Con la Determinazione n. 136117 pubblicata il 10 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha introdotto importanti aggiornamenti che interessano tutti i soggetti rientranti nel perimetro della Direttiva NIS. Queste modifiche riguardano in particolare l’adeguamento dei dati anagrafici, la notifica degli accordi di condivisione delle informazioni e l’attuazione di misure di sicurezza minime previste dal Decreto NIS.

Vediamo nel dettaglio le principali novità e le azioni richieste alle organizzazioni entro il 31 maggio 2025.

Designazione del sostituto del punto di contatto

Tra le disposizioni più rilevanti, l’art. 5 della Determinazione prevede l’obbligo di individuare una figura di supporto al punto di contatto NIS: un sostituto ufficiale, identificabile in una persona fisica. Questa figura dovrà essere formalmente designata entro il 31 maggio 2025, e rappresenterà un elemento chiave per garantire la continuità operativa e la gestione tempestiva degli obblighi informativi verso l’ACN.

Aggiornamento annuale delle informazioni

Dal 15 aprile al 31 maggio 2025, i soggetti già registrati dovranno aggiornare i propri dati anagrafici, come stabilito nel Capo IV della Determinazione. In particolare, è richiesto di verificare:

• i dati del punto di contatto, del sostituto e della segreteria
• la composizione degli organi di amministrazione e direttivi, con riferimento alle responsabilità sulla sicurezza
• l’elenco dei servizi critici oggetto della normativa
• lo spazio di indirizzamento IP pubblico e i nomi di dominio attualmente in uso

Questa attività di aggiornamento, da eseguire annualmente, ha lo scopo di garantire la coerenza e l’affidabilità delle informazioni fornite, che costituiscono la base per una gestione efficace della sicurezza a livello nazionale.

Notifica degli accordi di condivisione delle informazioni

L’art. 3 introduce inoltre un nuovo obbligo di notifica per i soggetti NIS che partecipano ad accordi di condivisione delle informazioni sulla sicurezza informatica. La notifica ad ACN deve includere:

• la denominazione dell’accordo
• il testo dell’accordo stesso
• l’elenco dei partecipanti

Se l’accordo è già attivo prima del 31 maggio 2025, la notifica dovrà essere inviata entro tale data.

Questa misura mira a rafforzare la collaborazione tra operatori e aumentare la resilienza complessiva del sistema, favorendo una cultura della sicurezza basata sullo scambio strutturato di informazioni.

Misure di sicurezza e gestione degli incidenti: i quattro allegati operativi

La Determinazione è accompagnata da quattro allegati che definiscono in dettaglio gli adempimenti per soggetti essenziali e importanti. In particolare:

1. Allegato 1: Misure minime di sicurezza per i soggetti importanti, a carico degli organi di amministrazione e direzione
2. Allegato 2: Misure minime di sicurezza per i soggetti essenziali, con le stesse responsabilità a livello direttivo
3. Allegato 3: Definizione e trattamento degli incidenti significativi per i soggetti importanti
4. Allegato 4: Definizione e trattamento degli incidenti significativi per i soggetti essenziali

Questi allegati rappresentano un riferimento operativo fondamentale per adeguarsi agli artt. 23, 24, 25, 29 e 32 del Decreto NIS e per garantire l’adozione di un sistema di gestione dei rischi in linea con i requisiti nazionali.

Conclusioni

La Determinazione ACN 136117/2025 rafforza l’approccio sistemico alla cybersicurezza previsto dalla Direttiva NIS, richiedendo ai soggetti interessati una maggiore responsabilizzazione nella gestione delle informazioni e nella prevenzione degli incidenti.

Per le organizzazioni, questo si traduce in una necessità concreta: rivedere processi, ruoli e asset tecnologici, assicurandosi di rispettare le scadenze e mantenere la conformità normativa.

Come AISEC, supportiamo i nostri clienti nel recepire correttamente queste disposizioni, affiancandoli in tutte le fasi di aggiornamento e adeguamento. Contattaci per una valutazione personalizzata delle tue esigenze di compliance.