NIS2: nuove determinazioni ACN di fine 2025 e prossime scadenze

Facebook
Twitter
LinkedIn

Con l’entrata nel vivo dell’attuazione della direttiva NIS2 in Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato, a fine 2025, nuovi provvedimenti operativi pensati per rendere più chiari alcuni aspetti applicativi: da un lato l’aggiornamento dei dati sul Portale NIS, dall’altro le specifiche di base su misure di sicurezza e incidenti significativi.

Indice dei contenuti

Introduzione

La novità non sta soltanto nella presenza di nuove indicazioni, ma soprattutto nel fatto che queste determinazioni aiutano a tradurre la norma in attività concrete: misure da adottare, incidenti da gestire e modalità precise di relazione con l’Autorità attraverso il Portale.

Le determinazioni riguardano due ambiti diversi ma collegati. La prima riguarda le modalità operative del Portale ACN e dei Servizi NIS, cioè lo strumento attraverso cui i soggetti importati ed essenziali NIS dialogano con l’Autorità; la seconda è dedicata alle misure di sicurezza e alla gestione degli incidenti:

  • Determinazione ACN n. 379887/2025 (Portale ACN e Servizi NIS – registrazione, aggiornamento informazioni e designazioni) che aggiorna e sostituisce la Determinazione ACN n. 333017 del 22 settembre 2025 e si applica dal 31 dicembre 2025.
  • Determinazione ACN n. 379907/2025 (misure di sicurezza di base e incidenti significativi di base) che aggiorna e sostituisce la Determinazione ACN n. 164179 del 14 aprile 2025 e si applica dal 15 gennaio 2026. Un punto importante da chiarire è che, confrontando i testi nuovi con quelli precedenti, non emerge un cambio di rotta: le novità sono in gran parte di affinamento e consolidamento, con poche modifiche davvero operative.

La Determinazione 379887/2025: il Portale ACN e i Servizi NIS

La Determinazione ACN n. 379887/2025, come abbiamo detto, riguarda l’operatività del Portale dei Servizi NIS, cioè lo strumento attraverso cui i soggetti NIS gestiscono le informazioni e le comunicazioni ufficiali. Il Portale è centrale per la gestione degli adempimenti informativi: è lì che vengono mantenuti e aggiornati i dati, che vengono gestite le designazioni dei referenti e che vengono organizzati i flussi informativi con l’Autorità.

Dal testo della determinazione emerge con chiarezza la timeline operativa annuale:

  • dal 1° gennaio al 28 febbraio si compila e si invia la Dichiarazione per la registrazione tramite il servizio “NIS/Dichiarazione”;
  • dal 15 aprile al 31 maggio si effettua l’aggiornamento annuale delle informazioni tramite il servizio dedicato;
  • l’aggiornamento continuo delle informazioni è previsto in caso di modifiche, con tempistiche definite nel testo.

Tra i punti che meritano attenzione, la determinazione ribadisce anche alcuni aspetti già presenti nella precedente disciplina, come: la responsabilità degli organi di amministrazione e direttivi nel sovrintendere registrazione e aggiornamenti e nel rispondere di eventuali violazioni; la designazione del referente CSIRT entro il 31 dicembre 2025 (con possibilità di sostituti), utile per interloquire con il CSIRT Italia e per le notifiche; il fatto che, una volta inviata la dichiarazione, trascorsi 10 giorni diventa “definitivamente acquisita” e non più modificabile dall’utente.

In sintesi: la determinazione non cambia le regole del gioco, ma consolida il funzionamento della piattaforma e rende più esplicite le fasi e le responsabilità.

La Determinazione ACN 379907/2025: misure di sicurezza e gestione degli incidenti

La Determinazione n. 379907/2025 definisce, in fase di prima applicazione del decreto NIS (d.lgs. 138/2024), le modalità e le specifiche di base per adempiere a una parte centrale degli obblighi previsti dalla normativa. Il provvedimento si rivolge ai soggetti NIS, pubblici e privati, qualificati come essenziali o importanti, e punta a fissare un riferimento operativo minimo: come impostare la sicurezza informatica e quali incidenti, quando si verificano, devono essere notificati al CSIRT Italia.

Il testo si articola in quattro allegati tecnici: due dedicati alle misure di sicurezza di base (distinte per soggetti essenziali e importanti) e due dedicati agli incidenti significativi di base, anch’essi differenziati in base alla categoria dei soggetti. In sintesi, la determinazione chiarisce sia le misure da adottare, sia le condizioni che rendono un evento rilevante ai fini degli obblighi di notifica.

Le misure sono sviluppate in coerenza con il Framework Nazionale per la Cybersecurity e la Data Protection e chiamano in causa direttamente gli organi di amministrazione e direttivi, rafforzando l’idea che la compliance NIS2 richieda responsabilità e indirizzo anche a livello di vertice, non solo un presidio tecnico.

