L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la determinazione n. 333017/2025, entrata in vigore il 30 settembre 2025, che integra, aggiorna e sostituisce la precedente determinazione ACN n. 283727 del 22 luglio 2025, introducendo nuovi obblighi per i soggetti rientranti nel perimetro applicativo del decreto legislativo 4 settembre 2024, n. 138 (“Decreto NIS”).
Il provvedimento introduce alcune modifiche significative: - aggiorna le disposizioni relative alla designazione del Sostituto Punto di Contatto;
- introduce specifiche previsioni in materia di nomina del referente CSIRT e dei relativi sostituti;
- aggiorna il processo di censimento degli utenti abilitati all’accesso al Portale ACN;
- introduce una nuova disposizione derogatoria riguardante l’aggiornamento annuale delle informazioni.
Come noto, i soggetti rientranti nel perimetro applicativo della Direttiva NIS2 e del Decreto NIS sono tenuti a comunicare ad ACN, tramite il portale dedicato, il nominativo del Punto di Contatto designato. Tale figura, incaricata della registrazione prevista dall’articolo 7 del Decreto NIS, svolge il ruolo di interlocutore ufficiale con l’Agenzia per conto del soggetto NIS.
A coadiuvare l’attività del Punto di Contatto è prevista la figura del Sostituto Punto di Contatto, la cui funzione è garantire la continuità operativa nei rapporti tra il soggetto NIS e l’ACN. La nuova determinazione conferma il termine del 31 maggio dell’anno in cui il soggetto NIS riceve la comunicazione di inserimento nell’elenco ufficiale per procedere alla relativa designazione, mantenendo così un quadro temporale coerente con la disciplina previgente.
Un elemento di novità è rappresentato dall’introduzione, all’ultimo comma dell’art. 5, di una deroga all’obbligo di designazione del Sostituto Punto di Contatto nei casi in cui il soggetto NIS si trovi in una situazione di oggettiva impossibilità materiale dacché il Punto di Contatto coincide con l’unica persona fisica operante all’interno dell’organizzazione.
Tale previsione, assente nella determinazione antecedente, rappresenta un significativo intervento adeguamento del quadro regolatorio. Essa consente infatti di superare i limiti applicativi che, nella prassi, avevano posto difficoltà ai soggetti di dimensioni ridotte o con strutture organizzative minime, costretti formalmente a designare una figura sostitutiva anche in assenza di risorse disponibili.
Un’ulteriore novità introdotta dalla nuova determinazione è rappresentata dall’inserimento ex novo dell’articolo 7, che istituisce formalmente la figura del Referente CSIRT. Si tratta di una persona fisica designata dal Punto di Contatto nel periodo compreso tra il 20 novembre e il 31 dicembre 2025, mediante l’apposita procedura telematica disponibile sul Portale ACN.
Il Referente CSIRT svolge un ruolo centrale nel sistema di gestione della sicurezza informatica, fungendo da interfaccia operativa con il CSIRT Italia. Tra le sue principali funzioni rientra l’adempimento degli obblighi di notifica degli incidenti previsti dagli articoli 25 e 26 del Decreto NIS. In particolare, il Referente CSIRT sarà responsabile delle notifiche obbligatorie relative agli incidenti con impatti significativi sulla fornitura di servizi essenziali e le notifiche volontarie di informazioni pertinenti per la sicurezza della rete e dei sistemi informativi.
La determinazione consente inoltre di nominare, con le medesime modalità, uno o più sostituti del Referente CSIRT, incaricati di supportarne l’attività e di garantirne la continuità operativa. Ai fini della nomina, è richiesto che il referente – e gli eventuali sostituti – possiedano competenze di base in materia di sicurezza informatica e gestione degli incidenti, unitamente a una conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale operano.
L’introduzione di tale figura risponde all’esigenza di rafforzare il presidio tecnico e comunicativo tra i soggetti NIS e l’infrastruttura nazionale di cybersicurezza, assicurando una gestione più tempestiva, qualificata e strutturata degli incidenti e delle comunicazioni in materia di sicurezza digitale. Le imprese dovranno tuttavia prestare attenzione alle modalità ed alle formalità di delega del Referente CSIRT one evitare nomine invalide.
Per quanto riguarda il censimento degli utenti, la determinazione estende le modalità di autenticazione al Portale ACN consentendo, oltre all’utilizzo dello SPID, anche quello della Carta di Identità Elettronica (CIE). Rimane invariata la procedura per la richiesta di credenziali personali nei casi in cui l’utente non disponga di tali strumenti. Non subiscono modifiche le disposizioni relative all’associazione delle utenze del Punto di Contatto e del Sostituto al soggetto NIS.
È stato inoltre corretto il refuso contenuto nell’articolo 12, che riconosce la possibilità di richiedere l’applicazione della clausola di salvaguardia di cui all’articolo 3, comma 12, del Decreto NIS, nei casi in cui il calcolo del fatturato e del bilancio non risulti proporzionato ai criteri stabiliti dal DPCM previsto dall’articolo 40, comma 1, lettera a), del decreto NIS.
Infine, con riferimento al processo di aggiornamento annuale delle informazioni, è stata introdotta una disposizione che esclude l’applicabilità del comma 3, lettera b), dell’articolo 16 e dell’articolo 17 del Decreto NIS, relativi all’obbligo di elencazione degli organi di amministrazione e direzione, ai soggetti rientranti nel campo di applicazione del Decreto NIS e del Regolamento DORA. Tale previsione appare tuttavia di difficile interpretazione, in quanto esclude l’adempimento proprio per i soggetti principali della disciplina, generando potenziali incoerenze sul piano sistematico.
In conclusione, la nuova determinazione dell’Agenzia per la Cybersicurezza Nazionale segna un ulteriore passo verso il consolidamento del quadro operativo previsto dal Decreto NIS, introducendo strumenti e procedure volti a rendere più efficiente e coerente la gestione dei rapporti tra i soggetti NIS e l’ACN. Le modifiche intervenute, se da un lato mirano a semplificare taluni adempimenti per i soggetti con strutture più ridotte, dall’altro ampliano gli obblighi di designazione e di competenza tecnica per garantire una risposta sempre più qualificata e tempestiva agli incidenti di sicurezza.
|
