Nel giorno stesso della scadenza dell’aggiornamento annuale previsto dall’articolo 7 del decreto legislativo 138/2024 di recepimento della Direttiva NIS2, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la nuova determinazione direttoriale 0283727 del 31 luglio 2025.

Si tratta di un atto imponente, sostitutivo della precedente determinazione n. 136117 del 10 aprile 2025, che definisce termini, modalità e procedimenti per l’accesso e l’uso della piattaforma digitale ACN, oltre a regolare la designazione dei rappresentanti NIS e le comunicazioni ufficiali tra i soggetti obbligati e l’Autorità nazionale competente.

Analizza, quindi, i contenuti principali del documento, le implicazioni pratiche per i soggetti pubblici e privati che ricadono sotto il perimetro NIS, fornendo una lettura critica degli obblighi introdotti, dei rischi connessi alla non conformità e delle novità che interesseranno tutte le imprese nei prossimi mesi.

I punti chiave della determinazione del 31 luglio 2025

Come sappiamo, il Decreto NIS (D.lgs. 138/2024) affida ad ACN il ruolo di Autorità nazionale competente NIS e definisce l’obbligo per i soggetti NIS di registrarsi e mantenere aggiornate le proprie informazioni su una piattaforma digitale predisposta dall’Agenzia.

L’attuazione operativa di questi obblighi è regolata, appunto, attraverso determinazioni del Direttore Generale di ACN, come quella oggetto della presente analisi e i cui punti salienti sono i seguenti:

1. Portale ACN unico canale di comunicazione. Dal 31 luglio 2025 il Portale ACN diventa l’unico strumento valido per comunicare con l’Autorità nazionale competente. Nessuna comunicazione via PEC o altri canali sarà considerata valida salvo esplicita autorizzazione. La piattaforma supporta registrazione, aggiornamento annuale, aggiornamento continuo e tutte le interlocuzioni ufficiali.
2. Tempistiche rigide e non derogabili:
   • Registrazione iniziale: dal primo gennaio al 28 febbraio.
   • Aggiornamento annuale: dal 15 aprile al 31 maggio. L’aggiornamento annuale ha una funzione di revisione periodica completa: è il momento in cui l’organizzazione deve fare il punto della situazione e validare. sotto responsabilità, l’intero insieme di informazioni strategiche, anagrafiche e operative.
   • Aggiornamento continuo: entro 14 giorni da ogni variazione, disponibile fino al 14 aprile successivo. L’aggiornamento continuo, invece, risponde a logiche di tempestività e reattività: serve a garantire che ogni cambiamento rilevante (nella governance, nei contatti, nei domini, nei riferimenti giuridici) venga tracciato e comunicato entro 14 giorni, mantenendo costante l’allineamento tra soggetto e Autorità.
3. Ruoli e responsabilità:
   • Il punto di contatto è il perno del sistema: persona fisica designata con SPID, può essere un delegato interno o (in casi specifici) un dipendente di altra società del gruppo o di altra PA.
   • Il sostituto punto di contatto è ora obbligatorio entro il 31 maggio dell’anno di inserimento nell’elenco NIS.
   • I componenti degli organi amministrativi devono essere elencati con codice fiscale e PEC, e accettare esplicitamente la designazione via Portale ACN.
4. Tracciabilità totale e responsabilità penale. L’intero sistema si fonda su tracciabilità e accountability: ogni dichiarazione è soggetta a DPR 445/2000 e le omissioni sono sanzionate ex art. 38 del Decreto NIS. Gli organi di vertice non possono più “dare la colpa all’IT”.
5. Verifiche di coerenza e clausola di salvaguardia. Le dichiarazioni sono soggette a controlli a campione entro 30 giorni, prorogabili di altri 20. Le imprese che ritengono sproporzionati gli obblighi possono attivare la clausola di salvaguardia, da valutarsi sulla base del futuro DPCM.
6. Designazione rappresentanti NIS UE. Per i soggetti extra-UE con attività in Italia, l’invio della documentazione per la nomina del rappresentante va effettuato dal 1° settembre al 30 novembre. Il rappresentante può essere anche delegato come punto di contatto.

Analisi critica: verso una burocrazia cyber consapevole

La nuova determinazione non è un semplice aggiornamento formale: è una dichiarazione di metodo. ACN intende strutturare un ecosistema in cui ogni informazione fornita dai soggetti NIS sia tracciabile, autenticata, confermata e validabile.

Ogni ruolo ha una sua collocazione, un perimetro, un vincolo e – cosa fondamentale – una responsabilità personale.

Il punto di contatto diventa una figura tecnica, ma al tempo stesso strategica e fiduciaria. La sua assenza o la sua nomina inadeguata mina la capacità dell’organizzazione di adempiere tempestivamente a obblighi normativi e di comunicare con l’Autorità.

Allo stesso tempo, l’inasprimento delle responsabilità per gli organi amministrativi impone un salto culturale: non si tratta solo di conoscere i rischi, ma di documentare di averli gestiti e comunicati correttamente.

Una pubblicazione che fa discutere

La determinazione è entrata in vigore proprio il 31 luglio 2025, esattamente nel giorno di chiusura della finestra per l’aggiornamento annuale. Questa scelta temporale ha sollevato molte perplessità tra operatori e professionisti del settore.

Pubblicare in questo stesso giorno una norma che sostituisce quella con cui i soggetti NIS si sono appena conformati può apparire contraddittorio: come si può rispettare “oggi” una regola pubblicata “oggi”?

Ma la risposta, a ben guardare, non è giuridica. È comunicativa. È strategica. È un messaggio a caratteri cubitali per tutto l’ecosistema: da oggi si fa sul serio. Basta proroghe, deroghe, approssimazioni o interpretazioni estensive. Chi deve adempiere, lo faccia. Chi è in ritardo, si adegui. E chi sbaglia, risponderà.

È l’inizio di una nuova stagione di compliance, dove ogni informazione è tracciata, ogni ruolo è formalizzato, ogni passaggio è verificabile. In questa logica, il tempo delle mezze misure è finito. La cybersecurity entra nella sua età adulta. Il messaggio è chiaro: la cyber security non è solo una questione tecnica.

È anche una questione di governance, trasparenza e accountability. E ora, davvero, non ci sono più scuse.