Con la determinazione del 19 settembre 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito termini, modalità e procedimenti per l’utilizzo della nuova piattaforma digitale NIS, strumento cardine per l’attuazione operativa del decreto legislativo 4 settembre 2024, n. 138, che recepisce la direttiva (UE) 2022/2555 (c.d. NIS 2).
La decisione, adottata ai sensi dell’articolo 7, comma 6, e dell’articolo 40, comma 5, lettera b), del decreto NIS, rappresenta un passaggio cruciale verso la piena digitalizzazione dei processi di censimento, registrazione e aggiornamento dei soggetti essenziali e importanti, delineando un sistema strutturato di interlocuzione tra enti pubblici, operatori privati e Autorità nazionali competenti.
La piattaforma NIS costituisce, pertanto, non solo un adempimento tecnico, ma un pilastro della nuova governance della cybersicurezza nazionale, in cui convergono funzioni di vigilanza, coordinamento e responsabilità condivisa tra i vari livelli organizzativi, nel solco delle recenti innovazioni introdotte anche dalla legge 28 giugno 2024, n. 90, in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon. Sulla nuova figura, abbiamo organizzato il corso Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025
Indice
1. La determinazione ACN e la cornice normativa della NIS2
La determinazione — che aggiorna e sostituisce la precedente n. 283727 del 22 luglio 2025 — costituisce la principale norma attuativo dell’articolo 7 del decreto NIS, prevedendo regole puntuali sull’utilizzo del Portale ACN e dei Servizi NIS, nonché sull’adempimento di obblighi informativi, designazioni e flussi di comunicazione con l’Autorità nazionale competente.
L’impianto normativo si innesta in un più ampio disegno di armonizzazione europea, volto a garantire un livello comune elevato di cybersicurezza in tutti gli Stati membri. La piattaforma italiana, per come delineata dall’ACN, si configura come una interfaccia unica attraverso la quale i soggetti obbligati (operatori essenziali e importanti, pubblici e privati) possono adempiere digitalmente agli obblighi di registrazione, aggiornamento e notifica previsti dal decreto NIS.
Il provvedimento disciplina inoltre le figure chiave del nuovo ecosistema NIS — punto di contatto, sostituto, referente CSIRT e sostituto — introducendo una catena di responsabilità e competenze che rafforza il principio di accountability organizzativa.
Potrebbero interessarti anche:
2. Il punto di contatto e l’introduzione del referente CSIRT
La determina in argomento definisce le procedure di designazione e censimento del punto di contatto NIS, figura che rappresenta l’interfaccia principale tra l’organizzazione e l’Autorità nazionale competente. Il punto di contatto, individuato tra il rappresentante legale, un procuratore generale o un delegato interno (art. 4), cura la registrazione, l’aggiornamento e la comunicazione degli incidenti, assumendo una funzione di garanzia interna in linea con i principi del decreto legislativo n. 138/2024.
Accanto a tale figura, l’elemento maggiore di novità è costituito dall’introduzione del referente CSIRT, che andrà designato a partire dal 20 novembre 2025 fino al 31 dicembre (art. 7), incaricato di interloquire con lo CSIRT Italia per la gestione e notifica degli incidenti significativi. La previsione di sostituti del referente CSIRT e di requisiti minimi di competenza in materia di sicurezza informatica evidenzia l’intento dell’Agenzia di assicurare continuità operativa e tempestività nelle comunicazioni, elementi chiave nella gestione del rischio cibernetico.
Al referente CSIRT sono affidati la rappresentanza del soggetto NIS nei rapporti operativi con il CSIRT Italia, l’effettuazione delle notifiche di incidenti significativi e rilevanti previste dagli articoli 25 e 26 del decreto NIS e il compito di assicurare la tempestività delle comunicazioni e la cooperazione tecnica con l’Autorità nazionale competente.
