Con la Determina n. 136117 del 19 marzo 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN)
ha fissato i nuovi obblighi informativi a carico dei soggetti rientranti nel perimetro della Direttiva
NIS 2 (Direttiva UE 2022/2555), che riguarda la sicurezza delle reti e dei sistemi informativi. Tali
obblighi devono essere adempiuti entro il 31 maggio 2025 tramite il portale predisposto da ACN.
Chi è interessato?
Sono tenuti agli adempimenti tutti i soggetti essenziali e importanti, come individuati dalla
normativa nazionale di recepimento della NIS 2 (D.lgs. n. 65/2024). In particolare, rientrano in
queste categorie gli operatori pubblici e privati attivi nei settori: energia, trasporti, sanità, servizi
digitali, infrastrutture critiche, amministrazioni centrali e locali, finanza, gestione delle acque, e
produzione e distribuzione alimentare.
Cosa prevede la determina?
La Determina ACN n. 136117/2025 introduce l’obbligo annuale di aggiornamento e integrazione
delle informazioni trasmesse all’Agenzia. Tra gli adempimenti più rilevanti si segnalano:
– La designazione obbligatoria di un sostituto del punto di contatto unico presso il
soggetto NIS, con i relativi dati identificativi e recapiti.
– La facoltativa nomina di una segreteria e di ulteriori operatori amministrativi e tecnici,
con indicazione delle mansioni e dati di contatto.
– L’aggiornamento dei dati del soggetto NIS, inclusi:
o sede legale e operativa,
o indirizzi e-mail e PEC,
o componenti degli organi di amministrazione e direzione,
o elenco dei servizi erogati nell’Unione Europea,
o indirizzi IP pubblici e nomi di dominio utilizzati.
Un ulteriore obbligo riguarda la notifica degli accordi volontari di condivisione di informazioni
in materia di cybersicurezza eventualmente sottoscritti con altri operatori o soggetti terzi.
Come adempiere
Tutti gli aggiornamenti devono essere trasmessi esclusivamente mediante il Portale NIS messo a
disposizione da ACN. L’accesso avviene tramite SPID o CNS da parte dei rappresentanti legali o
dei soggetti delegati.
Le sanzioni
Il mancato rispetto degli obblighi può comportare sanzioni amministrative pecuniarie molto
elevate:
– Fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per i soggetti essenziali;
– Fino a 7 milioni di euro o l’1,4% del fatturato mondiale annuo per i soggetti importanti.
Oltre alla responsabilità pecuniaria, sono previste misure correttive e sanzioni accessorie,
comprese la sospensione dei dirigenti e l’obbligo di adeguamento entro termini stabiliti dall’ACN.
Conclusioni
L’appuntamento del 31 maggio 2025 rappresenta una scadenza rilevante per tutti i soggetti NIS. Il
nostro studio è a disposizione per:
– Verificare la qualificazione come soggetto essenziale o importante;
– Supportare nella raccolta e trasmissione delle informazioni;
– Assistere nella predisposizione delle deleghe e degli incarichi richiesti.
Un’attenta gestione degli adempimenti consente di evitare sanzioni e di garantire la conformità
normativa in un contesto sempre più attento alla sicurezza informatica.
