NIS 2 Marka Service 2025

NIS2 – REGISTRAZIONE PORTALE ACN

Che cos’é NIS2?

La Direttiva (UE) 2022/2555 (NIS2), recepita in Italia con il D.Lgs. 138/2024, introduce un quadro normativo avanzato per la sicurezza delle reti e dei sistemi informativi, estendendo l’ambito di applicazione a 18 settori (11 altamente critici e 7 critici) e imponendo obblighi stringenti a soggetti pubblici e privati. Il decreto distingue tra “soggetti essenziali” (art. 6, allegati I e III) e “soggetti importanti” (allegati II e IV), sulla base di criteri dimensionali e settoriali, e prevede per entrambi l’adozione di misure tecniche e organizzative, la notifica degli incidenti e la responsabilizzazione dei vertici aziendali. L’Agenzia per la Cybersicurezza Nazionale (ACN), quale Autorità nazionale competente NIS (art. 4), coordina la registrazione (art. 7), la vigilanza e il supporto ai soggetti obbligati, assicurando la supervisione e la conformità alle nuove disposizioni.

Per tutti gli aggiornamenti, è bene consultare le nuove “Linee guida NIS – Specifiche di base: Guida alla lettura”, che illustrano gli allegati tecnici alla Determina n. 164179/2025 – ovvero le misure di sicurezza da adottare e le tipologie di incidenti significativi da notificare – adottate da ACN con l’obiettivo di supportare i soggetti NIS essenziali e importanti nella loro attuazione.

Chi deve registrarsi al portale ACN

La registrazione al portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) è obbligatoria per:

🔵Soggetti essenziali:
> Operano in settori ad alta criticità (Allegato I e III), come:
– Energia, Trasporti, Sanità, Acqua, Spazio, Infrastrutture digitali, Pubblica Amministrazione
– Superano le soglie dimensionali: 250 dipendenti o fatturato >50 milioni €

🔵Soggetti importanti:
> Operano in settori critici (Allegato II e IV), come:
– Servizi postali, Gestione rifiuti, Industria chimica, Agroalimentare, Fabbricazione, Servizi digitali specifici
– Superano le soglie: 50 dipendenti o fatturato >10 milioni €

🔵Imprese collegate:
– Anche micro e piccole imprese che supportano soggetti NIS2 (es. fornitori cloud, data center, sicurezza gestita).
– Rientrano se collegate a gruppi più grandi o se svolgono attività rilevanti per la sicurezza informatica

🔵Pubbliche Amministrazioni:
– Enti centrali e locali con >100.000 abitanti o ruolo strategico nazionale

Attenzione alla supply chain

La direttiva include anche i fornitori e le imprese della catena di approvvigionamento che operano in settori critici o che influenzano la sicurezza dei soggetti NIS2.

Questo significa che anche aziende non direttamente classificate come essenziali o importanti possono essere obbligate alla registrazione se:

  • Forniscono servizi ICT, cloud, sicurezza gestita, infrastrutture digitali
  • Sono parte di gruppi che operano in settori critici
  • Gestiscono sistemi informativi condivisi con soggetti NIS2

Scadenze 2025-2026 e cosa succede dopo la registrazione

Ecco una panoramica aggiornata sulle scadenze NIS2 2025-2026 e su cosa succede dopo la registrazione al portale ACN:

Fase Scadenza Dettagli
Autovalutazione Entro 31 dicembre 2024 Tutte le organizzazioni potenzialmente coinvolte devono completare l’autovalutazione ACN.
Registrazione portale ACN 1 dicembre 2024 – 28 febbraio 2025 I soggetti obbligati devono registrarsi, inserendo dati e punto di contatto.
Notifica classificazione ACN Aprile 2025 L’ACN comunica via PEC la classificazione (“essenziale” o “importante”) e gli obblighi base.
Trasmissione misure tecniche/organizzative Entro 31 luglio 2025 Invio (o aggiornamento) delle misure adottate sul portale ACN.
Notifica incidenti Da gennaio 2026 Obbligo di notifica degli incidenti significativi al CSIRT Italia.
Adozione completa misure di sicurezza Ottobre 2026 Entrano in vigore tutte le misure previste e partono i primi audit ACN.

Nota: Per chi ha già iniziato il censimento, sono previste clausole di salvaguardia e una certa tolleranza operativa nel primo ciclo, con possibilità di proroghe per chi ha richiesto supporto.

