L’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente compiuto un passo decisivo per l’attuazione della direttiva NIS2 in Italia. Con la pubblicazione di due determinazioni chiave il 24 dicembre 2025, viene finalmente definita l’ossatura operativa per i soggetti obbligati.
Le due determinazioni stabiliscono i pilastri per la conformità dei soggetti pubblici e privati:
- Determinazione n. 379907/2025 (Obblighi di base): aggiorna e consolida l’insieme di misure minime e criteri di notifica
- Determinazione n. 379887/2025 (Portale ACN e Servizi NIS): definisce come i soggetti NIS devono registrarsi, dichiararsi, gestire le utenze, aggiornare informazioni e, in generale, come devono “stare” dentro il rapporto con l’autorità tramite il Portale.
La Determinazione n. 379907/2025
La Determinazione ACN n. 379907/2025, in vigore dal 15 gennaio 2026, abroga e sostituisce la precedente n. 164179/2025. ll nuovo provvedimento aggiorna i criteri relativi alle Misure di Sicurezza di Base e alla gestione degli Incidenti Significativi, definendo con maggior precisione gli adempimenti che i soggetti essenziali e importanti sono tenuti a implementare. Tali obblighi devono essere assolti entro 18 mesi dalla notifica ufficiale di inserimento nell’elenco dei soggetti NIS.
La Determinazione n. 379887/2025
A decorrere dal 31 dicembre 2025, la Determinazione ACN 379887/2025 abroga e sostituisce la precedente n. 333017/2025. Il nuovo provvedimento aggiorna la disciplina relativa al perimetro di applicazione, alle procedure di registrazione e agli obblighi di aggiornamento continuo in ambito NIS.
La nuova Determinazione (art. 11, c. 10) ribadisce che i soggetti già iscritti come ‘importanti’ o ‘essenziali’ nel 2025 hanno l’onere di rinnovare la propria registrazione per il 2026. Il termine perentorio per l’invio della pratica è fissato al 28 febbraio.
Per agevolare l’adempimento, il Portale ACN mette a disposizione una dichiarazione precompilata: il soggetto NIS può aggiornarla liberamente prima della conferma. Attenzione però alla tempistica: la dichiarazione diventa definitiva e non più modificabile allo scadere di 10 giorni solari dalla sottomissione all’Autorità.
La Conformità NIS: strumenti pratici per i soggetti obbligati
Da ultimo segnaliamo che l’Agenzia, al fine di supportare i soggetti NIS nel loro percorso di adeguamento agli obblighi previsti dal decreto:
- ha aggiornato le Linee guida NIS – Specifiche di base – Guida alla lettura, finalizzate a supportare i soggetti obbligati nella corretta interpretazione degli allegati tecnici. Il documento, oltre a una sezione introduttiva, si articola in due capitoli dedicati rispettivamente alle misure di sicurezza di base e alla gestione degli incidenti significativi di base.
A completamento, sono presenti quattro appendici contenenti:
- a) la mappatura tra le misure di sicurezza e gli elementi di cui all’articolo 24, comma 2, del decreto NIS
- b) l’elenco dei requisiti per i quali sono previste le clausole relative all’approccio basato sul rischio
- c) l’elenco dei documenti che devono essere approvati dagli organi di amministrazione e direttivi
- d) un glossario con le definizioni dei termini peculiari che ricorrono nelle specifiche di base
- ha reso disponibile inoltre le Linee guida NIS – Specifiche di base – Per la definizione del processo di gestione degli incidenti di sicurezza informatica. Il testo propone un modello operativo strutturato, delineando con precisione le correlazioni tra le fasi di gestione e le misure di sicurezza fondamentali.
