Il 15 aprile 2025 l’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicato sul proprio sito web tre nuove determinazioni del direttore generale dell’ACN:
la determinazione ACN n. 136117 del 10 aprile 2025 - Piattaforma, Punto di contatto e sostituto, aggiornamento delle informazioni e rappresentante NIS di cui all'articolo 7 del decreto NIS (“Determinazione 136117”);
la determinazione ACN n. 136118 del 10 aprile 2025 – Notifica degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all'articolo 17 del decreto NIS (“Determinazione 136118”); e
la determinazione ACN n. 164179 del 10 aprile 2025 – Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS (“Determinazione 164179”).
La Determinazione 136117, che aggiorna e sostituisce la determinazione ACN n. 38565 del 26 novembre 2024, disciplina l’accesso al portale dei servizi e le modalità per la registrazione e l’aggiornamento delle informazioni nonché la designazione del punto di contatto e delle altre persone abilitate ad operare sul portale dei servizi dell’ACN per conto dei soggetti NIS.
Le novità introdotte dalla Determinazione 136117 riguardano in particolare:
il sostituto punto di contatto;
la segreteria;
gli operatori; e
il processo per l’aggiornamento annuale delle informazioni.
Il sostituto punto di contatto è una persona fisica, diversa dal punto di contatto, designata dal soggetto NIS ai sensi dell’art. 7(4)(d) del d.lgs. n. 138/2024 a cui è affidato il compito di supportare il punto di contatto nell’esercizio delle proprie funzioni (fatta eccezione per la registrazione che compete unicamente al punto di contatto).
La segreteria è, invece, la persona fisica che supporta il punto di contatto e il sostituto punto di contatto nelle interlocuzioni con l’ACN.
Infine, gli operatori sono coloro che svolgono funzioni di supporto al punto di contatto e al sostituto punto di contatto operando sul portale.
Come per il punto di contatto, le funzioni di sostituto punto di contatto possono essere assunte solo dal rappresentante legale, da un procuratore generale (censito nel registro delle imprese) ovvero da un dipendente delegato dal rappresentante legale. Non è chiaro invece se ciò valga anche per la segreteria e gli operatori.
Per poter operare sul portale, il sostituto punto di contatto, la segreteria e gli operatori devono essere invitati dal punto di contatto, effettuare il censimento e associare la propria utenza a quella del soggetto NIS. Segreteria e operatori non possono tuttavia, tramite il portale, trasmettere all’ACN comunicazioni relative all’adempimento degli obblighi di cui al d.lgs. n. 138/2024. Il ruolo di segreteria può essere assunto da un solo utente.
Si noti, in ogni caso, che mentre la designazione del sostituto punto di contatto è obbligatoria, il coinvolgimento di segreterie e operatori è meramente eventuale.
Con riguardo al processo di aggiornamento delle informazioni, la Determinazione 136117 richiede che dal 15 aprile al 31 maggio di ogni anno siano trasmesse, tramite la sezione del portale denominata “Servizio NIS/Aggiornamento annuale”, le informazioni richieste dall’art. 7(4 e 5) del d.lgs. n. 138/2024.
In particolare, tutti i soggetti NIS devono, a seconda dei casi, fornire o verificare l’aggiornamento delle seguenti informazioni:
dati anagrafici e di contatto del punto di contatto e, ove applicabile, dati contenuti nella delega conferita dal rappresentante legale;
dati anagrafici e di contatto del sostituto punto di contatto e, ove applicabile, dati contenuti nella delega conferita dal rappresentante legale;
dati anagrafici e di contatto della segreteria;
dati anagrafici e di contatto del soggetto NIS (devono essere forniti almeno codice fiscale, denominazione, indirizzo della sede legale, indicazione del rappresentante legale, elenco dei procuratori generali, numero di telefono, domicilio digitale e indirizzo di posta elettronica ordinaria);
elenco dei componenti degli organi di amministrazione e direttivi, da identificare sulla base dell’art. 38(5) del d.lgs. n. 138/2024 (devono essere forniti almeno nome e cognome, codice fiscale e indirizzo PEC);
elenco dei servizi ricompresi nell’ambito di applicazione del d.lgs. n. 138/2024 che sono forniti dal soggetto NIS, con indicazione degli Stati membri dell’UE in cui sono forniti;
spazio di indirizzamento IP pubblico in uso o nella disponibilità del soggetto NIS (e cioè gli indirizzi IP pubblici e statici che un soggetto NIS utilizza o ha nella propria disponibilità in forza di contratti o accordi con fornitori di servizi Internet, Registri Internet Regionali o altre organizzazioni deputate alla fornitura di indirizzi IP sulla base delle normative e degli accordi nazionali, europei e internazionali vigenti);
nomi di dominio in uso o nella disponibilità del soggetto NIS (e cioè i nomi di dominio che un soggetto NIS utilizza o ha nella propria disponibilità in forza di contratti o accordi con fornitori di servizi di registrazione di nomi di dominio o altre organizzazioni deputate loro fornitura di nomi di dominio sulla base delle normative e degli accordi nazionali, europei e internazionali vigenti); e
elenco degli accordi di condivisione delle informazioni (e cioè le intese volontarie tra soggetti NIS per scambiare informazioni rilevanti sulla cybersicurezza di cui all’art. 17 del d.lgs. n. 138/2024).
Fornitori di servizi di sistema dei nomi di dominio, gestori di registri dei nomi di dominio di primo livello, fornitori di servizi di registrazione dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, fornitori di motori di ricerca online e fornitori di piattaforme di social network devono inoltre, a seconda dei casi, fornire o verificare l’aggiornamento delle informazioni relative alle proprie sedi nell’UE. Se poi, questi sono stabiliti al di fuori del territorio nazionale e hanno designato il loro rappresentante in Italia forniscono e verificano l’aggiornamento anche dei dati di contatto e anagrafici del rappresentante in Italia.
Le analisi di dettaglio della Determinazione 136118 e della Determinazione 164179 saranno disponibili a breve.
Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS, rivolgiti ai tuoi professionisti di riferimento.