Cosa succede dopo la registrazione

  • Comunicazione ufficiale ACN:
    Riceverai una notifica via PEC con la classificazione (“essenziale” o “importante”) e le istruzioni sugli adempimenti di base.
  • Adempimenti immediati:
    – Designazione del punto di contatto e del sostituto.
    – Aggiornamento annuale dei dati sul portale (entro il 31 maggio di ogni anno, con possibili proroghe fino al 31 luglio).
    – Implementazione delle misure minime di sicurezza e predisposizione delle procedure di notifica incidenti.
  • Obblighi continuativi:
    – Notifica degli incidenti significativi a partire da gennaio 2026.
    – Aggiornamento periodico dei dati e delle misure adottate.
    – Possibilità di audit e controlli da parte di ACN.

Scadenze 2025-2026 e cosa succede dopo la registrazione

🔐 Requisiti di accesso
Identità digitale (SPID o CIE) del legale rappresentante o persona delegata

📦 Dati da preparare

  • Dati aziendali (denominazione, sede, codice fiscale/partita IVA)
  • Settore/i di attività e dimensioni (dipendenti, fatturato)
  • PEC aziendale

🧭 Step operativi

  • Anagrafica del referente NIS2
  • Accesso al portale ACN e associazione dell’ente
  • Compilazione della dichiarazione
  • Designazione del “Punto di contatto NIS2” aziendale
  • Caricamento o indicazione della delega se il referente non è il legale rappresentante

Accorgimenti finali

  • Verificare la ricezione di email e PEC di conferma
  • Conservare ricevute, protocolli e documentazione inviata
  • Programmare un controllo interno dei dati prima dell’invio

Ruoli da designare: punto di contatto e sostituto

Uno degli aspetti più importanti in questa seconda fase è sicuramente quello di chiarire e definire puntuali quali sono i ruoli da designare, nello specifico il punto di contatto e il sostituto. Ecco una check list esemplificativa:

Punto di contatto NIS2
🔵Chi è:
Una persona fisica interna all’organizzazione, formalmente designata come referente principale per tutte le comunicazioni con l’ACN.

🔵Responsabilità:
– Ricevere e gestire le comunicazioni ufficiali da ACN (es. notifiche, richieste di informazioni, avvisi di audit).
– Coordinare la raccolta e l’aggiornamento dei dati richiesti dal portale.
– Garantire la tempestiva notifica di incidenti e la corretta gestione degli adempimenti NIS2.

🔵Operatività:
Deve essere reperibile e in grado di rispondere rapidamente alle richieste dell’ACN.

Sostituto del punto di contatto
🔵Chi è:
Una seconda persona, nominata con le stesse modalità, che subentra in caso di assenza o indisponibilità del punto di contatto principale.

🔵Responsabilità:
– Garantire la continuità operativa e la reperibilità anche durante ferie, malattie o altri impedimenti.
– Tenere aggiornati i propri dati sul portale ACN.

🔵Suggerimenti organizzativi:
– Definire chiaramente le responsabilità di entrambi i ruoli in un atto formale interno (es. lettera di nomina).
– Assicurare la reperibilità: prevedere un sistema di reperibilità e sostituzione, soprattutto nei periodi di ferie o assenza prolungata.
– Allineare i ruoli con le funzioni IT/Security e Compliance/Legale, per garantire una gestione integrata degli obblighi NIS2.
– Aggiornare tempestivamente i dati di contatto sul portale in caso di cambiamenti.

Obblighi minimi post-registrazione (overview operativa)

Ecco una overview operativa sintetica degli obblighi minimi post-registrazione per i soggetti in-scope secondo la Direttiva NIS2, aggiornata con le istruzioni operative ACN e le tempistiche ufficiali:

Gestione del rischio e misure tecniche/organizzative

  • Autenticazione a più fattori (MFA) per accessi critici
  • Controllo degli accessi basato su ruoli e necessità
  • Cifratura dei dati sensibili (in transito e a riposo)
  • Patching regolare e aggiornamenti di sicurezza
  • Monitoraggio continuo e gestione delle vulnerabilità

Gestione incidenti e continuità operativa

  • Procedure documentate per rilevazione, risposta e recupero da incidenti
  • Registro degli incidenti e delle azioni correttive
  • Backup regolari, testati e conservati in modo sicuro
  • Piani di continuità operativa e test periodici
  • Notifica degli incidenti entro 24 ore (preliminare), 72 ore (dettagliata) e 1 mese (relazione finale) secondo la Guida ACN

