CyberSecurity Framework (CSF) del NIST (il “National Institute of Standards and Technology” statunitense) o la norma ISO/IEC 27001.
Peraltro, adeguarsi alla decreto NIS attraverso l’adozione di un SGSI certificato secondo lo standard ISO/IEC 27001, che tenga conto degli specifici requisiti di sicurezza e di notifica richiesti dalla norma, rappresenta anche un importante elemento utilizzabile per dimostrare l’aderenza ai requisiti normativi da parte dei soggetti interessati NIS.
NEUS ha maturato una lunga esperienza nel settore dell’innovazione tecnologica e della sicurezza informatica, ed è in grado di mettere le sue competenze a disposizione delle aziende che intendono migliorare la propria postura di cybersecurity, supportandole nell’implementazione di sistemi di gestione e nell’adozione di soluzioni in grado di rispondere ai requisiti normativi.
Se vuoi saperne di più, scrivici compilando la form di questa pagina: siamo a tua disposizione per approfondire.
- La figura del Sostituto punto di contatto è espressamente prevista dall’art.7 c.4 lett.d del decreto NIS. ↩︎
- La det. ACN n. 283727 precisa che, in caso di registrazione tardiva, il termine per completare l’aggiornamento annuale, ferme restando le disposizioni del Decreto NIS, è comunicato di volta in volta da ACN, in qualità di Autorità nazionale competente NIS. ↩︎
- La det. ACN n. 333017 ha precisato che l’obbligo di elencazione dei membri degli organi di amministrazione e direttivi, finalizzato ad individuare le persone fisiche responsabili ai sensi dell’art.38 c.5 del Decreto NIS, non si applica ai soggetti che ricadono nell’ambito di applicazione del Regolamento DORA. Tale regolamento prevede infatti che le varie Autorità Europee di Vigilanza (AEV) competenti in materia bancaria/assicurativa adottino specifici meccanismi di segnalazione e controllo nei confronti dei soggetti del settore finanziario/assicurativo ai quali si applica il regolamento. In quanto lex specials della disciplina NIS, il Regolamento DORA prevede in ogni caso che le AEV cooperino con l’Autorità nazionale competente NIS nell’ambito del gruppo di cooperazione NIS e possano consultare, se del caso, i punti di contatto unici e gli CSIRT designati in conformità alla direttiva NIS. ↩︎

