L'evoluzione delle minacce informatiche impone un rafforzamento costante delle misure di sicurezza a livello nazionale ed europeo. In questo contesto, la Direttiva (UE) 2022/2555, nota come "NIS 2", ha rappresentato un passo fondamentale per armonizzare e innalzare gli standard di cybersicurezza, recepita in Italia dal Decreto Legislativo 4 settembre 2024, n. 138. Questa normativa estende l'ambito di applicazione della precedente NIS 1, coinvolgendo un numero maggiore di soggetti pubblici e privati e introducendo obblighi più stringenti. L'Agenzia per la Cybersicurezza Nazionale (ACN) riveste un ruolo centrale nell'attuazione di questo quadro normativo, fungendo da Autorità competente NIS e punto di contatto unico. La gestione degli adempimenti previsti dal decreto NIS 2 avviene attraverso una piattaforma digitale dedicata, il portale ACN, la cui disciplina è in continua evoluzione per rispondere alle esigenze operative e di sicurezza.
Ambito di Applicazione del Decreto NIS: Chi è Coinvolto
Il decreto NIS, in linea con la Direttiva (UE) 2022/2555, si applica a tutte le organizzazioni stabilite sul territorio nazionale che soddisfano specifici criteri dimensionali e tipologici di attività. L'identificazione dei soggetti interessati si basa su due approcci principali: il criterio settoriale e il criterio dimensionale.
Criterio Settoriale: Soggetti Essenziali e Importanti
Il decreto NIS distingue i soggetti in due macro-categorie: "essenziali" e "importanti", a seconda del livello di criticità intrinseca dei settori e delle tipologie di soggetti in relazione al rischio informatico.
- Allegato I: Individua i settori ad "alta criticità", dove una perturbazione del servizio a seguito di un incidente informatico potrebbe determinare conseguenze "gravi". Tra questi figurano settori chiave come energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione centrale e servizi essenziali per la società.
- Allegato II: Elenca i settori "critici", per i quali una perturbazione del servizio potrebbe determinare conseguenze "rilevanti". Questi includono, ad esempio, la gestione dei servizi ICT B2B, la produzione di sostanze chimiche, alimentari, e la gestione dei rifiuti.
Inoltre, l'Allegato IV del decreto NIS specifica ulteriori tipologie di soggetti a cui si applica la normativa a seguito di identificazione governativa. Questo include pubbliche amministrazioni, società in house, società partecipate e società a controllo pubblico, nonché soggetti già identificati come operatori di servizi essenziali ai sensi di precedenti normative.
L'Agenzia per la Cybersicurezza Nazionale (ACN), su proposta delle Autorità di settore, ha la facoltà di individuare ulteriori organizzazioni, anche piccole e micro-imprese, che operano nei settori o svolgono attività riconducibili alle tipologie di soggetto di cui agli allegati I, II, III e IV, quali soggetti importanti o essenziali. Queste organizzazioni riceveranno una specifica notifica al proprio domicilio digitale.
Criterio Dimensionale: La Rilevanza delle Dimensioni Aziendali
Per quanto concerne le organizzazioni private, il decreto NIS si applica in base a criteri dimensionali. Un'organizzazione è considerata soggetta agli obblighi normativi se:
- È una media o grande impresa, ovvero supera i massimali per le categorie delle micro e piccole imprese definiti dalla Raccomandazione 2003/361/CE.
- È una piccola impresa che svolge attività riconducibili alle tipologie di soggetto di cui agli allegati I, II, III e IV.
Per essere ricondotta a una delle categorie di PMI (micro, piccola o media impresa), devono essere sempre soddisfatti sia il criterio del numero di effettivi, sia almeno uno dei due parametri contabili (fatturato o bilancio) tra loro alternativi.
Le organizzazioni che non superano i massimali per le categorie delle micro e piccole imprese, ai sensi della Raccomandazione 2003/361/CE, in linea generale, non rientrano nell’ambito di applicazione del decreto NIS, salvo specifiche eccezioni.
La Piattaforma ACN: Strumento di Adempimento Normativo
Il portale ACN rappresenta il canale unico e autorizzato per la trasmissione e la gestione delle informazioni richieste dal decreto NIS 2. La sua disciplina è stata recentemente aggiornata con la Determinazione n. 250916/2025, che istituzionalizza la figura del referente CSIRT e introduce ulteriori disposizioni operative.
Censimento e Associazione: Il Primo Accesso
L'accesso al portale ACN è subordinato a una rigorosa procedura di censimento e associazione delle utenze. Questo processo garantisce un elevato livello di sicurezza nell'identificazione degli utenti e stabilisce formalmente il legame tra l'utente e il soggetto NIS di riferimento. L'autenticazione avviene tramite strumenti di identità digitale qualificata, quali SPID o CIE. Una volta autenticato, l'utente è tenuto a completare la propria anagrafica, fornendo informazioni personali e professionali.
In presenza di gruppi societari, è possibile associare un'unica utenza a più organizzazioni, selezionando l'organizzazione di riferimento tramite una pagina di snodo ("Scegli organizzazione") dopo l'autenticazione.
