1. Premessa

Come noto, il 18 ottobre 2024 è entrato in vigore il D. Lgs. 138/2024 (il “Decreto NIS2”), che ha dato attuazione alla Direttiva (UE) 2022/2555 (la “Direttiva NIS2”), con l’obiettivo di garantire un livello elevato e uniforme di cybersicurezza su tutto il territorio nazionale.

La nuova disciplina amplia significativamente la platea dei soggetti coinvolti rispetto alla precedente Direttiva (UE) 2016/1148, rafforzando gli obblighi in materia di gestione del rischio, notifica degli incidenti e governance aziendale.

Uno dei primi adempimenti richiesti ai soggetti rientranti nell’ambito di applicazione del Decreto NIS2 (i “Soggetti NIS2”) è l’iscrizione al Portale dei Servizi (il “Portale”) messo a disposizione dall’Agenzia per la Cybersicurezza Nazionale (“ACN”). Per i Soggetti NIS2, è stato possibile procedere con tale iscrizione durante una prima finestra temporale definita da ACN stessa.

A partire dal 1° gennaio al 28 febbraio di ogni anno, sarà nuovamente possibile procedere con la registrazione.

Sino al 28 febbraio 2026, dunque, gli operatori per i quali i presupposti per l’applicazione della normativa NIS2 si sono verificati nel corso del 2025, potranno procedere con registrazione sul Portale e con la designazione del c.d. Punto di contatto (sul punto, si veda il successivo par. 3). Tale obbligo riguarda altresì i Soggetti NIS2 che si sono già registrati, i quali sono chiamati presentare una nuova dichiarazione confermando o modificando i dati resi nella “prima” dichiarazione.

In sede di registrazione al Portale, i Soggetti NIS2 sono chiamati a svolgere un’autovalutazione circa la propria qualifica di soggetti c.d. Essenziali o Importanti, secondo i criteri chiariti nel Decreto NIS2 e nelle FAQ disponibili sul sito di ACN. Tale autovalutazione potrà quindi essere confermata o smentita da ACN con una comunicazione circa l’eventuale inserimento, a seconda dei casi, del Soggetto NIS2 nel registro dei soggetti Essenziali o Importanti (la “Comunicazione”).

Ciò premesso, è fondamentale ricordare che la conformità al Decreto NIS2 non si esaurisce nella registrazione al Portale. Il Decreto NIS2 detta, infatti, tutta una serie di adempimenti che devono essere rispettati dai Soggetti NIS2 al fine di garantire il rispetto della normativa in esame.

2. Quali sono le prossime scadenze?

Come riportato nella Determinazione di ACN n. 379907/2025, i Soggetti NIS2 Essenziali e Importanti dovranno portare a termine i seguenti adempimenti.

Il primo adempimento riguarda gli obblighi di notifica degli incidenti ex art. 25 del Decreto NIS2, entro il termine di 9 mesi dalla Comunicazione da parte di ACN circa l’inserimento nell’elenco dei soggetti Essenziali o Importanti.

La procedura per portare a termine questo adempimento è riportata nelle Linee Guida relative alla Definizione del processo di gestione degli incidenti di sicurezza informatica, adottate da ACN nel dicembre 2025 e disponibili a questo link.

Il secondo adempimento riguarda l’adozione, entro 18 mesi dalla Comunicazione, delle misure di sicurezza informatica (ex art. 24 del Decreto NIS2), elencate, per i soggetti Importanti e per quelli Essenziali, rispettivamente negli Allegati 1 e 2 (disponibili a questo link) alla Determinazione di ACN n. 379907/2025, sulla base delle indicazioni fornite da ACN all’interno delle Linee Guida relative alle Specifiche di base adottate da ACN nel settembre 2025 (disponibili sempre a questo link).

Entro il medesimo termine di 18 mesi dalla Comunicazione, occorrerà poi portare a termine una serie di adempimenti relativi agli Organi di amministrazione e direttivi, di cui all’art. 23 del Decreto NIS2.

