Per i soggetti pubblici e privati designati come “essenziali” o “importanti” secondo la NIS 2, il termine del 31 maggio 2025 segna una tappa fondamentale. Dopo il termine della registrazione obbligatoria di febbraio, infatti, si avvicina ormai anche la scadenza operativa per l’aggiornamento annuale delle informazioni attraverso la piattaforma predisposta dall’Agenzia per la Cybersicurezza Nazionale (ACN). Cerchiamo, in questo articolo, di entrare nel pratico, con istruzioni e chiarimenti operativi per risolvere tutti gli eventuali dubbi dell’ultimo minuto e supportare in modo concreto i soggetti obbligati.
[ved. anche Direttiva NIS2 sulla cybersecurity: contesto, obblighi e sanzioni e NIS2: Primi passi per l’adeguamento delle aziende in Italia]
Aggiornamento: scadenza per completare l’aggiornamento annuale prorogata fino al 31 luglio. Il termine tiene conto delle richieste di supporto ricevute dall’Autorità. Dettagli nel comunicato ufficiale ACN: https://www.acn.gov.it/portale/w/nis-slitta-al-31-luglio-il-termine-per-gli-aggiornamenti.
Indice
Aggiornamento annuale NIS2: ambito e destinatari
Chi è soggetto all’obbligo, dovrebbe esserne ben consapevole. La scadenza riguarda tutte le imprese classificate come soggetti NIS, vale a dire, tutti i soggetti notificati tramite PEC da ACN come operatori essenziali o importanti. Ancora una volta, il canale operativo, è la piattaforma ACN, cui il soggetto registratosi come punto di contatto, potrà continuare ad accedere tramite SPID.
Può essere utile chiarire fin da subito alcuni elementi:
- L’obbligo non si esaurirà con questo “aggiornamento” iniziale, anno 2025. Al contrario, sarà ricorrente, con cadenza annuale fissata ogni anno entro maggio. Bene affinare fin da subito il metodo, e capire i passaggi utili per evitare, almeno nelle prossime occasioni, ansie non necessarie.
- L’adempimento è obbligatorio anche in assenza di variazioni: per certe informazioni, si tratterà di “confermare” dati già forniti in fase di prima registrazione. Una formalità, forse, ma coerente con l’obiettivo di sensibilizzare le imprese affinché la sicurezza informatica sia governata con la serietà che merita.
- In ogni caso, soprattutto in questo primo anno, occorrerà integrare le informazioni già rese in fase di dichiarazione con altri elementi nuovi, descritti di seguito nel dettaglio. Questi passaggi richiederanno di: prendere delle decisioni organizzative interne (es. chi svolgerà un determinato ruolo?); facilmente, un supporto operativo per il reperimento di dati, anche tecnici; alcuni step di approvazione che coinvolgono i membri degli organi amministrativi – che è bene avvertire e coinvolgere il prima possibile.
Accesso alla piattaforma: identità digitale e flusso operativo
L’accesso avviene attraverso il portale ACN (https://portale.acn.gov.it/login) e prevede, come modalità primaria, l’autenticazione con SPID persona fisica. Il passaggio è valido per qualsiasi ruolo chiamato a entrare nella piattaforma (punto di contatto, sostituto punto di contatto, segreteria, membro di un organo direttivo).
L’accesso, quindi, è svolto dalla persona fisica – che, una volta dentro, potrà trovare nella dashboard, oltre ai propri dati anagrafici e di riferimento, anche le schede delle diverse organizzazioni cui è abbinato. Oltre che all’azienda di appartenenza, nulla impedisce a una persona di essere legata ad altre imprese, situazione peraltro piuttosto comune nei casi dei Gruppi societari composti da più soggetti NIS.
Per tutte quelle persone che non dispongono di uno SPID e che sono chiamate a fare l’accesso, è messa a disposizione la possibilità di richiedere delle credenziali “tradizionali”.
Come chiedere le credenziali alla piattaforma in assenza di SPID
Per poter ottenere le credenziali personali (utenza e password), le FAQ dell’ACN indicano di inviare una PEC all’indirizzo acn@pec.acn.gov.it con:
- oggetto: “Portale dei Servizi – Richiesta credenziali personali – [COGNOME PERSONA FISICA RICHIEDENTE]”
- allegato: un modulo di richiesta, compilato e firmato digitalmente dal richiedente
- allegato: copia di un documento identificativo valido e vigente del richiedente, quali il passaporto (preferibile), carta d’identità nazionale o altro documento di identificazione rilasciato dalle autorità locali del Paese di appartenenza.
