Continuando il percorso di attuazione della NIS2, ACN ha pubblicato la Determinazione ACN 379887/2025 che aggiorna e sostituisce la precedente (quella del 22 settembre 2025) con un testo che, di fatto, “mette in riga” termini, ruoli, flussi e responsabilità per usare il Portale ACN e i Servizi NIS: registrazione, aggiornamenti, designazioni e “soprattutto” l’interlocuzione operativa con lo CSIRT Italia per la notifica incidenti. La determinazione si applica dal 31 dicembre 2025 e nasce esplicitamente per preparare la registrazione 2026 tramite il servizio dedicato NIS/Dichiarazione.

Se sei un soggetto potenzialmente NIS (o lo sei già), il messaggio è semplice: la parte “amministrativa” della compliance diventa un processo strutturato, tracciato e con finestre temporali precise. E non è un dettaglio: perché la mancata registrazione/aggiornamento è sanzionabile e perché la “catena di responsabilità” arriva fino agli organi di amministrazione.

Il punto chiave: Portale ACN e Servizi NIS diventano la corsia obbligatoria

La determinazione ribadisce che la comunicazione con l’Autorità nazionale competente NIS avviene prioritariamente ed esclusivamente tramite Portale ACN/Servizi NIS (salvo eccezioni esplicite o forza maggiore). Tradotto: meno email “creative”, meno ambiguità, più tracciamento, più responsabilità formale su ciò che dichiari e quando lo dichiari.

In più, viene esplicitata anche una regola spesso sottovalutata: le informazioni viste/ricevute tramite Portale e Servizi NIS sono a divulgazione limitata e si condividono need-to-know. In altre parole: attenzione a farle “girare” fuori perimetro, anche in buona fede.

Governance: la responsabilità non è “del CISO”, è anche del vertice

Nel testo c’è un passaggio che, per board e direzioni, vale più di mille slide: gli organi di amministrazione e direttivi “sovrintendono” registrazione e aggiornamenti e sono responsabili delle eventuali violazioni. Non è solo una formula: è il modo con cui la NIS2 (e il decreto nazionale) spostano la cyber security da “tema IT” a tema di governance.

E attenzione al profilo dichiarativo: resta ferma anche la responsabilità penale in caso di dichiarazioni mendaci (richiamo al DPR 445). Questo significa che la piattaforma non è un modulo da compilare “per farlo”, ma un atto con impatti legali.

Ruoli: punto di contatto, sostituto, segreteria, operatori, referente CSIRT

La determinazione definisce e disciplina in modo molto concreto i ruoli “di piattaforma”:

• Punto di contatto: persona fisica che cura l’attuazione NIS per conto del soggetto, fa la registrazione e interloquisce con ACN. Può essere rappresentante legale, procuratore, delegato, dipendente (con regole) e deve riferire anche al vertice e agli organi direttivi.
• Sostituto punto di contatto: distinto dal punto di contatto, con capacità operative simili ma (nota importante) non può effettuare la registrazione. Ha anche una scadenza: va designato entro il 31 maggio dell’anno in cui arriva la comunicazione di inserimento nell’elenco NIS, salvo impossibilità materiale (organizzazioni “monopersona”).
• Segreteria e operatori: ruoli di supporto; utili per non concentrare tutto su una sola persona, ma con limiti nelle azioni che generano comunicazioni formali al domicilio digitale o all’Autorità.
• Referente CSIRT e sostituti: qui ACN è chiarissima: è la figura che interloquisce con lo CSIRT Italia ed effettua le notifiche degli incidenti (artt. 25 e 26 del decreto). Deve avere competenze di base su sicurezza e incident handling e conoscenza approfondita dei sistemi e della rete del soggetto. È un “ruolo operativo”, non un nome messo lì per bellezza.

C’è anche una scadenza che pesa: la designazione del referente CSIRT (e di eventuali sostituti) è prevista a partire dal 20 novembre ed entro il 31 dicembre 2025 tramite procedura telematica sul Portale.