La determinazione prescrive che tali soggetti possiedano competenze tecniche di base in sicurezza informatica e gestione degli incidenti, nonché approfondita conoscenza dei sistemi informativi e delle reti dell’organizzazione. Quest’ultimo elemento farebbe propendere per la scelta di un elemento interno, ossia appartenente all’organizzazione del soggetto NIS. Al contrario, la determinazione, non prescrive che il referente debba essere una risorsa interna, limitandosi a richiedere che si tratti di una persona fisica dotata delle competenze tecniche necessarie e formalmente designata dal punto di contatto. Ne consegue che il referente CSIRT può essere interno oppure esterno, purché abilitato ad operare in nome e per conto dell’organizzazione nell’ambito delle funzioni previste. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
3. Responsabilità e sanzioni: un modello di accountability multilivello
La determinazione richiama espressamente la responsabilità degli organi di amministrazione e direttivi dei soggetti NIS (art. 2, comma 3), i quali sovrintendono alla registrazione e all’aggiornamento delle informazioni e rispondono delle violazioni secondo le disposizioni sanzionatorie dell’art. 38 del decreto NIS.
Ciò segna un’evoluzione importante nel principio di responsabilità estesa, che coinvolge non solo i referenti tecnici ma anche il management apicale, in coerenza con l’approccio “top-down” della direttiva NIS 2.
L’ACN, inoltre, prevede un sistema di verifiche di coerenza (art. 14) e un processo endoprocedimentale di validazione dei dati (art. 15), che si traduce in un modello dinamico di compliance digitale fondato su cooperazione, trasparenza e controllo.
4. Implicazioni operative per enti e imprese
Per enti pubblici, gestori di infrastrutture critiche e operatori privati strategici, la determinazione introduce un insieme articolato di obblighi amministrativi e organizzativi. L’integrazione tra ACN, Autorità di settore e CSIRT Italia richiede una ridefinizione dei processi interni di gestione del rischio e delle relazioni istituzionali, imponendo un adeguamento dei flussi documentali e delle deleghe interne. A tutto questo si aggiunge anche l’individuazione e la successiva nomina del referente CSIRT (e del suo sostituto) che dovrà essere disciplinata avendo cura di chiarire i profili di responsabilità, riservatezza e coordinamento operativo con il punto di contatto interno.
Dal punto di vista operativo, la piattaforma NIS si configura come uno strumento di compliance centralizzata, capace di facilitare le interlocuzioni con l’Autorità e di ridurre il rischio di frammentazione informativa.
In prospettiva, la determinazione anticipa un modello di cyber governance interconnessa, in cui la tecnologia diventa leva per la trasparenza e la tracciabilità dei rapporti tra pubblico e privato.
5. Conclusioni
Per i soggetti obbligati, pubblici e privati, si apre una nuova fase di compliance digitale evoluta, che impone non solo l’adempimento formale ma una consapevole integrazione della sicurezza cibernetica nei processi decisionali e nella cultura organizzativa. Il percorso, ancora in divenire, mostra come la normativa in materia di cybersicurezza non sia più solo un presidio tecnico, ma una componente strutturale della governance pubblica e aziendale.
Formazione in materia per professionisti
Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025
La nuova Determinazione ACN n. 333017/2025 segna un passaggio decisivo nell’attuazione della Direttiva NIS2 in Italia, introducendo all’art. 7 una figura inedita: il Referente CSIRT.
Il corso offre una lettura chiara e operativa delle nuove regole emanate dall’Agenzia per la Cybersicurezza Nazionale (ACN), spiegando cosa cambia per i soggetti NIS e come organizzarsi entro le scadenze previste. Il Referente CSIRT dovrà infatti essere designato tra il 20 novembre e il 31 dicembre 2025.
Attraverso un percorso pratico e di approfondimento, i partecipanti comprenderanno:
– il quadro normativo aggiornato e le differenze tra Punto di Contatto e Referente CSIRT
– le responsabilità, le procedure e gli obblighi di notifica degli incidenti
– l’utilizzo del Portale ACN e checklist operative per il Referente CSIRT
Perché scegliere questo corso?
– Analizza in modo chiaro la nuova Determinazione ACN n. 333017/2025, appena pubblicata
– Approfondisce la nuova figura del Referente CSIRT, con indicazioni pratiche su ruolo, requisiti e designazione
– Chiarisce i rapporti tra Punto di Contatto, CSIRT Italia e organi direttivi, offrendo una guida operativa agli obblighi di notifica e alla gestione degli incidenti tramite il Portale ACN
>>>Per info ed iscrizioni<<<
Scrivi un commento
Accedi per poter inserire un commento