La PEC dovrà essere quella dell’impresa, del suo eventuale Rappresentante nell’Unione in Italia, o del suo Punto di contatto.
NIS 2: tutte le informazioni da fornire entro il 31 maggio
La dichiarazione annuale richiede una mappatura dettagliata di dati personali, organizzativi e tecnici. Ecco le principali schede presenti nella dashboard:
Scheda Organizzazione
In questa sezione saranno riportati dati in parte già forniti durante la registrazione dell’impresa, come Codice Fiscale, Partita IVA, Indirizzo, contatti. Si troverà l’elenco dei Procuratori generali, tra cui scegliere per indicare il Rappresentante legale. In molti casi, si tratterà di confermare le informazioni fornite, fatta salva la richiesta di verificare e integrare alcuni contatti (nello specifico, fornire un indirizzo email di posta ordinaria).
Segnaliamo, tuttavia, alcuni problemi che potrebbero sorgere nell’ambito dell’aggiornamento dell’elenco di Procuratori generali. In alcune realtà, il dato potrebbe risultare non aggiornabile manualmente. Non è chiaro se sia per una sorta di sincronizzazione automatica con i registri camerali, o legato alla successiva scheda di censimento dei membri degli organi amministrativi. Ad ogni modo, se ci sono stati recenti cambiamenti societari (es. nuove procure, revoche), è possibile che l’informazione presentata nella risulti obsoleta. In caso di problemi tecnici, è sempre valido il suggerimento di aprire un ticket tramite la piattaforma ACN.
Sostituto Punto di contatto
Una volta confermati i propri dati come punto di contatto, si dovrà procedere all’individuazione di un sostituto. Questa nomina è obbligatoria, la figura è prevista dall’art. 7, comma 4, del decreto NIS2. Ecco quindi, una prima decisione da prendere, vale a dire designare la persona giusta. Le funzioni attribuite sono assolutamente equivalenti a quelle del punto di contatto, con uguali privilegi per le operazioni da svolgere sulla piattaforma digitale dell’ACN.
Le funzioni del sostituto, così come quelle del punto di contatto originale, possono essere attribuite al rappresentante legale del soggetto NIS, a uno dei procuratori generali, o a un dipendente con delega documentata (in caso di necessità, il modello suggerito è sempre disponibile LINK). Per procedere con l’invito del sostituto punto di contatto individuato (scegliete tenendo conto di competenze, reperibilità e consapevolezza del ruolo!), sarà sufficiente inserire Codice Fiscale ed e-mail. Dopodiché, attendere la notifica e la conferma della persona scelta, previo suo accesso in piattaforma.
Membri degli organi amministrativi e direttivi
Originariamente indicati come “Responsabili delle violazioni”, la formula è stata aggiornata – forse per non scatenare il panico? – con un più chiaro riferimento ai “Membri degli organi amministrativi e direttivi”. Attenzione, però, il ruolo nell’ambito NIS2 non va ridotto a una semplice formalità burocratica: si tratta, al contrario, di una responsabilità attiva. Chi compare nell’elenco è formalmente e concretamente chiamato a prendere decisioni strategiche, a vigilare sull’effettiva attuazione delle misure di sicurezza e, soprattutto, a rispondere personalmente di eventuali inadempienze. È quindi essenziale che acquisiscano piena consapevolezza del loro ruolo e del quadro normativo, contribuendo in modo informato e strutturato alla governance della cybersecurity.
Al netto di possibili specificità legate al tipo di organizzazione, il punto di contatto dovrà invitare ad accedere e confermare il proprio ruolo in piattaforma, tutti i membri del CdA. Stessa modalità di invito vista per il sostituto punto di contatto, quindi, con la differenza che i dati richiesti sono ora Codice Fiscale e PEC.
Una nota importante. Potrebbero sorgere dubbi qualora qualche membro del CdA non fosse ancora dotato di una PEC personale. Quale indirizzo fornire, quindi? L’ACN ha dichiarato un’apertura verso l’utilizzo della PEC aziendale, già utilizzata per la scheda dell’organizzazione. Vale la pena ricordare, tuttavia, che da gennaio 2025 è in vigore l’obbligo, per tutti gli amministratori di società, di dotarsi di una propria PEC personale (da comunicare anche al registro delle imprese). Se non si è ancora provveduto, è quindi caldamente consigliato fornirsene il prima possibile.
