NIS2: nuovi obblighi ACN entro dicembre 2025

Determinazione ACN n. 333017/2025

La Determinazione n. 333017/2025 dell’Agenzia per la Cybersicurezza Nazionale (ACN), in attuazione del D.lgs. 138/2024 (c.d. “Decreto NIS2”), ha introdotto importanti novità per imprese ed enti pubblici classificati come soggetti essenziali o importanti. In particolare, il provvedimento aggiorna le regole di utilizzo della piattaforma digitale NIS e l’insieme di informazioni che devono essere trasmesse e mantenute costantemente aggiornate verso l’ACN.

Tra le principali novità figura l’introduzione della nuova figura del Referente CSIRT, dedicata alla gestione operativa degli incidenti di sicurezza e ai rapporti con il CSIRT Italia, con compiti di coordinamento delle notifiche e delle comunicazioni tecniche.

La Determinazione stabilisce che:

il Referente CSIRT deve essere una persona fisica con adeguate competenze in materia di sicurezza informatica e gestione degli incidenti;
la designazione del Referente CSIRT (e di eventuali sostituti) deve avvenire esclusivamente tramite il Portale ACN, a cura del Punto di Contatto NIS;
la finestra temporale per la nomina va dal 20 novembre 2025 al 31 dicembre 2025.

Le organizzazioni rientranti nel perimetro NIS2 sono quindi tenute a:

verificare la propria inclusione negli elenchi NIS e la correttezza della classificazione;
completare e mantenere aggiornati i dati sulla piattaforma NIS (servizi essenziali, infrastrutture, contatti, catena di fornitura);
istituire una chiara governance interna della cybersicurezza, con Punto di Contatto NIS e Referente CSIRT;
definire procedure per la gestione e notifica degli incidenti significativi secondo le tempistiche e modalità previste dal Decreto NIS2 e dalle determinazioni ACN;
garantire che il Referente CSIRT sia in grado di assicurare la reperibilità e il coordinamento operativo in caso di crisi.

La mancata conformità può comportare sanzioni rilevanti (fino al 2% del fatturato globale annuo per i soggetti essenziali o fino a milioni di euro di sanzione amministrativa per i soggetti importanti), oltre a impatti reputazionali e responsabilità degli organi apicali. Cybe+1

Il nostro Studio affianca aziende ed enti pubblici in tutte le fasi di adeguamento alla NIS2 e alla Determinazione ACN n. 333017/2025, offrendo:

mappatura della posizione NIS2 (verifica rientro, settore, qualifica essenziale/importante);
supporto nella gestione degli adempimenti sul Portale ACN e nell’aggiornamento delle informazioni richieste;
consulenza legale e organizzativa per la definizione della governance cyber (Punto di Contatto, Referente CSIRT, ruoli e responsabilità interne ed esterne);
predisposizione o revisione di policy, procedure e piani di risposta agli incidenti conformi al Decreto NIS2;
formazione dedicata a management, DPO, IT/CISO e al Referente CSIRT sugli obblighi di notifica e sulle responsabilità connesse.

Lo Studio è a disposizione per valutare lo stato di conformità della tua organizzazione e per costruire un percorso di adeguamento alla NIS2 che riduca il rischio sanzionatorio, rafforzi la resilienza cyber e dia evidenza documentale del rispetto degli obblighi ACN entro le scadenze di dicembre 2025.

Determinazione ACN n. 333017/2025

La Determinazione stabilisce che:

il Referente CSIRT deve essere una persona fisica con adeguate competenze in materia di sicurezza informatica e gestione degli incidenti;
la designazione del Referente CSIRT (e di eventuali sostituti) deve avvenire esclusivamente tramite il Portale ACN, a cura del Punto di Contatto NIS;
la finestra temporale per la nomina va dal 20 novembre 2025 al 31 dicembre 2025.

Le organizzazioni rientranti nel perimetro NIS2 sono quindi tenute a:

verificare la propria inclusione negli elenchi NIS e la correttezza della classificazione;
completare e mantenere aggiornati i dati sulla piattaforma NIS (servizi essenziali, infrastrutture, contatti, catena di fornitura);
istituire una chiara governance interna della cybersicurezza, con Punto di Contatto NIS e Referente CSIRT;
definire procedure per la gestione e notifica degli incidenti significativi secondo le tempistiche e modalità previste dal Decreto NIS2 e dalle determinazioni ACN;
garantire che il Referente CSIRT sia in grado di assicurare la reperibilità e il coordinamento operativo in caso di crisi.

Il nostro Studio affianca aziende ed enti pubblici in tutte le fasi di adeguamento alla NIS2 e alla Determinazione ACN n. 333017/2025, offrendo:

mappatura della posizione NIS2 (verifica rientro, settore, qualifica essenziale/importante);
supporto nella gestione degli adempimenti sul Portale ACN e nell’aggiornamento delle informazioni richieste;
consulenza legale e organizzativa per la definizione della governance cyber (Punto di Contatto, Referente CSIRT, ruoli e responsabilità interne ed esterne);
predisposizione o revisione di policy, procedure e piani di risposta agli incidenti conformi al Decreto NIS2;
formazione dedicata a management, DPO, IT/CISO e al Referente CSIRT sugli obblighi di notifica e sulle responsabilità connesse.

Ultimi articoli

NIS2: dal 1° gennaio 2026 scatta la notifica al CSIRT Italia degli incidenti cyber

PER LE FESTIVITA’ NATALIZIE LO STUDIO RIMARRA’ CHIUSO DAL 24.12.2025 AL 06.01.2026. AUGURIAMO UN SERENO NATALE ED UN PROFICUO ANNO NUOVO.

NIS2: nuovi obblighi ACN entro dicembre 2025

NIS2: dal 1° gennaio 2026 scatta la notifica al CSIRT Italia degli incidenti cyber

PER LE FESTIVITA’ NATALIZIE LO STUDIO RIMARRA’ CHIUSO DAL 24.12.2025 AL 06.01.2026. AUGURIAMO UN SERENO NATALE ED UN PROFICUO ANNO NUOVO.

Lo Studio Lexin al Security Summit di Verona 2025

Accessibilità digitale: dal 28 giugno 2025 obblighi per i grandi operatori privati

NIS 2: gli obblighi in scadenza il 31 maggio 2025 per soggetti essenziali e importanti