La direttiva europea NIS2 è entrata nella sua fase operativa in Italia. Questa normativa cruciale per la cybersecurity riguarda tutte le entità, sia pubbliche che private, che svolgono funzioni vitali per la nostra economia e società. In particolare, NIS2 identifica due categorie di soggetti con obblighi specifici:

• Entità Essenziali (EE): operano in settori critici come energia, trasporti, sanità, bancario, mercati finanziari e sono fondamentali per il funzionamento dell’economia e della sicurezza nazionale, con un alto potenziale di impatto in caso di interruzione del servizio.
• Entità Importanti (IE): operano in settori importanti come gestione dei rifiuti, servizi postali, produzione alimentare e svolgono un ruolo chiave nella digitalizzazione dell’economia.

Scadenza del 31 maggio 2025

Dal 12 aprile 2025, l’Agenzia per la Cyber sicurezza Nazionale (ACN) sta formalmente riconoscendo tramite PEC le organizzazioni registrate sulla piattaforma NIS2 come soggetti obbligati, avviando ufficialmente l’iter di adeguamento normativo.

Inoltre, con la Determinazione ACN n.136117 del 10 aprile 2025, è stato attivato il processo di adeguamento annuale delle informazioni da completare entro il 31 maggio 2025, introducendo delle novità:

• La figura del sostituto del punto di contatto, da designare entro il 31 maggio 2025 con funzione di supporto e interlocuzione con l’Autorità nazionale competente;
• la figura della segreteria, intesa come persona fisica incaricata di supportare punto di contatto e sostituto nella gestione operativa dei rapporti con l’ACN;
• la possibilità di designare procuratori generali (censiti nel Registro Imprese) come punto di contatto, oppure, per la PA personale di altre amministrazioni previa autorizzazione ex art. 53 D.Lgs. 165/2001;
• la definizione del periodo 1° settembre – 30 novembre come termine annuale per l’aggiornamento della documentazione relativa al rappresentante nell’Unione
• l’introduzione del servizio NIS/Aggiornamento annuale, volto a verificare e consolidare le informazioni trasmesse, inclusi dati anagrafici, contatti, servizi offerti nell’UE, indirizzi IP, domini, composizione degli organi direttivi, ed eventuali accordi di condivisione dati;
• la previsione che l’elenco dei soggetti NIS può essere aggiornato successivamente alla sua prima elaborazione.

Cosa richiede l’ACN entro il 31 maggio?

Tutte le organizzazioni classificate come soggetti NIS devono accedere al nuovo servizio “NIS/Aggiornamento annuale” sulla piattaforma ACN e verificare:

• Dati anagrafici e di contatto del soggetto e dei referenti designati;
• Componenti degli organi di amministrazione e direzione;
• Servizi coperti dalla Direttiva NIS2 e i relativi Paesi UE;
• Elenco degli IP pubblici, domini utilizzati e articolazioni organizzative;
• Accordi attivi di condivisione delle informazioni;
• Designazione del sostituto del punto di contatto.

Il Tavolo per l’attuazione della nuova disciplina NIS è composto dai rappresentanti delle nove Autorità di settore e della Conferenza Permanente Stato Regioni, presieduto dal Direttore Generale di ACN.

L’implementazione della direttiva NIS2 segna un passo significativo verso un ecosistema digitale più sicuro e resiliente in Italia.

La scadenza del 31 maggio rappresenta un passo fondamentale per concretizzare l’obiettivo principale della NIS2, ovvero la costruzione di un ambiente digitale europeo più sicuro, proteggendo i servizi essenziali e i cittadini dalle crescenti minacce cibernetiche.