Il Ruolo del Punto di Contatto e del Sostituto
La figura del Punto di Contatto è centrale nella gestione degli adempimenti NIS. Ai sensi dell'articolo 4 della Determinazione ACN 379887/2025, questa funzione può essere svolta dal rappresentante legale, da un suo procuratore generale o da un dipendente delegato del soggetto. Per i soggetti appartenenti a un gruppo di imprese o per le pubbliche amministrazioni, la funzione può essere estesa a dipendenti di altre imprese del medesimo gruppo o di altre amministrazioni, previa autorizzazione.
Accanto al Punto di Contatto, è prevista la designazione di un Sostituto Punto di Contatto, che può operare con le medesime funzioni, ad eccezione della fase di registrazione iniziale. Entrambe le figure devono essere censite sulla piattaforma e i loro dati anagrafici e di contatto devono essere mantenuti aggiornati.
Il Referente CSIRT: Un Nuovo Presidio di Sicurezza
La Determinazione n. 250916/2025 istituzionalizza la figura del Referente CSIRT, destinato a integrare la governance operativa della sicurezza cibernetica. Il Referente CSIRT agisce quale snodo tecnico-operativo per la trasmissione delle segnalazioni e delle notifiche relative agli incidenti di sicurezza informatica, come previsto dagli articoli 25 e 26 del Decreto Legislativo n. 138/2024. Sebbene sia auspicabile che questa figura sia interna all'organizzazione, la normativa non vieta l'esternalizzazione, né pone limitazioni in termini di cittadinanza.
Procedure di Registrazione e Aggiornamento
La normativa NIS 2 prevede diverse fasi procedurali per garantire la completezza e l'attualità delle informazioni gestite dal portale ACN.
Registrazione Annuale
Il periodo di registrazione annuale si svolge tra il 1° gennaio e il 28 febbraio di ogni anno. Durante questa finestra temporale, il Punto di Contatto è tenuto a compilare e trasmettere la dichiarazione contenente le informazioni necessarie per l'inquadramento giuridico, economico e tecnico del soggetto NIS. Vengono richieste informazioni relative alla dimensione d'impresa (fatturato, bilancio, numero di dipendenti), alle normative settoriali e alle tipologie di soggetto di riferimento, nonché dati relativi a indirizzi IP e nomi di dominio. La procedura si conclude con una conferma formale da parte del Punto di Contatto.
Aggiornamento Annuale e Continuo
Oltre alla registrazione annuale, sono previste due ulteriori fasi procedurali:
- Aggiornamento Annuale: Si svolge tra il 15 aprile e il 31 maggio di ogni anno. L'obiettivo è verificare la correttezza e l'adeguatezza dei dati già presenti nel sistema, inclusi quelli relativi ai servizi offerti, agli indirizzi IP, ai domini utilizzati e agli accordi di condivisione.
- Aggiornamento Continuo: Questo meccanismo garantisce che eventuali mutamenti significativi (modifiche societarie, variazioni di contatti, cambiamenti nelle informazioni tecniche) siano immediatamente recepiti e registrati. La conferma delle modifiche avviene per il tramite del Punto di Contatto.
L'articolo 16 della Determinazione ACN 379887/2025 disciplina in dettaglio le modalità di aggiornamento delle informazioni, richiedendo la verifica e l'aggiornamento dei dati anagrafici e di contatto del soggetto NIS, nonché dei dati relativi agli organi di amministrazione e direttivi.
Responsabilità e Misure di Sicurezza
Il decreto NIS 2 impone responsabilità significative agli organi di amministrazione e direttivi dei soggetti essenziali e importanti, chiamati a supervisionare l'implementazione delle misure di gestione dei rischi per la sicurezza informatica e a seguire una formazione specifica in materia.
Misure di Sicurezza di Base
I soggetti importanti sono tenuti ad adottare le misure di sicurezza riportate nell'Allegato 1 alla determinazione n. 379907/2025. Tra queste, rientrano la gestione dei rischi per la sicurezza informatica, la gestione degli incidenti, la continuità operativa e la gestione delle risorse umane.
Clausola di Salvaguardia
Per i soggetti che ritengono che l'applicazione del decreto NIS non sia proporzionata, è prevista la possibilità di richiedere una deroga ai sensi dell'articolo 3, comma 4, del decreto NIS, in presenza di specifici criteri stabiliti dal DPCM sull'applicazione della clausola di salvaguardia.
Servizi di Supporto e Consulenza
L'Agenzia per la Cybersicurezza Nazionale (ACN) mette a disposizione risorse informative sul proprio sito web, inclusa una sezione FAQ, per facilitare la comprensione del quadro normativo e dei principali provvedimenti attuativi.
Per supportare le organizzazioni nell'adempimento degli obblighi previsti dal decreto NIS 2, sono disponibili servizi di consulenza specializzata. Ad esempio, la descrizione del servizio "Remote Expert" e "Web Expert" illustra soluzioni tecnologiche avanzate per l'erogazione di servizi a distanza, la gestione degli appuntamenti e lo scambio sicuro di documenti, elementi che possono contribuire a ottimizzare la gestione operativa e la sicurezza informatica. Il servizio "TELEFONO SPECIALE", invece, offre assistenza psicologica immediata e professionale, dimostrando l'ampio spettro di servizi che l'ACN e le normative correlate mirano a proteggere e coordinare.