1. NIS2: adempimenti entro il 31 maggio 2025
Chi ha ricevuto una comunicazione formale di inclusione tra i soggetti essenziali o importanti ĆØ tenuto, entro il 31 maggio 2025, a completare lāiscrizione al Registro nazionale NIS. Si tratta di un adempimento fondamentale per risultare conformi agli obblighi previsti dalla direttiva (UE) 2022/2555, recepita in Italia con il d.lgs. 138/2024, e per evitare le sanzioni previste in caso di inadempimento.
Oltre alla validazione dei dati giĆ comunicati allāAgenzia per la cybersicurezza nazionale (ACN), i punti di contatto designati devono procedere allāinserimento e allāaggiornamento delle informazioni richieste dallāarticolo 7, commi 4 e 5, del decreto NIS2, agendo per conto dellāorganizzazione che rappresentano. Lāadempimento si effettua esclusivamente tramite il Portale dei Servizi, accessibile allāindirizzo portale.acn.gov.it.
2. Cosa prevede lāarticolo 7, c. 4, del decreto NIS2?
Entro il 31 maggio 2025, i punti di contatto dei soggetti essenziali e importanti devono trasmettere allāAgenzia per la cybersicurezza nazionale (ACN) le informazioni richieste dallāart. 7, commi 4 e 5, del d.lgs. 138/2024, utilizzando esclusivamente il Portale dei Servizi. In particolare, il comma 4 prevede che siano comunicati all’Agenzia per la cybersicurezza nazionale le seguenti informazioni aggiuntive:
- i responsabili per le violazioni;
- il sostituto del punto di contatto;
- lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilitĆ del soggetto;
- ove applicabile, lāelenco degli Stati membri in cui forniscono servizi che rientrano nellāambito di applicazione del presente decreto;
- a chi si intende attribuire il ruolo di segreteria;
- l’esistenza di accordi di condivisione.Ā
3. Cosa prevede l’art. 7, c. 5, del decreto NIS2?
Diversamente dal comma 4, che si applica a tutti i soggetti essenziali e importanti, il comma 5 dellāart. 7 del d.lgs. 123/2023 si rivolge esclusivamente ad alcune categorie specifiche di fornitori di servizi digitali. Per questi soggetti, lāadempimento entro il 31 maggio 2025 comporta la trasmissione di ulteriori informazioni rispetto a quelle richieste in via generale. Tali soggetti, oltre a quanto previsto dal comma 4, devono comunicare allāACN anche:
- lāindirizzo della sede principale e delle eventuali altre sedi allāinterno dellāUnione europea;
- qualora non siano stabiliti nellāUE, lāindirizzo del rappresentante designato ai sensi dellāart. 5, comma 3, del decreto, con relativi contatti aggiornati, inclusi indirizzi e-mail e numeri di telefono.
Lāinvio avviene con le stesse modalitĆ previste per il comma 4, ovvero attraverso il Portale dei Servizi dellāACN. Ć fondamentale che le informazioni siano precise e complete, poichĆ© eventuali omissioni o errori possono compromettere la piena regolaritĆ dellāiscrizione nel Registro nazionale NIS.
Chi rientra e cosa prevede la NIS2 sulla cybersicurezza?
Quali soggetti sono obbligati ad adeguarsi alla NIS2? Il ruolo dellāACN e i criteri di rischio previsti dal d.lgs. 138/2024
4. Chi sono i responsabili per le violazioni?
Tra le informazioni che i punti di contatto devono trasmettere allāAgenzia per la Cybersicurezza Nazionale (ACN) ci sono anche i nominativi dei responsabili per le violazioni. Per individuare correttamente questi soggetti, occorre fare riferimento a quanto previsto dallāart. 23 del decreto di recepimento della direttiva NIS2. Si tratta, in particolare, dei componenti degli organi di amministrazione o direzione dellāorganizzazione soggetta agli obblighi NIS2.
Il punto di contatto deve comunicare, attraverso il Portale dei Servizi, per ogni componente degli organi di amministrazione o direzione:
- il codice fiscale;
- l’indirizzo PEC personale.
