Il 24 dicembre 2025 l’Agenzia per la cybersicurezza nazionale (ACN) ha pubblicato due determinazioni che, insieme, completano l’ossatura operativa del recepimento italiano della NIS2:
-la Determinazione n. 379907/2025, dedicata agli obblighi di base
-la Determinazione n. 379887/2025, dedicata a Portale ACN e servizi NIS
Sono due provvedimenti che si parlano tra loro: il primo stabilisce (o meglio: aggiorna e consolida) l’insieme di misure minime e criteri di notifica; il secondo definisce come i soggetti NIS devono registrarsi, dichiararsi, gestire le utenze, aggiornare informazioni e, in generale, come devono “stare” dentro il rapporto con l’autorità tramite il Portale.
Semplificando: una determinazione governa il “cosa” (obblighi di sicurezza e incidenti), l’altra governa il “come” (procedure e interazioni con ACN).
Ed è proprio in questo “come” che si annida la vera novità, perché la compliance NIS2 non è più soltanto un programma di sicurezza: diventa un atto dichiarativo formalizzato, stabilizzato e, quindi, responsabilizzante. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale.
Indice
- 1. Accountability amministrativa
- 2. Determinazione 379907/2025: obblighi di base, affinamenti e la fine del transitorio
- 3. Determinazione 379887/2025: portale ACN e servizi NIS
- 4. Sicurezza e amministrazione
- 5. Conclusioni
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Accountability amministrativa
Nel dibattito pubblico sulla NIS2 ci si concentra quasi sempre su:
- misure di sicurezza
- gestione del rischio
- incident response
- supply chain
- logging
- business continuity
Tutto corretto, tutto fondamentale. Ma chi lavora sul campo lo sa: nella vita reale i regimi regolatori non si reggono solo sui requisiti tecnici. Si reggono sul modello di governance e di tracciabilità che consente all’autorità di sapere:
- chi sei
- perché rientri nel perimetro
- quali informazioni ti riguardano
- chi è il tuo punto di contatto
- come comunichi e con che certezza giuridica
La Determinazione 379887/2025 fa proprio questo: chiude la fase “transitoria” e stabilisce una disciplina che consente ad ACN di costruire una base dati affidabile e un canale strutturato di comunicazione e adempimenti.
E la cosa interessante è che lo fa con un linguaggio che richiama, in modo non troppo velato, i meccanismi tipici della compliance privacy: dichiarazioni, stabilizzazione delle informazioni, responsabilità per ciò che si comunica, tracciabilità e prova dell’adempimento. Non è un caso, e vale la pena leggerlo con occhi “da GDPRista” (con licenza poetica). Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Determinazione 379907/2025: obblighi di base, affinamenti e la fine del transitorio
Partiamo dal primo provvedimento, anche solo per posizionarlo correttamente nel quadro complessivo.
La determinazione 379907/2025 è applicabile dal 15 gennaio 2026 ed aggiorna e sostituisce la precedente determinazione ACN n. 136118 di aprile 2025.
Il punto però non è “quanto” cambi: il punto è che cambia il livello di maturità dell’impianto. Perché la determinazione:
- definisce in modo più puntuale gli elementi tecnico-operativi degli obblighi
- interviene su termini e responsabilità
- sostituisce la precedente, superandone l’impostazione transitoria
Inoltre, disciplina il regime transitorio per la notifica incidenti per OSE e telco, chiarendo che le relative disposizioni restano in vigore fino al 14 gennaio 2026 e poi vengono abrogate dalla disciplina generale applicabile dal 15 gennaio 2026.
Qui c’è un messaggio molto netto: dal 15 gennaio 2026 si entra in regime vero. Non c’è più la scusa del “non era chiaro”, “stiamo aspettando i chiarimenti”, “siamo in transitorio”.
2.1. Il referente CSIRT entra nella governance
La determinazione aggiorna i quattro allegati tecnici già presenti nella precedente deliberazione e disciplina in modo differenziato:
- misure di sicurezza di base per soggetti essenziali e importanti
- criteri per individuazione degli incidenti significativi
- inclusione del referente CSIRT e degli eventuali sostituti nell’organizzazione di sicurezza informatica prevista dalla misura GV.RR-02
Questo dettaglio è più importante di quanto sembri: significa che la risposta agli incidenti non è un ruolo “eventuale” o “a chiamata”, ma parte strutturale della governance della sicurezza. In un mondo dove la maggioranza degli incidenti seri nasce da ritardi decisionali, misunderstanding interni e catene di comando improvvisate, formalizzare figure e responsabilità diventa un presidio essenziale.
2.2. Tempi di adeguamento confermati: 18 mesi e 9 mesi, ma con decorrenza “personalizzata”
Anche qui la determinazione conferma i termini previsti nella precedente:
- 18 mesi per l’adozione delle misure di sicurezza
- 9 mesi per l’adempimento degli obblighi di notifica
a partire dalla comunicazione di inserimento nell’elenco dei soggetti NIS.
