1. NIS2: adempimenti entro il 31 maggio 2025
Chi ha ricevuto una comunicazione formale di inclusione tra i soggetti essenziali o importanti è tenuto, entro il 31 maggio 2025, a completare l’iscrizione al Registro nazionale NIS. Si tratta di un adempimento fondamentale per risultare conformi agli obblighi previsti dalla direttiva (UE) 2022/2555, recepita in Italia con il d.lgs. 138/2024, e per evitare le sanzioni previste in caso di inadempimento.
Oltre alla validazione dei dati già comunicati all’Agenzia per la cybersicurezza nazionale (ACN), i punti di contatto designati devono procedere all’inserimento e all’aggiornamento delle informazioni richieste dall’articolo 7, commi 4 e 5, del decreto NIS2, agendo per conto dell’organizzazione che rappresentano. L’adempimento si effettua esclusivamente tramite il Portale dei Servizi, accessibile all’indirizzo portale.acn.gov.it.
2. Cosa prevede l’articolo 7, c. 4, del decreto NIS2?
Entro il 31 maggio 2025, i punti di contatto dei soggetti essenziali e importanti devono trasmettere all’Agenzia per la cybersicurezza nazionale (ACN) le informazioni richieste dall’art. 7, commi 4 e 5, del d.lgs. 138/2024, utilizzando esclusivamente il Portale dei Servizi. In particolare, il comma 4 prevede che siano comunicati all’Agenzia per la cybersicurezza nazionale le seguenti informazioni aggiuntive:
- i responsabili per le violazioni;
- il sostituto del punto di contatto;
- lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;
- ove applicabile, l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del presente decreto;
- a chi si intende attribuire il ruolo di segreteria;
- l’esistenza di accordi di condivisione.
3. Cosa prevede l’art. 7, c. 5, del decreto NIS2?
Diversamente dal comma 4, che si applica a tutti i soggetti essenziali e importanti, il comma 5 dell’art. 7 del d.lgs. 123/2023 si rivolge esclusivamente ad alcune categorie specifiche di fornitori di servizi digitali. Per questi soggetti, l’adempimento entro il 31 maggio 2025 comporta la trasmissione di ulteriori informazioni rispetto a quelle richieste in via generale. Tali soggetti, oltre a quanto previsto dal comma 4, devono comunicare all’ACN anche:
- l’indirizzo della sede principale e delle eventuali altre sedi all’interno dell’Unione europea;
- qualora non siano stabiliti nell’UE, l’indirizzo del rappresentante designato ai sensi dell’art. 5, comma 3, del decreto, con relativi contatti aggiornati, inclusi indirizzi e-mail e numeri di telefono.
L’invio avviene con le stesse modalità previste per il comma 4, ovvero attraverso il Portale dei Servizi dell’ACN. È fondamentale che le informazioni siano precise e complete, poiché eventuali omissioni o errori possono compromettere la piena regolarità dell’iscrizione nel Registro nazionale NIS.
Chi rientra e cosa prevede la NIS2 sulla cybersicurezza?
Quali soggetti sono obbligati ad adeguarsi alla NIS2? Il ruolo dell’ACN e i criteri di rischio previsti dal d.lgs. 138/2024
4. Chi sono i responsabili per le violazioni?
Tra le informazioni che i punti di contatto devono trasmettere all’Agenzia per la Cybersicurezza Nazionale (ACN) ci sono anche i nominativi dei responsabili per le violazioni. Per individuare correttamente questi soggetti, occorre fare riferimento a quanto previsto dall’art. 23 del decreto di recepimento della direttiva NIS2. Si tratta, in particolare, dei componenti degli organi di amministrazione o direzione dell’organizzazione soggetta agli obblighi NIS2.
Il punto di contatto deve comunicare, attraverso il Portale dei Servizi, per ogni componente degli organi di amministrazione o direzione:
- il codice fiscale;
- l’indirizzo PEC personale.
Tali soggetti assumono un ruolo centrale nell’attuazione della strategia di sicurezza informatica, poiché:
- approvano le misure di gestione dei rischi previste dall’art. 24 del decreto;
- sovrintendono all’attuazione degli obblighi NIS2;
- rispondono delle eventuali violazioni degli obblighi previsti dal decreto.
5. Quale PEC indicare per i responsabili delle violazioni NIS2
Il punto di contatto del soggetto essenziale o importante è tenuto a indicare, per ciascun componente degli organi amministrativi e direttivi, un recapito di posta elettronica certificata (PEC) idoneo a ricevere comunicazioni ufficiali.
L’indirizzo PEC ha una duplice funzione:
- confermare l’iscrizione del soggetto come responsabile per le violazioni NIS2;
- garantire la possibilità di contattarlo direttamente tramite un canale tracciabile e giuridicamente riconosciuto.
In applicazione dell’art. 1, comma 860, della legge 30 dicembre 2024, n. 207 (Legge di bilancio 2025), si ritiene che non sia ammesso l’utilizzo della PEC generica della società o dell’ente. Ogni componente degli organi di amministrazione o direzione deve invece fornire un indirizzo PEC personale o a lui direttamente riconducibile, anche se appartenente al dominio istituzionale, purché intestato nominalmente.
6. Chi può essere designato come sostituto del punto di contatto
Entro il 31 maggio 2025, i soggetti essenziali e importanti devono comunicare all’Agenzia per la cybersicurezza nazionale (ACN) anche il nominativo del sostituto del punto di contatto, figura prevista dall’art. 7, comma 4, del decreto NIS2.
Il sostituto è una persona fisica distinta dal punto di contatto, designata per supportarne l’attività e garantire la continuità operativa nei rapporti con l’Autorità nazionale competente NIS. Può interagire direttamente con l’ACN e operare sulla piattaforma digitale dell’Agenzia, con le stesse funzionalità attribuite al punto di contatto, ad eccezione dell’attività di registrazione iniziale prevista dallo stesso art. 7.