Tali soggetti assumono un ruolo centrale nellāattuazione della strategia di sicurezza informatica, poichĆ©:
- approvano le misure di gestione dei rischi previste dallāart. 24 del decreto;
- sovrintendono allāattuazione degli obblighi NIS2;
- rispondono delle eventuali violazioni degli obblighi previsti dal decreto.
5. Quale PEC indicare per i responsabili delle violazioni NIS2
Il punto di contatto del soggetto essenziale o importante ĆØ tenuto a indicare, per ciascun componente degli organi amministrativi e direttivi, un recapito di posta elettronica certificata (PEC) idoneo a ricevere comunicazioni ufficiali.
Lāindirizzo PEC ha una duplice funzione:
- confermare lāiscrizione del soggetto come responsabile per le violazioni NIS2;
- garantire la possibilitĆ di contattarlo direttamente tramite un canale tracciabile e giuridicamente riconosciuto.
In applicazione dellāart. 1, comma 860, della legge 30 dicembre 2024, n. 207 (Legge di bilancio 2025), si ritiene che non sia ammesso lāutilizzo della PEC generica della societĆ o dellāente. Ogni componente degli organi di amministrazione o direzione deve invece fornire un indirizzo PEC personale o a lui direttamente riconducibile, anche se appartenente al dominio istituzionale, purchĆ© intestato nominalmente.
6. Chi puĆ² essere designato come sostituto del punto di contatto
Entro il 31 maggio 2025, i soggetti essenziali e importanti devono comunicare allāAgenzia per la cybersicurezza nazionale (ACN) anche il nominativo del sostituto del punto di contatto, figura prevista dallāart. 7, comma 4, del decreto NIS2.
Il sostituto ĆØ una persona fisica distinta dal punto di contatto, designata per supportarne lāattivitĆ e garantire la continuitĆ operativa nei rapporti con lāAutoritĆ nazionale competente NIS. PuĆ² interagire direttamente con lāACN e operare sulla piattaforma digitale dellāAgenzia, con le stesse funzionalitĆ attribuite al punto di contatto, ad eccezione dellāattivitĆ di registrazione iniziale prevista dallo stesso art. 7.
Le funzioni di punto di contatto, cosƬ come quelle del sostituto, possono essere attribuite:
- al rappresentante legale del soggetto NIS;
- a uno dei procuratori generali iscritti nel Registro delle Imprese;
- a un dipendente formalmente delegato dal legale rappresentante.
Ć quindi essenziale che la persona designata sia adeguatamente formata, reperibile e consapevole delle responsabilitĆ connesse al ruolo.
7. Quali nomi a dominio e indirizzi IP devono essere comunicati?
Tra le informazioni che i punti di contatto devono comunicare entro il 31 maggio 2025 rientrano anche gli indirizzi IP (pubblici e statici), unitamenteĀ ai nomi di dominio, in uso o nella disponibilitĆ del soggetto.Ā Questo comporta che:Ā
- per quanto riguarda gli indirizzi IP, devono essere indicati quelli pubblici e stabili, anche se assegnati da fornitori terzi, a condizione che siano utilizzati per lāerogazione di servizi digitali rilevanti. Non vanno invece comunicati gli IP interni (LAN) o dinamici.
- per quanto riguarda i nomi a dominio, occorre inserire sia quelli attivamente utilizzati per i siti e i servizi istituzionali, sia quelli registrati ma attualmente inattivi, purchĆ© ancora nella disponibilitĆ tecnica o amministrativa del soggetto.
Si segnala che lāinserimento dei dati relativi allo “Spazio di indirizzamento IP e nomi di domini”, sarĆ possibile dal 29 aprile 2025.
8. Entro il 31 maggio si possono comunicare anche accordi di condivisione
Oltre allāinserimento delle informazioni obbligatorie previste dallāart. 7, entro il 31 maggio 2025 i soggetti NIS possono comunicare allāACN anche lāeventuale sottoscrizione di accordi di condivisione delle informazioni in materia di sicurezza informatica, ai sensi dellāart. 17 del d.lgs. 123/2023.
