Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

NIS2 e portale ACN: determinazioni 379907/25 e 379887/25

L’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato due determinazioni che completano l’ossatura operativa del recepimento della NIS2:

Scarica PDF Stampa

Il 24 dicembre 2025 l’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato due determinazioni che, insieme, completano l’ossatura operativa del recepimento italiano della NIS2:
-la Determinazione n. 379907/2025, dedicata agli obblighi di base
-la Determinazione n. 379887/2025, dedicata a Portale ACN e servizi NIS 
Sono due provvedimenti che si parlano tra loro: il primo stabilisce (o meglio: aggiorna e consolida) l’insieme di misure minime e criteri di notifica; il secondo definisce come i soggetti NIS devono registrarsi, dichiararsi, gestire le utenze, aggiornare informazioni e, in generale, come devono “stare” dentro il rapporto con l’autorità tramite il Portale.
Semplificando: una determinazione governa il “cosa” (obblighi di sicurezza e incidenti), l’altra governa il “come” (procedure e interazioni con ACN).
Ed è proprio in questo “come” che si annida la vera novità, perché la compliance NIS2 non è più soltanto un programma di sicurezza: diventa un atto dichiarativo formalizzato, stabilizzato e, quindi, responsabilizzante. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale.

Indice

1. Accountability amministrativa


Nel dibattito pubblico sulla NIS2 ci si concentra quasi sempre su:

  • misure di sicurezza
  • gestione del rischio
  • incident response
  • supply chain
  • logging
  • business continuity

Tutto corretto, tutto fondamentale. Ma chi lavora sul campo lo sa: nella vita reale i regimi regolatori non si reggono solo sui requisiti tecnici. Si reggono sul modello di governance e di tracciabilità che consente all’autorità di sapere:

  • chi sei
  • perché rientri nel perimetro
  • quali informazioni ti riguardano
  • chi è il tuo punto di contatto
  • come comunichi e con che certezza giuridica

La Determinazione 379887/2025 fa proprio questo: chiude la fase “transitoria” e stabilisce una disciplina che consente ad ACN di costruire una base dati affidabile e un canale strutturato di comunicazione e adempimenti. 
E la cosa interessante è che lo fa con un linguaggio che richiama, in modo non troppo velato, i meccanismi tipici della compliance privacy: dichiarazioni, stabilizzazione delle informazioni, responsabilità per ciò che si comunica, tracciabilità e prova dell’adempimento. Non è un caso, e vale la pena leggerlo con occhi “da GDPRista” (con licenza poetica). Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.

VOLUME

NIS 2 ed Evoluzione della Cybersicurezza Nazionale

Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.

 

Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025

34.20 €

Scopri di più

2. Determinazione 379907/2025: obblighi di base, affinamenti e la fine del transitorio


Partiamo dal primo provvedimento, anche solo per posizionarlo correttamente nel quadro complessivo.
La determinazione 379907/2025 è applicabile dal 15 gennaio 2026 ed aggiorna e sostituisce la precedente determinazione ACN n. 136118 di aprile 2025. 
Il punto però non è “quanto” cambi: il punto è che cambia il livello di maturità dell’impianto. Perché la determinazione:

  • definisce in modo più puntuale gli elementi tecnico-operativi degli obblighi
  • interviene su termini e responsabilità
  • sostituisce la precedente, superandone l’impostazione transitoria 

Inoltre, disciplina il regime transitorio per la notifica incidenti per OSE e telco, chiarendo che le relative disposizioni restano in vigore fino al 14 gennaio 2026 e poi vengono abrogate dalla disciplina generale applicabile dal 15 gennaio 2026
Qui c’è un messaggio molto netto: dal 15 gennaio 2026 si entra in regime vero. Non c’è più la scusa del “non era chiaro”, “stiamo aspettando i chiarimenti”, “siamo in transitorio”.

2.1. Il referente CSIRT entra nella governance
La determinazione aggiorna i quattro allegati tecnici già presenti nella precedente deliberazione e disciplina in modo differenziato:

  • misure di sicurezza di base per soggetti essenziali e importanti
  • criteri per individuazione degli incidenti significativi
  • inclusione del referente CSIRT e degli eventuali sostituti nell’organizzazione di sicurezza informatica prevista dalla misura GV.RR-02 

Questo dettaglio è più importante di quanto sembri: significa che la risposta agli incidenti non è un ruolo “eventuale” o “a chiamata”, ma parte strutturale della governance della sicurezza. In un mondo dove la maggioranza degli incidenti seri nasce da ritardi decisionali, misunderstanding interni e catene di comando improvvisate, formalizzare figure e responsabilità diventa un presidio essenziale.

2.2. Tempi di adeguamento confermati: 18 mesi e 9 mesi, ma con decorrenza “personalizzata”
Anche qui la determinazione conferma i termini previsti nella precedente:

  • 18 mesi per l’adozione delle misure di sicurezza
  • 9 mesi per l’adempimento degli obblighi di notifica

a partire dalla comunicazione di inserimento nell’elenco dei soggetti NIS. 
È un punto già noto, ma va ribadito: il rischio per le aziende è ragionare per “scadenze generali” e non per timeline individuale. Dal punto di vista legale, questa scelta del legislatore e dell’autorità comporta un effetto preciso: la deadline non è astratta e non è uguale per tutti, ma è legata a un evento formale notificato al singolo soggetto. Quindi è anche più difficile sostenere di essersi persi.

