ACN pubblica le nuove Determinazioni n. 379907/2025 “obblighi di base” e n. 379887/2025 “Portale ACN e Servizi NIS”.
L’Agenzia per la Cybersicurezza Nazionale (ACN) in data 24 dicembre 2025 ha pubblicato le nuove Determinazioni n. 379907/2025 e n. 379887/2025 rispettivamente in materia di obblighi di base e in materia di Portale ACN e Servizi NIS, completando e consolidando il quadro regolatorio nazionale in vista dell’entrata a regime degli obblighi per i soggetti NIS.
I provvedimenti: - definiscono in maniera più puntuale gli elementi tecnico-operativi degli obblighi di sicurezza;
- intervengono su termini, modalità e procedure per la registrazione e la gestione dei rapporti con l’Autorità tramite il Portale ACN;
- sostituiscono le precedenti determinazioni, superandone l’impostazione transitoria.
La Determinazione n. 379907/2025, applicabile dal 15 gennaio 2026, aggiorna e sostituisce la precedente Determinazione ACN n. 136118 di aprile 2025, chiarendo tempi, misure di sicurezza e responsabilità per i soggetti NIS.
Gli elementi di novità riguardano le specifiche di base, cui sono stati apportati degli affinamenti riassunti nella FAQ DSB.1 presente sul sito istituzionale di ACN. Non si tratta ad ogni modo di stravolgimenti.
Gli articoli 5 e 6 disciplinano il regime transitorio relativo all’obbligo di notifica degli incidenti per gli operatori di servizi essenziali e per gli operatori telco, prevedendo che le relative disposizioni restino in vigore fino al 14 gennaio 2026 e siano successivamente abrogate dalla disciplina generale dell’obbligo di notifica applicabile a decorrere dal 15 gennaio 2026.
La determinazione ha inoltre aggiornato e affinato i quattro allegati tecnici della precedente deliberazione recanti le regole sugli obblighi di base vincolanti, disciplinando in modo differenziato, tra l’altro, le misure di sicurezza di base per soggetti essenziali e soggetti importanti, i criteri per l’individuazione degli incidenti significativi e l’inclusione del referente CSIRT e degli eventuali sostituti nell’organizzazione di sicurezza informatica di cui alla misura GV.RR-02.
Per quanto riguarda i tempi di adeguamento, la determinazione conferma quelli previsti nella precedente determinazione: diciotto mesi per l’adozione delle misure di sicurezza e nove mesi quello per l’adempimento degli obblighi di notifica degli incidenti significativi, dal momento della comunicazione di inserimento nell’elenco dei soggetti NIS.
La Determinazione n. 379887/2025, invece, aggiorna e sostituisce la precedente Determinazione n. 333017/2025, introducendo nuove disposizioni in materia di Portale ACN e Servizi NIS.
Il provvedimento è applicabile dal 31 dicembre 2025 ed è pubblicato in vista della prossima finestra di adempimenti per la registrazione dei soggetti NIS relativa all’anno 2026, prevista dal 1° gennaio al 28 febbraio.
Sotto il profilo sistematico, la nuova determinazione non modifica l’architettura complessiva dei processi di censimento, associazione delle utenze, registrazione e aggiornamento delle informazioni, che restano sostanzialmente invariati. Un cambiamento riguarda la razionalizzazione terminologica. Il servizio di “registrazione” è ora denominato “Servizio NIS/Dichiarazione”, scelta che riflette in modo più puntuale la natura giuridica dell’atto compiuto dal punto di contatto, qualificato espressamente come dichiarazione resa ai sensi del D.P.R. n. 445/2000 (articolo 1, co 1, lett. j)).
Il profilo di maggiore novità è rappresentato dalla introduzione, all’articolo 11, comma 8, di un meccanismo di stabilizzazione della dichiarazione. Decorsi dieci giorni solari dalla sottomissione della dichiarazione sul Portale ACN, la stessa si intenda definitivamente acquisita e non più modificabile dall’utente. Tale previsione era assente nella disciplina precedente e segna un passaggio rilevante verso la cristallizzazione delle informazioni dichiarate, rafforzando l’affidamento dell’Autorità sulla base dati e, al contempo, l’accountability del soggetto NIS, risolvendo diversi dubbi interpretativi emersi durante il primo anno di vigenza del regime NIS.
In stretta connessione con tale meccanismo, il comma 9 del medesimo articolo, introduce una disciplina espressa delle dichiarazioni tardive, qualificando come tali quelle sottomesse o modificate oltre la finestra temporale annuale prevista per la registrazione, salvo il caso di comprovate criticità tecnico-operative non imputabili all’utente, di fatto avvenute nella pratica.
Ulteriore elemento di novità è costituito dalla precompilazione della dichiarazione, presente all’articolo 11 co 10, per i soggetti già inseriti nell’elenco NIS. In occasione della registrazione 2026, tali soggetti visualizzeranno una bozza di dichiarazione predisposta sulla base delle informazioni trasmesse nell’anno precedente, che deve essere verificata e confermata. Si tratta di una semplificazione procedurale che non incide sull’obbligo di controllo e responsabilità del dichiarante, ma che agevola la continuità informativa e riduce il rischio di incongruenze.
Sul versante degli aggiornamenti annuali (articolo 16), la nuova determinazione amplia in modo esplicito il perimetro delle informazioni da verificare e confermare, includendovi espressamente i dati del referente CSIRT e degli eventuali sostituti.
Resta invece sostanzialmente invariato l’impianto relativo ai ruoli operativi sul Portale ACN – punto di contatto, sostituto, segreteria, operatori – così come le regole sul censimento degli utenti, sull’associazione delle utenze e sui poteri di verifica e controllo dell’Autorità nazionale competente NIS. Analogamente, non risultano modifiche di rilievo alle disposizioni in materia di verifiche di coerenza, elaborazione dell’elenco dei soggetti NIS e comunicazioni formali.
In sostanza, le Determinazioni intervengono su alcune criticità riscontrate nella prima fase di applicazione e prevedono degli affinamenti che consolidano il quadro regolamentare in correlazione con la piena applicazione della Direttiva NIS. |