In particolare, occorrerà:

• mettere per iscritto i compiti e gli obblighi che, ai sensi dell’art. 23 del Decreto NIS2, devono ricadere sugli organi di amministrazione e direttivi della società. A tal fine si rende necessarie: integrare le procedure da adottare ai sensi dell’art. 24 di cui sopra, includendovi tutti i compiti e i ruoli che ricadono sui vari organi (CdA, ecc.), nonché predisporre eventuali atti societari (procure, nomine, ecc.) idonee a istruire formalmente i vari organi e i loro componenti. Ricordiamo infatti che i membri di organi amministrativi e direttivi dovranno approvare l’implementazione delle misure per la gestione dei rischi di sicurezza e sovrintendere agli obblighi (i) previsti dal Decreto NIS2 in materia di gestione del rischio nonché (ii) relativi all’aggiornamento delle informazioni contenute nel Portale;
• che i componenti degli organi amministrativi e direttivi seguano una formazione in materia di sicurezza informatica e implementino (ed avviino) un programma di formazione dei propri dipendenti in materia di cybersecurity.

Vi sono, infine, degli obblighi specifici, previsti all’art. 29 del Decreto NIS2, gravanti sui soggetti che ricadono nella definizione di “gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio”, relativi alla registrazione dei nomi di dominio.

3. Gestione degli incidenti di sicurezza

In base alle citate Linee Guida sulla Definizione del processo di gestione degli incidenti di sicurezza informatica, adottate da ACN nel dicembre 2025, il processo per la gestione degli incidenti si suddivide nelle seguenti fasi:

Queste si articolano in una serie di sotto-fasi, illustrate nel dettaglio nelle Linee Guida 2 e riassunte di seguito.

1. Preparazione (Attività propedeutiche volte a garantire una gestione strutturata ed efficace degli incidenti di sicurezza):

1.1. Governo (Definizione del quadro strategico e organizzativo per la gestione degli incidenti):

• Adozione di Politiche di sicurezza per la gestione degli incidenti;
• Assegnazione di Ruoli e responsabilità per la gestione degli incidenti;

1.2.  Identificazione del contesto operativo al fine di pianificare in modo efficace la risposta agli incidenti:

• Inventario dei sistemi informativi e di rete;
• Individuazione di minacce e vulnerabilità;

1.3. Misure di Protezione volte a ridurre la probabilità e limitare l’impatto degli incidenti:

• Misure di protezione tecnologiche;
• Misure di protezione organizzative.

2. Rilevamento (Individuazione e analisi degli eventi rilevanti per la sicurezza informatica con l’obiettivo di individuare tempestivamente il verificarsi di un incidente e limitarne l’impatto e l’estensione, attraverso attività di monitoraggio che possono essere realizzate secondo un approccio proattivo o reattivo.

3. Risposta, le cui varie sotto-fasi non seguono generalmente un ordine lineare ma tendono piuttosto a essere realizzate in parallelo, in modo strettamente interlacciato. Inoltre, non tutte devono essere necessariamente implementante per ogni tipo di evento:

3.1. Segnalazione (Notifica dell’incidente alle autorità competenti e comunicazione alle parti, interne ed esterne, interessate);

3.2. Investigazione (Esame approfondito dell’incidente al fine di ricostruire possibilmente l’intera sequenza degli eventi occorsi, individuare la causa dell’incidente e valutare l’estensione della compromissione);

3.3. Contenimento (Circoscrizione del perimetro dell’attacco in modo da limitare l’impatto dell’incidente ed evitarne l’estensione ad altri sistemi informativi e di rete);

3.4. Eradicazione (Rimozione di ogni capacità di controllo e persistenza nella rete da parte dell’attaccante).

4. Ripristino dei sistemi informativi allo stato antecedente all’incidente, assicurandosi che tutto funzioni regolarmente.

5. Miglioramento (Potenziamento della capacità di gestione degli incidenti).

L’elenco degli incidenti significativi di base è invece indicato, rispettivamente per i soggetti importanti e per quelli essenziali, negli Allegati 3 e 4 alla Determinazione di ACN n. 379907/2025, riportati di seguito e disponibili a questo link.

4. Breve focus su due figure chiave: il Referente CSIRT e il Punto di Contatto

Con la Determinazione di ACN n. 379887/2025 ACN ha introdotto la figura del Referente CSIRT. Si tratta di una persona fisica che deve essere designata dal Punto di Contatto – tramite la dedicata procedura resa disponibile del Portale – la quale ha il compito di interfacciarsi direttamente con lo CSIRT Italia, nonché di effettuare le notifiche di cui agli articoli 25 e 26 Decreto NIS2 per conto del Soggetto NIS2.

