NIS 2: ecco le istruzioni operative dell’ACN per le aziende

“NIS, avviata la seconda fase“: questo il titolo della nuova pagina web di ACN pubblicata il 15 aprile.

La pagina racconta i lavori del Tavolo per l’attuazione della disciplina NIS e pubblica le nuove n. 3 Determine su aspetti cardine della implementazione della nuova disciplina del D.Lgs 138/2024 (tutte emanate ex art. 40 comma 5 del d.lgs. stesso).

Quindi, mentre arrivano (proprio in questi giorni) le Pec di ACN con la relativa identificazione delle 20.000 organizzazioni che hanno presentato domanda di iscrizione alla piattaforma, l’Agenzia ci spiega (in maniera assolutamente tempestiva) cosa occorre fare.

Vediamo allora le Determine nel dettaglio.

Termini, modalità e procedimenti per la piattaforma

L’art. 7 del D.Lgs. 138/2024 stabilisce le modalità di identificazione e registrazione annuale dei soggetti considerati “essenziali” e “importanti” ai fini della cybersicurezza in Italia. In particolare, la norma impone ai soggetti interessati di effettuare una registrazione annuale sulla piattaforma digitale dell’ACN e di aggiornare tempestivamente i dati forniti (entro il 28 febbraio), nonché delinea le procedure di designazione dei soggetti, la gestione della piattaforma digitale e le modalità di comunicazione tra i soggetti e l’Autorità.

Ai fini della prima iscrizione (avvenuta entro il 28 febbraio 2025) l’ACN aveva già emanato una prima Determinazione 26 novembre 2024 nella quale (molto in sintesi) venivano stabiliti i termini, le modalità e i procedimenti di utilizzo e accesso al Portale ACN e ai Servizi NIS, la figura del punto di contatto, l’associazione dell’utenza del punto di contatto al soggetto NIS tramite codice fiscale o codice IPA, la procedura di registrazione tramite il Servizio NIS/Registrazione con l’indicazione delle informazioni da fornire (inclusa l’eventuale appartenenza a un gruppo di imprese, le imprese collegate) i codici ATECO, le normative settoriali UE, i dati finanziari e le tipologie di soggetto NIS, la possibilità di richiedere l’applicazione della clausola di salvaguardia, la procedura per la designazione del rappresentante nell’Unione per i soggetti NIS stabiliti fuori dall’Unione.

La Determinazione del 10 aprile 2025 aggiorna e sostituisce la precedente determinazione del 26 novembre 2024, riproponendo gli istituti già regolati dalla precedente Determina ed altresì introducendo alcune novità, tra cui:

• la figura del sostituto del punto di contatto, designato con le stesse modalità del punto di contatto per supportarlo e poter interloquire con l’Autorità nazionale competente NIS, ad eccezione della registrazione. La designazione del sostituto punto di contatto deve avvenire (ora) entro il 31 maggio 2025
• le figure della segreteria come persona fisica che svolge funzioni di supporto al punto di contatto e al sostituto punto di contatto per promuovere l’efficace interlocuzione con l’Autorità nazionale competente NIS;
• la previsione che le funzioni di punto di contatto possono essere svolte da procuratori generali censiti sul registro delle imprese e, nel caso di pubbliche amministrazioni, da personale di altra pubblica amministrazione previa autorizzazione ai sensi dell’articolo 53 del decreto legislativo 30 marzo 2001, n. 165.
• i termini per la trasmissione e l’aggiornamento della documentazione per la designazione del rappresentante nell’Unione (art. 5 commi 3,4,5) fissandoli dal 1 settembre al 30 novembre di ogni anno.
• l’introduzione del Servizio NIS/Aggiornamento annuale, destinato alla fornitura e all’aggiornamento annuale delle informazioni di cui all’articolo 7, commi 4 e 5, del D.Lgs 138/2024. Questo processo prevede la verifica e l’aggiornamento di diverse informazioni, tra cui i dati anagrafici e di contatto del soggetto NIS e degli utenti, l’elenco dei componenti degli organi di amministrazione e direttivi, l’elenco dei servizi offerti nell’UE, lo spazio di indirizzamento IP pubblico e i nomi di dominio, e l’elenco degli accordi di condivisione delle informazioni.
• la previsione che l’elenco dei soggetti NIS può essere aggiornato anche successivamente alla sua elaborazione.

In sintesi, tale determinazione, pur mantenendo la struttura e le finalità della precedente, introduce nuove figure di utenti, specifica meglio i ruoli e le procedure, e soprattutto implementa il processo di aggiornamento annuale delle informazioni previsto dal D.Lgs. 138/2024, utilizzando un apposito servizio sulla piattaforma.

Modalità e le specifiche di base per l’adempimento agli obblighi

Senza dubbia la più attesa è la Determina relativa all’articolo 31 D.Lgs. 138/2024.

Tale norma, titolata Proporzionalità e gradualità degli obblighi, stabilisce infatti che “L’Autorità nazionale competente NIS stabilisce termini, modalità, specifiche e tempi graduali di implementazione degli obblighi di cui al comma 1, secondo le modalità di cui all’articolo 40, comma 5, anche differenziandoli in relazione:

a) alle categorie di rilevanza di cui all’articolo 30,comma 2, delle attività e dei servizi che i sistemi informativi e di rete supportano, svolgono o erogano;

b) al settore, al sottosettore e alla tipologia di soggetto, tenendo conto del grado di maturità iniziale nell’ambito della sicurezza informatica;

c) all’individuazione del soggetto quale essenziale o importante.