Le finestre temporali: 2026 non è “quando ho tempo”, è a calendario

Il testo mette in fila un ciclo annuale molto chiaro:

1. Registrazione (Servizio NIS/Dichiarazione): 1° gennaio – 28 febbraio di ogni anno: In questa fase si compila la dichiarazione per la registrazione, includendo (tra le altre cose) informazioni su gruppo societario/impresa autonoma, imprese collegate, codici ATECO, riferimenti alle normative settoriali UE richiamate dal decreto e i dati dimensionali (fatturato/bilancio/dipendenti) utili alla classificazione. La piattaforma fornisce una valutazione preliminare automatica che l’utente conferma. Per chi è già nell’elenco NIS, nel 2026 viene presentata una bozza precompilata basata su quanto trasmesso nell’anno precedente: ottimo per velocizzare, pessimo se nel frattempo hai cambiato “pezzi” e non li hai aggiornati.
2. Aggiornamento annuale informazioni: 15 aprile – 31 maggio: Qui si aggiorna (e si “certifica”) l’insieme delle informazioni richieste: dati anagrafici e contatti, organi di amministrazione e direttivi, sedi UE (quando applicabile), elenco servizi e Stati membri (quando applicabile), IP pubblici e domini, accordi di condivisione, dati del referente CSIRT e sostituti. Nota che non è un aggiornamento “tecnico”: per gli organi direttivi si arriva a richiedere elementi identificativi e PEC (con meccanismi di accettazione). In sostanza: la piattaforma diventa anche uno strumento di “accountability” nominativa.
3. Aggiornamento continuo: entro 14 giorni dalla modifica: Ogni variazione delle informazioni trasmesse va comunicata tempestivamente e comunque entro 14 giorni. E l’aggiornamento continuo è gestibile fino a una data “di chiusura” legata al ciclo annuale (nel testo: fino al 14 aprile dell’anno successivo a determinate comunicazioni).

Verifiche e incongruenze: la piattaforma ti “ferma” e ACN può chiedere evidenze

Durante la dichiarazione possono emergere incongruenze: in quel caso l’utente deve correggere o fornire elementi giustificativi. Inoltre, sono previste verifiche di coerenza a campione, con tempi di riscontro e possibili richieste di integrazione (con sospensione dei termini e deadline per rispondere).

Questo cambia il tono del gioco: non basta “selezionare un’opzione”, serve che i dati reggano, soprattutto su perimetro, dimensionamento e relazioni di gruppo.

Cosa devono fare adesso i soggetti interessati

Se vuoi trasformare questa determinazione in azione, la priorità è evitare il classico scenario italiano: “ci pensiamo a febbraio”. Spoiler: a febbraio è già tardi, perché i nodi veri sono organizzativi.

Tre cose pragmatiche da mettere subito in ordine:

1. Chi fa cosa: punto di contatto, sostituto, referente CSIRT (e sostituti). Devono essere persone che possono davvero operare, non figurine.
2. Quali dati devi avere pronti e coerenti: gruppo/collegate, ATECO, sedi, domicili digitali, contatti funzionali, IP pubblici e domini, accordi di condivisione, composizione organi direttivi.
3. Come garantisci continuità: l’aggiornamento continuo entro 14 giorni significa che serve un minimo di processo interno, altrimenti la piattaforma diventa il posto dove scopri (troppo tardi) che l’organigramma è cambiato tre mesi fa.

In conclusione: meno “interpretazioni”, più disciplina

Questa determinazione non introduce “nuovi obblighi NIS2” nel senso tecnico del termine: mette però ordine su come gli obblighi si eseguono e su chi risponde, con finestre temporali rigide e un’impostazione molto più “compliance-by-design”.

Se sei tra i soggetti interessati, il consiglio è uno solo: trattala come un processo di governance, non come un adempimento. Perché ACN non sta chiedendo di essere “bravi”: sta chiedendo di essere tracciabili.

E quando diventi tracciabile, diventi anche misurabile. E quando diventi misurabile, il resto puoi immaginarlo da solo.