Con la determinazione del 19 settembre 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito termini, modalità e procedimenti per l’utilizzo della nuova piattaforma digitale NIS, strumento cardine per l’attuazione operativa del decreto legislativo 4 settembre 2024, n. 138, che recepisce la direttiva (UE) 2022/2555 (c.d. NIS 2).
La decisione, adottata ai sensi dell’articolo 7, comma 6, e dell’articolo 40, comma 5, lettera b), del decreto NIS, rappresenta un passaggio cruciale verso la piena digitalizzazione dei processi di censimento, registrazione e aggiornamento dei soggetti essenziali e importanti, delineando un sistema strutturato di interlocuzione tra enti pubblici, operatori privati e Autorità nazionali competenti.
La piattaforma NIS costituisce, pertanto, non solo un adempimento tecnico, ma un pilastro della nuova governance della cybersicurezza nazionale, in cui convergono funzioni di vigilanza, coordinamento e responsabilità condivisa tra i vari livelli organizzativi, nel solco delle recenti innovazioni introdotte anche dalla legge 28 giugno 2024, n. 90, in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon. Sulla nuova figura, abbiamo organizzato il corso Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025
Indice
1. La determinazione ACN e la cornice normativa della NIS2
La determinazione — che aggiorna e sostituisce la precedente n. 283727 del 22 luglio 2025 — costituisce la principale norma attuativo dell’articolo 7 del decreto NIS, prevedendo regole puntuali sull’utilizzo del Portale ACN e dei Servizi NIS, nonché sull’adempimento di obblighi informativi, designazioni e flussi di comunicazione con l’Autorità nazionale competente.
L’impianto normativo si innesta in un più ampio disegno di armonizzazione europea, volto a garantire un livello comune elevato di cybersicurezza in tutti gli Stati membri. La piattaforma italiana, per come delineata dall’ACN, si configura come una interfaccia unica attraverso la quale i soggetti obbligati (operatori essenziali e importanti, pubblici e privati) possono adempiere digitalmente agli obblighi di registrazione, aggiornamento e notifica previsti dal decreto NIS.
Il provvedimento disciplina inoltre le figure chiave del nuovo ecosistema NIS — punto di contatto, sostituto, referente CSIRT e sostituto — introducendo una catena di responsabilità e competenze che rafforza il principio di accountability organizzativa.
Potrebbero interessarti anche:
2. Il punto di contatto e l’introduzione del referente CSIRT
La determina in argomento definisce le procedure di designazione e censimento del punto di contatto NIS, figura che rappresenta l’interfaccia principale tra l’organizzazione e l’Autorità nazionale competente. Il punto di contatto, individuato tra il rappresentante legale, un procuratore generale o un delegato interno (art. 4), cura la registrazione, l’aggiornamento e la comunicazione degli incidenti, assumendo una funzione di garanzia interna in linea con i principi del decreto legislativo n. 138/2024.
Accanto a tale figura, l’elemento maggiore di novità è costituito dall’introduzione del referente CSIRT, che andrà designato a partire dal 20 novembre 2025 fino al 31 dicembre (art. 7), incaricato di interloquire con lo CSIRT Italia per la gestione e notifica degli incidenti significativi. La previsione di sostituti del referente CSIRT e di requisiti minimi di competenza in materia di sicurezza informatica evidenzia l’intento dell’Agenzia di assicurare continuità operativa e tempestività nelle comunicazioni, elementi chiave nella gestione del rischio cibernetico.
Al referente CSIRT sono affidati la rappresentanza del soggetto NIS nei rapporti operativi con il CSIRT Italia, l’effettuazione delle notifiche di incidenti significativi e rilevanti previste dagli articoli 25 e 26 del decreto NIS e il compito di assicurare la tempestività delle comunicazioni e la cooperazione tecnica con l’Autorità nazionale competente.