È un punto già noto, ma va ribadito: il rischio per le aziende è ragionare per “scadenze generali” e non per timeline individuale. Dal punto di vista legale, questa scelta del legislatore e dell’autorità comporta un effetto preciso: la deadline non è astratta e non è uguale per tutti, ma è legata a un evento formale notificato al singolo soggetto. Quindi è anche più difficile sostenere di essersi persi.
Potrebbero interessarti anche:
3. Determinazione 379887/2025: portale ACN e servizi NIS
La determinazione 379887/2025:
- aggiorna e sostituisce la precedente determinazione n. 333017/2025
- è applicabile dal 31 dicembre 2025
- è pubblicata in vista della finestra di registrazione NIS per l’anno 2026, prevista dal 1° gennaio al 28 febbraio
Questo significa che, di fatto, a partire dal 1° gennaio 2026 l’interazione con ACN passa dentro un perimetro procedurale più definito e meno “fluido”.
3.1. Razionalizzazione terminologica
La determinazione non cambia l’architettura complessiva dei processi di censimento, associazione utenze, registrazione e aggiornamento informazioni, che restano sostanzialmente invariati.
Ma attenzione: le riforme più incisive non sono sempre quelle che ridisegnano i processi. A volte sono quelle che modificano:
- il significato giuridico degli atti
- la natura delle informazioni comunicate
- la stabilità dei dati
- le conseguenze del “dichiarare”
E infatti il cambiamento segnalato come “terminologico” è in realtà un cambio di prospettiva.
Il servizio di “registrazione” viene rinominato “Servizio NIS/Dichiarazione”, scelta che riflette la natura giuridica dell’atto compiuto dal punto di contatto, qualificato espressamente come dichiarazione resa ai sensi del DPR n. 445/2000.
Questo è un passaggio cruciale: non stiamo più parlando di un’iscrizione tecnica a un portale. Stiamo parlando di un atto dichiarativo che produce effetti giuridici e che, come tale, porta con sé responsabilità anche sul piano della veridicità e della correttezza.
Se il GDPR ci ha insegnato qualcosa, è che la compliance inizia nel momento in cui il management capisce che “firmare” un adempimento non è un gesto neutro. Qui, con il richiamo al DPR 445/2000, il messaggio è esattamente quello: l’informazione dichiarata deve essere precisa, difendibile, aggiornata.
3.2. Stabilizzazione della dichiarazione
Il profilo di maggiore novità è l’introduzione, all’articolo 11, comma 8, di un meccanismo di stabilizzazione della dichiarazione: trascorsi dieci giorni solari dall’invio della dichiarazione sul Portale ACN, questa si intende definitivamente acquisita e non più modificabile dall’utente.
Questa previsione non esisteva nella disciplina precedente e viene letta (giustamente) come un passaggio verso la cristallizzazione delle informazioni dichiarate, rafforzando:
- l’affidamento dell’autorità sulla base dati
- l’accountability del soggetto NIS
risolvendo dubbi interpretativi emersi nel primo anno di vigenza del regime.
E per le aziende significa una cosa semplice: la fase di compilazione e invio non può essere gestita in modo improvvisato. Serve un processo interno di validazione preventiva
4. Sicurezza e amministrazione
Molte organizzazioni stanno approcciando la NIS2 con un mindset “security oriented”: mappatura, assessment, gap analysis, piano di remediation. Ma c’è un rischio sistemico: sottovalutare la parte amministrativa e dichiarativa, che è quella che:
- attiva formalmente l’inquadramento del soggetto
- definisce il punto di contatto
- stabilizza i dati su cui ACN baserà le sue comunicazioni
- lega il soggetto a responsabilità formali (e, potenzialmente, contestabili)
La determinazione sul Portale ACN dimostra che l’ecosistema NIS non è soltanto un insieme di requisiti: è un sistema di relazione tra soggetto e autorità, regolato da processi e atti formalizzati.
E questo, per chi si occupa di compliance, è il territorio naturale: governance, responsabilità, evidenza, tracciabilità, prova.
5. Conclusioni
Le due determinazioni pubblicate da ACN il 24 dicembre 2025 completano e consolidano il quadro regolatorio nazionale, superando l’impostazione transitoria e preparando l’entrata a regime degli obblighi per i soggetti NIS.
La determinazione sugli obblighi di base (379907/2025), applicabile dal 15 gennaio 2026, affina e aggiorna misure, criteri e responsabilità.
La determinazione su Portale ACN e servizi NIS (379887/2025), applicabile dal 31 dicembre 2025, introduce un livello di formalizzazione che cambia il modo in cui le aziende devono vivere il rapporto con l’autorità: la registrazione diventa dichiarazione, e la dichiarazione si stabilizza.
Il messaggio finale è semplice: la compliance NIS2 non è più un progetto “da fare” e archiviare. È un regime in cui i requisiti devono essere implementati, gli incidenti devono essere gestiti e notificati e i dati dichiarati devono essere veri, verificabili e difendibili.
In altre parole: non basta essere sicuri. Bisogna anche saperlo dimostrare. E bisogna saperlo dichiarare. Il che, per chi fa diritto della compliance, è esattamente il terreno in cui si gioca la partita.
Formazione in materia per professionisti
Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scrivi un commento
Accedi per poter inserire un commento