In altre parole (e per entrare più nello specifico) questa norma conferisce ad ACN il potere di definire in maniera proporzionata gli obblighi a carico degli organi di amministrazione e direttivi (art. 23), le misure di sicurezza informatica (art. 24), gli obblighi in materia di notifica degli incidenti significativi (art. 25), quelli in materia di sicurezza, stabilità e resilienza dei sistemi di nomi di dominio (ex articolo 29), ed infine gli obblighi per i fornitori di pubbliche amministrazioni (art. 32)

La Determina adotta dunque le specifiche di base per i soggetti essenziali ed importanti, precisate in 4 allegati.

• Allegato 1 – Definisce nel dettaglio le misure di sicurezza di base che i soggetti importanti devono adottare, articolate in aree come contesto organizzativo, strategia di gestione del rischio, ruoli e responsabilità, politiche di sicurezza, gestione della catena di approvvigionamento, gestione degli asset, valutazione del rischio, miglioramento, gestione delle identità e degli accessi, consapevolezza e formazione, sicurezza dei dati, sicurezza delle piattaforme, resilienza dell’infrastruttura, monitoraggio continuo, gestione degli incidenti e ripristino. Le misure (37 declinate in 87 requisiti) sono state sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection..
• Allegato 2 – Specifica le misure di sicurezza di base per i soggetti essenziali, con requisiti più stringenti e aggiuntivi rispetto ai soggetti importanti nelle medesime aree definite nell’Allegato 1 (più esattamente 6 misure ulteriori e 29 requisiti per un totale, di 43 misure e 116 requisiti)

• Allegato 3 – Elenca le tipologie di incidenti significativi di base che i soggetti importanti devono notificare: perdita di riservatezza, perdita di integrità con impatto esterno e violazione dei livelli di servizio attesi.
• Allegato 4 – Indica le tipologie di incidenti significativi di base per i soggetti essenziali: le stesse dell’Allegato 3, con l’aggiunta dell’accesso non autorizzato o con abuso di privilegi a dati digitali.

Circa i tempi di adozione delle misure di sicurezza di base (Allegati 1 e 2) questi sono indicati in 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, mente il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi (Allegati 3 e 4) è di 9 mesi dalla stessa comunicazione.

La determina prevede anche disposizioni specifiche per la sicurezza dei sistemi di nomi di dominio, imponendo a gestori di registri e fornitori di servizi di registrazione di adeguarsi all’articolo 29 del decreto NIS entro diciotto mesi dalla notifica, adottando e pubblicando politiche e procedure approvate dagli organi di amministrazione.

Per i soggetti PSNC-NIS, l’obbligo di notifica degli incidenti significativi di base (Allegato 4) è limitato ai sistemi informativi e di rete diversi da quelli PSNC e decorre dall’entrata in vigore della determina.

Sono previsti regimi transitori per gli Operatori di Servizi Essenziali (OSE) e per gli operatori TELCO. Gli OSE devono mantenere le misure già adottate ai sensi del d.lgs. 65/2018 per i sistemi OSE, ma notificare gli incidenti significativi secondo gli Allegati 3 o 4 a partire dall’entrata in vigore della determina. Analogamente, gli operatori TELCO devono mantenere le misure adottate secondo il D.M. 12 dicembre 2018 per i sistemi TELCO e notificare gli incidenti significativi secondo gli Allegati 3 o 4, con specifiche definizioni di “incidenti significativi di base” basate su durata e percentuale di utenti impattati.

La Determina entrerà ufficialmente in vigore il 30 aprile 2025, anche se le disposizioni degli Allegati entreranno effettivamente in vigore il giorno successivo alla conclusione della procedura di informazione UE (ai sensi della direttiva 2015/1535).

Ciò non toglie che già rappresentino, oggi, il livello di sicureza considerato quale best practise.

Accordi di condivisione delle informazioni sulla sicurezza informatica

Da ultimo il tema relativo agli accordi di condivisione e alle modalità con cui i soggetti essenziali e i soggetti importanti devono notificare all’Autorità nazionale competente NIS la loro partecipazione a tale tipologia di accordi.

Più esattamente l’Articolo 17 stabilisce la possibilità per le entità soggette al decreto, e potenzialmente altre, di scambiarsi volontariamente informazioni rilevanti sulla sicurezza informatica, come minacce e vulnerabilità. Tale condivisione, che avviene tramite accordi tra soggetti essenziali, importanti e i loro fornitori, mira a prevenire, rilevare, mitigare e recuperare da incidenti, incrementando la sicurezza cibernetica generale.

L’Agenzia per la cybersicurezza nazionale promuove questi accordi, potendo specificarne i dettagli operativi e supportando le entità coinvolte, che devono notificare la loro partecipazione a tali accordi ai sensi del art. 17 comma 4

La Determina stabilisce quindi che soggetti essenziali e i soggetti importanti devono notificare all’Autorità nazionale la loro partecipazione agli accordi di condivisione tramite la piattaforma digitale. Per gli accordi sottoscritti dopo l’entrata in vigore del decreto NIS, la notifica deve avvenire tempestivamente, condividendo il testo dell’accordo, la sua denominazione e l’elenco dei partecipanti.

È previsto un aggiornamento annuale dell’elenco degli accordi di condivisione tra il 15 aprile e il 31 maggio di ogni anno. A partire dal 31 maggio 2025, i soggetti NIS devono assicurare che l’elenco degli accordi notificati sia corretto e aggiornato, notificando tempestivamente qualsiasi modifica, inclusi nuovi accordi, risoluzioni e variazioni al testo o ai partecipanti, entro quattordici giorni dalla data della modifica.

Per gli accordi di condivisione sottoscritti precedentemente all’entrata in vigore del decreto NIS e ancora in atto al 31 maggio 2026, la notifica deve essere effettuata entro tale data.