La determinazione prescrive che tali soggetti possiedano competenze tecniche di base in sicurezza informatica e gestione degli incidenti, nonché approfondita conoscenza dei sistemi informativi e delle reti dell’organizzazione. Quest’ultimo elemento farebbe propendere per la scelta di un elemento interno, ossia appartenente all’organizzazione del soggetto NIS. Al contrario, la determinazione, non prescrive che il referente debba essere una risorsa interna, limitandosi a richiedere che si tratti di una persona fisica dotata delle competenze tecniche necessarie e formalmente designata dal punto di contatto. Ne consegue che il referente CSIRT può essere interno oppure esterno, purché abilitato ad operare in nome e per conto dell’organizzazione nell’ambito delle funzioni previste. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
La direttiva NIS 2 (dir. UE 2022/2555) e il suo recepimento italiano tramite il decreto legislativo n. 138/2024 rivoluzionano l’architettura di cybersicurezza del Paese.L’opera analizza l’integrazione tra la normativa NIS 2, il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e le regolamentazioni settoriali come DORA e CER.Il volume esplora i nuovi e stringenti obblighi di governance, che hanno posto gli organi direttivi al centro della gestione del rischio informatico, e tutte le misure di sicurezza proporzionate per i soggetti essenziali e importanti, l’obbligo di notifica degli incidenti con tempistiche rigorose e il rafforzamento delle misure crittografiche, inclusa la sfida della transizione post-quantum.Ampio spazio è dedicato ai poteri di vigilanza e sanzionatori dell’ACN, e all’impatto sul diritto penale e processuale della Legge n. 90/2024, che inasprisce le pene e introduce nuovi strumenti di contrasto alla criminalità digitale.Gian Luca BerrutiColonnello t. ST della Guardia di Finanza, è attualmente Direttore – Capo della Divisione Procedimento Sanzionatorio dell’Agenzia per la Cybersicurezza Nazionale (ACN) e Consigliere per l’Intelligenza Artificiale e la Cybersicurezza del Ministro per gli Affari Regionali e le Autonomie.Giuseppe CorasanitiProfessore ordinario di Filosofia del diritto digitale e Informatica giuridica presso la Università Mercatorum di Roma. Docente a contratto di Macchine intelligenti e diritto alla Università LUISS Guido Carli. Esperto presso la Agenzia per la Cybersicurezza Nazionale italiana (ACN).Pierluigi PerriAvvocato, Of Counsel presso Chiomenti, dove è responsabile della practice area Data Protection & Privacy. Professore associato in Sicurezza Informatica, Privacy e Protezione dei dati sensibili, presso l’Università degli Studi di Milano.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
3. Responsabilità e sanzioni: un modello di accountability multilivello
La determinazione richiama espressamente la responsabilità degli organi di amministrazione e direttivi dei soggetti NIS (art. 2, comma 3), i quali sovrintendono alla registrazione e all’aggiornamento delle informazioni e rispondono delle violazioni secondo le disposizioni sanzionatorie dell’art. 38 del decreto NIS.
Ciò segna un’evoluzione importante nel principio di responsabilità estesa, che coinvolge non solo i referenti tecnici ma anche il management apicale, in coerenza con l’approccio “top-down” della direttiva NIS 2.
L’ACN, inoltre, prevede un sistema di verifiche di coerenza (art. 14) e un processo endoprocedimentale di validazione dei dati (art. 15), che si traduce in un modello dinamico di compliance digitale fondato su cooperazione, trasparenza e controllo.
4. Implicazioni operative per enti e imprese
Per enti pubblici, gestori di infrastrutture critiche e operatori privati strategici, la determinazione introduce un insieme articolato di obblighi amministrativi e organizzativi. L’integrazione tra ACN, Autorità di settore e CSIRT Italia richiede una ridefinizione dei processi interni di gestione del rischio e delle relazioni istituzionali, imponendo un adeguamento dei flussi documentali e delle deleghe interne. A tutto questo si aggiunge anche l’individuazione e la successiva nomina del referente CSIRT (e del suo sostituto) che dovrà essere disciplinata avendo cura di chiarire i profili di responsabilità, riservatezza e coordinamento operativo con il punto di contatto interno.
Dal punto di vista operativo, la piattaforma NIS si configura come uno strumento di compliance centralizzata, capace di facilitare le interlocuzioni con l’Autorità e di ridurre il rischio di frammentazione informativa.
In prospettiva, la determinazione anticipa un modello di cyber governance interconnessa, in cui la tecnologia diventa leva per la trasparenza e la tracciabilità dei rapporti tra pubblico e privato.
5. Conclusioni
Per i soggetti obbligati, pubblici e privati, si apre una nuova fase di compliance digitale evoluta, che impone non solo l’adempimento formale ma una consapevole integrazione della sicurezza cibernetica nei processi decisionali e nella cultura organizzativa. Il percorso, ancora in divenire, mostra come la normativa in materia di cybersicurezza non sia più solo un presidio tecnico, ma una componente strutturale della governance pubblica e aziendale.
Formazione in materia per professionisti
Referente CSIRT: NIS 2 e nuova Determinazione ACN 333017/2025
La nuova Determinazione ACN n. 333017/2025 segna un passaggio decisivo nell’attuazione della Direttiva NIS2 in Italia, introducendo all’art. 7 una figura inedita: il Referente CSIRT.
Il corso offre una lettura chiara e operativa delle nuove regole emanate dall’Agenzia per la Cybersicurezza Nazionale (ACN), spiegando cosa cambia per i soggetti NIS e come organizzarsi entro le scadenze previste. Il Referente CSIRT dovrà infatti essere designato tra il 20 novembre e il 31 dicembre 2025.
Attraverso un percorso pratico e di approfondimento, i partecipanti comprenderanno:
– il quadro normativo aggiornato e le differenze tra Punto di Contatto e Referente CSIRT
– le responsabilità, le procedure e gli obblighi di notifica degli incidenti
– l’utilizzo del Portale ACN e checklist operative per il Referente CSIRT
Perché scegliere questo corso?
– Analizza in modo chiaro la nuova Determinazione ACN n. 333017/2025, appena pubblicata
– Approfondisce la nuova figura del Referente CSIRT, con indicazioni pratiche su ruolo, requisiti e designazione
– Chiarisce i rapporti tra Punto di Contatto, CSIRT Italia e organi direttivi, offrendo una guida operativa agli obblighi di notifica e alla gestione degli incidenti tramite il Portale ACN
>>>Per info ed iscrizioni<<<
Scrivi un commento
Accedi per poter inserire un commento