La determinazione definisce inoltre tempistiche precise, legate alla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS: sono previsti 18 mesi per adottare le misure di sicurezza di base e 9 mesi per attivare pienamente l’obbligo di notifica degli incidenti significativi di base. Il testo chiarisce anche che il provvedimento aggiorna e sostituisce la precedente determinazione n. 164179 del 14 aprile 2025 e stabilisce che si applica a decorrere dal 15 gennaio 2026.

A fronte di questo impianto, le differenze rispetto al testo precedente sono nel complesso limitate e riguardano soprattutto ruoli e chiarezza organizzativa:

1) Ruolo del referente CSIRT reso esplicito
Nel testo aggiornato viene indicato esplicitamente, all’interno dell’organizzazione per la sicurezza informatica, non solo il punto di contatto e i sostituti, ma anche il referente CSIRT e gli eventuali sostituti. Questo rafforza l’allineamento con il modello NIS2 e riduce ambiguità su “chi fa cosa” nei flussi di gestione e notifica degli incidenti.

2) “Crisi informatiche”: precisazione del perimetro
Dove prima si parlava in modo generico di gestione delle crisi, ora il testo specifica crisi informatiche, e coerentemente il piano diventa “piano per la gestione delle crisi informatiche”. È una modifica soprattutto terminologica, ma utile perché mantiene il focus sul perimetro cyber ed evita interpretazioni estensive.

3) Piccoli miglioramenti di qualità e precisione tecnica
Sono presenti modifiche formali e redazionali (ad esempio codifiche uniformate, correzioni di ripetizioni), una terminologia più allineata agli standard (“endpoint” al posto di “postazioni terminali”) e una lieve enfasi in più su un approccio qualitativo/risk-based (ad esempio “configurati in modo adeguato” per i sistemi perimetrali).

Nel complesso, le modifiche non introducono nuovi obblighi, ma rendono il testo più chiaro e più robusto in ottica di audit e verifica.

In pratica: cosa devono fare i soggetti NIS, pubblici e privati, qualificati come essenziali o importanti

Proprio perché le novità sono contenute, il messaggio principale non è “cambia tutto”, ma rimane centrale la corretta organizzazione interna e la gestione ordinata del Portale.

Chi è già soggetto NIS dovrebbe:

  • verificare che il Portale sia presidiato e che i dati siano corretti e aggiornati, rispettando le finestre annuali previste (Dichiarazione e aggiornamento annuale);
  • assicurarsi che siano chiaramente individuati punto di contatto, sostituto e referente CSIRT, coerentemente con quanto previsto nei testi aggiornati;
  • usare la determinazione 379907/2025 come riferimento per misure e criteri di incidenti significativi, tenendo presente che si tratta soprattutto di un testo di consolidamento rispetto al precedente, con alcune precisazioni organizzative e terminologiche.

Un percorso da affrontare insieme

Le Linee Guida NIS non sono soltanto un adempimento burocratico, ma rappresentano una vera opportunità per rafforzare la sicurezza dei sistemi informativi e di rete e garantire la continuità dei servizi in un contesto sempre più esposto a minacce digitali. Per imprese e Pubbliche Amministrazioni si tratta di un percorso impegnativo, che richiede competenze trasversali e la capacità di integrare aspetti tecnici, organizzativi e strategici.

SI.net Servizi Informatici è pronta ad affiancare aziende ed enti in questo cammino, supportandoli nell’analisi dei rischi, nella definizione delle misure più adeguate, nella redazione della documentazione richiesta e nella gestione degli incidenti. Investire oggi nella cybersicurezza significa non solo rispettare la norma, ma anche tutelare la propria continuità operativa e la fiducia dei clienti e dei cittadini.

Vuoi sapere come possiamo aiutarti ad affrontare al meglio questo percorso di adeguamento alle Linee Guida NIS?

Contattaci: saremo al tuo fianco per trasformare un obbligo normativo in un’occasione di crescita e sicurezza digitale.

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale e alla data protection, scrivi a sinet@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su LinkedIn, Facebook, YouTube, Instagram, Telegram

Picture of Annalisa Collacciani
Annalisa Collacciani

SEDE LEGALE
Corso Magenta 46 – 20123 Milano

SEDE AMMINISTRATIVA
Via Filippo Turati 111 – 20023 Cerro Maggiore (MI)

P.IVA e C.F. 02743730125

Iscritta al registro imprese di Milano n. 02743730125 – Capitale sociale 60.000 euro

Pagine informative

Privacy Policy
Newsletter
Lavora con noi
Documentazione Privacy

Servizi e Soluzioni

IT Management
Trasformazioni digitale
Sviluppo software
Privacy
Cybersecurity
Cloud
Noleggio materiale informatico
Logistica e trasporto​
Business intelligence

Social

© 2021 SI.net Servizi Informatici