La predetta determinazione prevede inoltre la possibilità di indicare uno o più sostituti del Referente CSIRT, al fine di garantire continuità operativa e tempestività nelle comunicazioni, profilo particolarmente rilevante alla luce delle tempistiche di notifica introdotte dalla normativa.

Sotto il profilo soggettivo, il Referente CSIRT – così come i suoi sostituti – dovranno essere in possesso di competenze tecniche di base in materia di sicurezza informativa e di gestione degli incidenti informatici, così come un’approfondita conoscenza dei sistemi informativi e di rete del soggetto NIS per conto del quale operano.

Diversa è, invece, la figura del Punto di Contatto individuata ai sensi dell’art. 7, c. 1, lett. c), del Decreto NIS2. ACN, sempre nella predetta determinazione, ha chiarito che il Punto di Contatto ha il compito di “curare l’attuazione” del Decreto NIS2 per conto del soggetto NIS: accede al Portale, effettua la registrazione del soggetto NIS ed interloquisce con ACN per conto del soggetto NIS.

Le funzioni di Punto di Contatto possono essere svolte dal rappresentante legale o da un suo procuratore generale (censito nel registro delle imprese) oppure da un dipendente delegato del soggetto. In questo caso, a differenza del Referente CSIRT, non sono previste particolari competenze tecniche che deve possedere.

Il sostituto del Punto di Contatto è designato con le medesime modalità previste per quest’ultimo e ne supporta l’operato nell’esercizio delle relative funzioni. Egli può interloquire direttamente con ACN e operare sul Portale, esercitando i medesimi poteri del Punto di Contatto, con l’unica eccezione della registrazione iniziale prevista dall’art. 7 del Decreto NIS2, che rimane riservata al titolare della funzione.

La funzione non può essere esternalizzata: il Punto di Contatto e il suo sostituto devono necessariamente essere soggetti interni all’organizzazione, pur potendosi avvalere, nell’esercizio delle loro attività, del supporto di consulenti esterni.

Diversamente, ACN non vieta l’esternalizzazione del ruolo di Referente CSIRT. Sebbene sia generalmente preferibile che tale funzione sia ricoperta da una risorsa interna – anche in considerazione della necessità di una conoscenza approfondita dell’infrastruttura IT e delle dinamiche aziendali – è possibile designare anche un soggetto esterno all’organizzazione.

Quanto alla possibile coincidenza dei ruoli, la normativa non esclude che, in organizzazioni di dimensioni contenute, la stessa persona possa ricoprire sia la funzione di Punto di Contatto sia quella di Referente CSIRT.

È fondamentale sottolineare che la designazione del Punto di Contatto e del Referente CSIRT non comporta alcuna delega di responsabilità. Ai sensi dell’articolo 23 del Decreto NIS2, la responsabilità per le violazioni resta infatti in capo agli organi di amministrazione e direttivi, inclusi i componenti del Consiglio di amministrazione o organi equivalenti.

***

In conclusione, l’entrata in vigore della Direttiva NIS2 impone alle organizzazioni un approccio strutturato, consapevole e proattivo alla gestione della sicurezza informatica e della resilienza operativa. Non è sufficiente, infatti, limitarsi a una valutazione formale della propria posizione: è fondamentale avere piena e documentata contezza della propria categorizzazione ai sensi della normativa NIS2 – quale soggetto Essenziale o Importante – poiché da tale qualificazione discendono obblighi specifici, responsabilità in capo agli organi di gestione e un articolato sistema di adempimenti.

Parimenti essenziale è mantenere sotto controllo i diversi obblighi previsti dalla normativa, programmando e poi implementando per tempo le misure richieste, nel rispetto delle scadenze fissate dal legislatore nazionale. La conformità alla NIS2, infatti, non si esaurisce in un adempimento puntuale, ma richiede l’integrazione strutturale di processi già in essere.

In questo percorso, caratterizzato da rilevanti profili di responsabilità e da un elevato grado di complessità tecnica e regolatoria, resta imprescindibile il supporto di professionisti qualificati. L’assistenza coordinata di esperti legali e tecnici consente non solo di interpretare correttamente il quadro normativo e di definire di conseguenza un adeguato modello di compliance, ma anche di implementare soluzioni operative efficaci, proporzionate e sostenibili nel tempo.

La NIS2 rappresenta, dunque, non solo un obbligo regolatorio, ma un’occasione strategica per rafforzare la postura di sicurezza di una organizzazione, grazie ad un approccio integrato e consapevole alla gestione del rischio cyber.