Sicurezza della supply chain

  • Valutazione dei fornitori in base a criteri di sicurezza
  • Clausole contrattuali che impongano requisiti minimi
  • Controlli periodici su fornitori e terze parti critiche

Formazione e consapevolezza

  • Formazione continua per tutto il personale
  • Sessioni dedicate al management per la governance della sicurezza
  • Simulazioni e test di phishing per aumentare la vigilanza

Audit, verifiche e miglioramento continuo

  • Audit interni ed esterni periodici
  • Piano di miglioramento basato su audit e incidenti
  • Aggiornamento annuale obbligatorio tra 1° settembre e 30 novembre

Tempistiche chiave definite da ACN

  • Registrazione al portale ACN: entro 28 febbraio 2025
  • Notifica incidenti: entro 9 mesi dal consolidamento dell’elenco NIS (presumibilmente fine 2025)
  • Implementazione misure di sicurezza: entro 18 mesi (entro ottobre 2026)
  • Designazione punto di contatto e sostituto: entro 31 maggio 2025
  • Aggiornamento dati: entro 14 giorni da ogni variazione

Sanzioni e responsabilità: cosa rischia chi è in-scope

Cosa può accadere nel caso in cui non si adegui alla NIS2?

Sanzioni amministrative

  • Mancata registrazione o mancato aggiornamento dei dati sul portale ACN comporta sanzioni amministrative pecuniarie:
    • Fino allo 0,1% del fatturato annuo per i soggetti “essenziali”
    • Fino allo 0,07% del fatturato annuo per i soggetti “importanti”
  • Le sanzioni possono essere applicate anche in caso di registrazione tardiva o non conforme

Responsabilità del management

  • Il management (organi di amministrazione e direzione) ha responsabilità diretta sulla supervisione e sull’attuazione delle misure di sicurezza
  • Non basta la delega: è richiesta vigilanza attiva e partecipazione a percorsi formativi specifici sulla cybersecurity
  • Il management deve essere identificato e comunicato all’ACN, con dati aggiornati

Invito alla diligenza

  • Pianificare per tempo la registrazione e gli aggiornamenti periodici
  • Conservare evidenze delle attività svolte (audit, formazione, procedure, notifiche)
  • Integrare la compliance NIS2 nel sistema di governance aziendale, documentando processi e responsabilità

Adeguarsi alla NIS2 non è solo un obbligo formale, ma un’opportunità per rafforzare la resilienza aziendale e la fiducia di clienti e partner. La trasparenza e la tracciabilità delle azioni sono elementi chiave per dimostrare la propria diligenza in caso di controlli.

FAQ

Come capire se si rientra nella NIS2?

Per capire se sei soggetto alla NIS2, verifica settore di attività, dimensione (dipendenti/fatturato) e presenza negli allegati del decreto.
Consulta la sezione “Ambito di applicazione” del portale ACN per l’autovalutazione formale.

Quali aziende rientrano nella NIS2?

Sono coinvolte medie e grandi imprese, alcune piccole e microimprese e le Pubbliche Amministrazioni che operano in 18 settori critici (energia, trasporti, sanità, digitale, ecc.).
Per approfondimenti

Come adeguarsi alla NIS2 in pratica (primi passi)?

Identifica la tua posizione tramite autovalutazione, registrati sulla piattaforma ACN, nomina il punto di contatto, aggiorna i dati e pianifica le misure di sicurezza richieste (risk management, formazione, supply chain, ecc.).
Per approfondimenti

Quando entra in vigore e quando registrarsi/aggiornare?

La NIS2 è in vigore dal 16 ottobre 2024. La registrazione sul portale ACN va fatta tra il 1° dicembre 2024 e il 28 febbraio 2025; aggiornamenti annuali entro maggio/luglio.
Vedi “Scadenze e calendario ACN”

La registrazione è obbligatoria per tutti?

No, è obbligatoria solo per chi rientra tra i soggetti “essenziali” o “importanti” secondo i criteri NIS2. Chi è notificato da ACN deve registrarsi e aggiornare i dati ogni anno, anche in assenza di variazioni.

Semplifica il tuo percorso verso la conformità NIS2: scegli il supporto di Marka Service.

👉 Contattaci oggi per avere maggiori informazioni e scopri come rendere la tua azienda compliance e sicura

Form Contatto
Pubblicato in:
Cyber Security Normative e Direttive