Si tratta di accordi volontari, stipulati tra soggetti pubblici o privati che rientrano nellāambito di applicazione del decreto, finalizzati allo scambio strutturato e sicuro di informazioni rilevanti sulla sicurezza informatica, come: minacce, vulnerabilitĆ , quasi-incidenti, indicatori di compromissione, tattiche e tecniche avversarie, raccomandazioni e configurazioni difensive.
La condivisione ĆØ incoraggiata dalla normativa, purchĆ© persegua finalitĆ quali:
- la prevenzione o rilevazione degli incidenti, il recupero e la mitigazione degli impatti;
- il rafforzamento del livello di sicurezza informatica, tramite lo scambio tempestivo di conoscenze e lāallineamento tecnico tra soggetti esposti a rischi simili.
Lāinserimento degli accordi nel Portale dei Servizi puĆ² rappresentare un elemento di valorizzazione della postura di sicurezza dellāorganizzazione e puĆ² dimostrare proattivitĆ nella cooperazione tra soggetti NIS, in linea con lo spirito della direttiva europea.
9. Entro il 31 maggio vanno indicati anche i Paesi UE in cui si opera
Entro il 31 maggio 2025 i soggetti rientranti nellāambito di applicazione della direttiva NIS2 devono fornire ulteriori informazioni attraverso il Portale dei Servizi dellāACN.
In particolare, occorre indicare i Paesi membri dellāUnione Europea in cui vengono forniti i servizi soggetti agli obblighi NIS2. Questa informazione consente di valutare la dimensione transfrontaliera dellāattivitĆ svolta e di individuare eventuali esigenze di coordinamento tra autoritĆ nazionali.
Inoltre, va specificato se il soggetto NIS2 dispone di altre sedi operative allāinterno dellāUnione Europea, diverse da quella principale. Anche questo dato ĆØ rilevante ai fini dellāapplicazione uniforme delle misure di cybersicurezza, nonchĆ© per lāindividuazione delle autoritĆ competenti in caso di incidenti rilevanti.
10. Che cosāĆØ la Segreteria NIS2 e quando va nominata
Entro il 31 maggio 2025, i soggetti NIS2 devono comunicare all’ACN la propria volontĆ di nominare una Segreteria. Ā La Segreteria ĆØ una persona fisica che, a supporto del Punto di contatto e del suo sostituto, potrĆ visualizzare ed aggiornare le informazioni richieste sui Servizi NIS mentre non potrĆ effettuare le azioni che determinano la trasmissione di comunicazioni inerenti il perfezionamento degli adempimenti di cui al decreto NIS.
La designazione della Segreteria non ĆØ obbligatoria, ma in caso di mancata nomina lāorganizzazione deve comunicarlo espressamente attraverso il Portale dei Servizi. Anche per questo motivo, molte realtĆ scelgono comunque di nominare un referente interno, cosƬ da garantire una gestione piĆ¹ ordinata e continuativa delle attivitĆ previste dalla normativa.
11. In conclusione
Lāattuazione della direttiva NIS2 impone a soggetti pubblici e privati obblighi informativi e organizzativi che non possono essere rinviati oltre il termine del 31 maggio 2025. La corretta trasmissione dei dati allāACN, lāidentificazione puntuale dei punti di contatto, dei responsabili e dei recapiti personali, cosƬ come lāeventuale comunicazione di accordi di condivisione, rappresentano passaggi essenziali per evitare sanzioni e assicurare la piena legittimazione a operare nei settori sensibili regolati dalla normativa europea.
Verifica tempestivamente se la tua organizzazione ĆØ giĆ stata individuata come soggetto essenziale o importante e prepara un piano interno per il caricamento e la conferma delle informazioni richieste. Assicurati che tutti i dati siano aggiornati, che i soggetti indicati siano informati del loro ruolo e che le credenziali di accesso al Portale ACN siano disponibili. In caso di dubbio, valuta il supporto di un consulente legale o informatico per accompagnare lāadempimento e limitare il rischio di errori o inadempienze formali.
Compila il modulo: ti ricontattiamo entro 24 ore.
Ā
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa ĆØ possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilitĆ per errori od omissioni, nonchĆ© per un utilizzo improprio o non aggiornato delle presenti informazioni.
Ā