Le funzioni di punto di contatto, così come quelle del sostituto, possono essere attribuite:
- al rappresentante legale del soggetto NIS;
- a uno dei procuratori generali iscritti nel Registro delle Imprese;
- a un dipendente formalmente delegato dal legale rappresentante.
È quindi essenziale che la persona designata sia adeguatamente formata, reperibile e consapevole delle responsabilità connesse al ruolo.
7. Quali nomi a dominio e indirizzi IP devono essere comunicati?
Tra le informazioni che i punti di contatto devono comunicare entro il 31 maggio 2025 rientrano anche gli indirizzi IP (pubblici e statici), unitamente ai nomi di dominio, in uso o nella disponibilità del soggetto. Questo comporta che:
- per quanto riguarda gli indirizzi IP, devono essere indicati quelli pubblici e stabili, anche se assegnati da fornitori terzi, a condizione che siano utilizzati per l’erogazione di servizi digitali rilevanti. Non vanno invece comunicati gli IP interni (LAN) o dinamici.
- per quanto riguarda i nomi a dominio, occorre inserire sia quelli attivamente utilizzati per i siti e i servizi istituzionali, sia quelli registrati ma attualmente inattivi, purché ancora nella disponibilità tecnica o amministrativa del soggetto.
Si segnala che l’inserimento dei dati relativi allo “Spazio di indirizzamento IP e nomi di domini”, sarà possibile dal 29 aprile 2025.
8. Entro il 31 maggio si possono comunicare anche accordi di condivisione
Oltre all’inserimento delle informazioni obbligatorie previste dall’art. 7, entro il 31 maggio 2025 i soggetti NIS possono comunicare all’ACN anche l’eventuale sottoscrizione di accordi di condivisione delle informazioni in materia di sicurezza informatica, ai sensi dell’art. 17 del d.lgs. 123/2023.
Si tratta di accordi volontari, stipulati tra soggetti pubblici o privati che rientrano nell’ambito di applicazione del decreto, finalizzati allo scambio strutturato e sicuro di informazioni rilevanti sulla sicurezza informatica, come: minacce, vulnerabilità, quasi-incidenti, indicatori di compromissione, tattiche e tecniche avversarie, raccomandazioni e configurazioni difensive.
La condivisione è incoraggiata dalla normativa, purché persegua finalità quali:
- la prevenzione o rilevazione degli incidenti, il recupero e la mitigazione degli impatti;
- il rafforzamento del livello di sicurezza informatica, tramite lo scambio tempestivo di conoscenze e l’allineamento tecnico tra soggetti esposti a rischi simili.
L’inserimento degli accordi nel Portale dei Servizi può rappresentare un elemento di valorizzazione della postura di sicurezza dell’organizzazione e può dimostrare proattività nella cooperazione tra soggetti NIS, in linea con lo spirito della direttiva europea.
9. Entro il 31 maggio vanno indicati anche i Paesi UE in cui si opera
Entro il 31 maggio 2025 i soggetti rientranti nell’ambito di applicazione della direttiva NIS2 devono fornire ulteriori informazioni attraverso il Portale dei Servizi dell’ACN.
In particolare, occorre indicare i Paesi membri dell’Unione Europea in cui vengono forniti i servizi soggetti agli obblighi NIS2. Questa informazione consente di valutare la dimensione transfrontaliera dell’attività svolta e di individuare eventuali esigenze di coordinamento tra autorità nazionali.
Inoltre, va specificato se il soggetto NIS2 dispone di altre sedi operative all’interno dell’Unione Europea, diverse da quella principale. Anche questo dato è rilevante ai fini dell’applicazione uniforme delle misure di cybersicurezza, nonché per l’individuazione delle autorità competenti in caso di incidenti rilevanti.
10. Che cos’è la Segreteria NIS2 e quando va nominata
Entro il 31 maggio 2025, i soggetti NIS2 devono comunicare all’ACN la propria volontà di nominare una Segreteria. La Segreteria è una persona fisica che, a supporto del Punto di contatto e del suo sostituto, potrà visualizzare ed aggiornare le informazioni richieste sui Servizi NIS mentre non potrà effettuare le azioni che determinano la trasmissione di comunicazioni inerenti il perfezionamento degli adempimenti di cui al decreto NIS.
La designazione della Segreteria non è obbligatoria, ma in caso di mancata nomina l’organizzazione deve comunicarlo espressamente attraverso il Portale dei Servizi. Anche per questo motivo, molte realtà scelgono comunque di nominare un referente interno, così da garantire una gestione più ordinata e continuativa delle attività previste dalla normativa.
11. In conclusione
L’attuazione della direttiva NIS2 impone a soggetti pubblici e privati obblighi informativi e organizzativi che non possono essere rinviati oltre il termine del 31 maggio 2025. La corretta trasmissione dei dati all’ACN, l’identificazione puntuale dei punti di contatto, dei responsabili e dei recapiti personali, così come l’eventuale comunicazione di accordi di condivisione, rappresentano passaggi essenziali per evitare sanzioni e assicurare la piena legittimazione a operare nei settori sensibili regolati dalla normativa europea.
Verifica tempestivamente se la tua organizzazione è già stata individuata come soggetto essenziale o importante e prepara un piano interno per il caricamento e la conferma delle informazioni richieste. Assicurati che tutti i dati siano aggiornati, che i soggetti indicati siano informati del loro ruolo e che le credenziali di accesso al Portale ACN siano disponibili. In caso di dubbio, valuta il supporto di un consulente legale o informatico per accompagnare l’adempimento e limitare il rischio di errori o inadempienze formali.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.