Potrebbero interessarti anche:

3. Determinazione 379887/2025: portale ACN e servizi NIS


La determinazione 379887/2025:

  • aggiorna e sostituisce la precedente determinazione n. 333017/2025
  • è applicabile dal 31 dicembre 2025
  • è pubblicata in vista della finestra di registrazione NIS per l’anno 2026, prevista dal 1° gennaio al 28 febbraio 

Questo significa che, di fatto, a partire dal 1° gennaio 2026 l’interazione con ACN passa dentro un perimetro procedurale più definito e meno “fluido”.

3.1. Razionalizzazione terminologica
La determinazione non cambia l’architettura complessiva dei processi di censimento, associazione utenze, registrazione e aggiornamento informazioni, che restano sostanzialmente invariati. 
Ma attenzione: le riforme più incisive non sono sempre quelle che ridisegnano i processi. A volte sono quelle che modificano:

  • il significato giuridico degli atti
  • la natura delle informazioni comunicate
  • la stabilità dei dati
  • le conseguenze del “dichiarare”

E infatti il cambiamento segnalato come “terminologico” è in realtà un cambio di prospettiva.
Il servizio di “registrazione” viene rinominato “Servizio NIS/Dichiarazione”, scelta che riflette la natura giuridica dell’atto compiuto dal punto di contatto, qualificato espressamente come dichiarazione resa ai sensi del DPR n. 445/2000
Questo è un passaggio cruciale: non stiamo più parlando di un’iscrizione tecnica a un portale. Stiamo parlando di un atto dichiarativo che produce effetti giuridici e che, come tale, porta con sé responsabilità anche sul piano della veridicità e della correttezza.
Se il GDPR ci ha insegnato qualcosa, è che la compliance inizia nel momento in cui il management capisce che “firmare” un adempimento non è un gesto neutro. Qui, con il richiamo al DPR 445/2000, il messaggio è esattamente quello: l’informazione dichiarata deve essere precisa, difendibile, aggiornata.

3.2. Stabilizzazione della dichiarazione
Il profilo di maggiore novità è l’introduzione, all’articolo 11, comma 8, di un meccanismo di stabilizzazione della dichiarazione: trascorsi dieci giorni solari dall’invio della dichiarazione sul Portale ACN, questa si intende definitivamente acquisita e non più modificabile dall’utente
Questa previsione non esisteva nella disciplina precedente e viene letta (giustamente) come un passaggio verso la cristallizzazione delle informazioni dichiarate, rafforzando:

  • l’affidamento dell’autorità sulla base dati
  • l’accountability del soggetto NIS

risolvendo dubbi interpretativi emersi nel primo anno di vigenza del regime. 
E per le aziende significa una cosa semplice: la fase di compilazione e invio non può essere gestita in modo improvvisato. Serve un processo interno di validazione preventiva

4. Sicurezza e amministrazione


Molte organizzazioni stanno approcciando la NIS2 con un mindset “security oriented”: mappatura, assessment, gap analysis, piano di remediation. Ma c’è un rischio sistemico: sottovalutare la parte amministrativa e dichiarativa, che è quella che:

  • attiva formalmente l’inquadramento del soggetto
  • definisce il punto di contatto
  • stabilizza i dati su cui ACN baserà le sue comunicazioni
  • lega il soggetto a responsabilità formali (e, potenzialmente, contestabili)

La determinazione sul Portale ACN dimostra che l’ecosistema NIS non è soltanto un insieme di requisiti: è un sistema di relazione tra soggetto e autorità, regolato da processi e atti formalizzati.
E questo, per chi si occupa di compliance, è il territorio naturale: governance, responsabilità, evidenza, tracciabilità, prova.

5. Conclusioni


Le due determinazioni pubblicate da ACN il 24 dicembre 2025 completano e consolidano il quadro regolatorio nazionale, superando l’impostazione transitoria e preparando l’entrata a regime degli obblighi per i soggetti NIS. 
La determinazione sugli obblighi di base (379907/2025), applicabile dal 15 gennaio 2026, affina e aggiorna misure, criteri e responsabilità. 
La determinazione su Portale ACN e servizi NIS (379887/2025), applicabile dal 31 dicembre 2025, introduce un livello di formalizzazione che cambia il modo in cui le aziende devono vivere il rapporto con l’autorità: la registrazione diventa dichiarazione, e la dichiarazione si stabilizza. 
Il messaggio finale è semplice: la compliance NIS2 non è più un progetto “da fare” e archiviare. È un regime in cui i requisiti devono essere implementati, gli incidenti devono essere gestiti e notificati e i dati dichiarati devono essere veri, verificabili e difendibili.
In altre parole: non basta essere sicuri. Bisogna anche saperlo dimostrare. E bisogna saperlo dichiarare. Il che, per chi fa diritto della compliance, è esattamente il terreno in cui si gioca la partita.

Formazione in materia per professionisti


Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<

Vuoi ricevere aggiornamenti costanti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
AI e Legaltech
Legal Prompting in aula a Roma – La recensione della settimana

“Legal Prompting in aula – Workshop per professionisti legali con esercitazioni pratiche e laborator…

Recensioni 07/01/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI e Legaltech
Marcatura ed etichettatura dei contenuti generati da AI: il primo codice dall’UE

Con la pubblicazione della prima bozza del Code of Practice on marking and labelling AI-generated co…

Luisa Di Giacomo 26/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI e Legaltech
Prompt per costruire la teoria del caso – Il prompt della settimana

Troppi avvocati scrivono atti senza avere chiaro il filo rosso che tiene insieme tutto. La teoria de…

Giovanna Panucci 22/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI e Legaltech
AI Strategica per Studi Legali: Architettura, Compliance e Automazione End-to-End – La recensione della settimana

Corso avanzato su AI per studi legali: architettura, compliance, AI Act e automazione dei workflow, …

Recensioni 17/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;