Il ruolo della “segreteria”
Non previsto dal Decreto, in aprile l’ACN ha introdotto il ruolo di “segreteria NIS”. Specifichiamo subito che questo ruolo è assolutamente facoltativo. Pertanto, si potrebbe decidere di chiudere in fretta questa scheda, esplicitando la volontà di non nominarla. Vale però la pena valutare se possa essere utile dotare una figura dedicata ad alcune funzioni di base, organizzative e documentali, per accedere alla piattaforma, coordinare il censimento dei dati dell’impresa, verificare la completezza dell’adempimento, supportare il punto di contatto e i responsabili IT, gestire la documentazione preparatoria e la conservazione delle evidenze.
Se si optasse per un’individuazione, si noti che la segreteria dovrà essere individuata, ancora una volta, tramite Codice Fiscale e e-mail di una persona fisica adatta all’interlocuzione con le Autorità. Una volta ricevuto l’invito, confermata l’associazione tramite link e fatto accesso tramite SPID o credenziali, potrà visualizzare le informazioni richieste sui Servizi NIS (ma non potrà effettuare la trasmissione di comunicazioni).
Struttura organizzativa
Una specifica scheda è dedicata alla descrizione della struttura aziendale, articolata in sottostrutture di cui indicare eventuali funzioni specifiche, sedi operative, cluster di infrastruttura IT, modalità di controllo centralizzato o distribuito della sicurezza IT, ecc. La scheda presenta alcuni campi aperti, che possono essere compilati e risultare utili soprattutto per quei soggetti con elevata complessità e/o frammentazione, multi-brand o Gruppi societari. Non sono ancora disponibili particolari indicazioni dell’Autorità, ma la scheda sembra rilevante soprattutto per mantenere una certa coerenza con la scheda dedicata ai dati di indirizzamento IP, che possono essere suddivisi, appunto, tra le varie sottostrutture che si decidesse di descrivere.
Detto ciò (e salve future prescrizioni dell’Autorità), la compilazione di questa sezione risulta, per ora, del tutto facoltativa.
Dati tecnici: infrastruttura e indirizzamento IP
Con tale dicitura ci si riferisce agli indirizzi IP pubblici e statici che un soggetto utilizza o ha a propria disposizione e acquisiti tramite contratti o accordi con fornitori di servizi Internet (ISP), Registri Internet o altre organizzazioni deputate alla fornitura di indirizzi IP. La scheda chiede quindi un censimento completo di:
- Spazi di indirizzamento IP pubblici utilizzati dalla rete dell’organizzazione. Oltre alla nomenclatura, assolutamente libera, i valori da riportare sono quelli del range di indirizzi IP (primo e ultimo indirizzo separati da trattino, nella formula [indirizzo iniziale]-[indirizzo finale] – es. 203.0.113.0 – 203.0.113.255). Chiaramente, è buona pratica consultare i tecnici di rete o il fornitore ISP per ottenere anticipatamente l’elenco corretto. In caso di quantità elevate di indirizzi nella propria disponibilità, i dati potranno essere caricati in maniera massiva tramite file .csv.
- Nomi di dominio registrati e utilizzati (inclusi alias, sottodomini e domini per ambienti test o disaster recovery).
Accordi di condivisione delle informazioni
Gli “accordi di condivisione” sono intese formali con cui due o più organizzazioni si impegnano a scambiarsi informazioni sulla sicurezza informatica (minacce, vulnerabilità, tecniche, ecc.) in modo strutturato e sicuro. Non sono obbligatori per ora, ma rappresentano una buona prassi e in futuro potrebbero diventare necessari per tutti i soggetti NIS. La scheda va quindi compilata solo se esistono accordi effettivamente formalizzati e documentati, sottoscritti dopo l’entrata in vigore del Decreto NIS. In caso affermativo, bisognerà fornire i dati richiesti (partner, oggetto, strumenti, modalità, data), mantenendo assoluta trasparenza verso l’Autorità. Se invece non esiste alcuna formalizzazione di accordi di questo tipo, sarà sufficiente indicare “No” e non inserire nulla. Nessun altro adempimento richiesto.
Rimane il dubbio per eventuali accordi precedenti al decreto? Non sono da indicare, ora. Si potranno notificare nel 2026, ove siano ancora in corso di validità.
Perché è importante la scadenza NIS 2 del 31 maggio
Tiriamo le somme con l’invito a non sottovalutare questa scadenza: per l’obbligo di registrazione fissato al 28 febbraio, l’ACN ha manifestato una evidente flessibilità, dichiarando pubblicamente la massima tolleranza in questo primo anno. Eventuali ritardatari, quindi anche nel mese di maggio erano ancora in tempo per recuperare!). Diversamente, i termini per l’aggiornamento entro il 31 maggio delle informazioni NIS 2, andrebbero considerati come molto più stringenti. Il mancato adempimento potrebbe effettivamente esporre a sanzioni.
Per non creare allarmismi, va detto che l’intento dell’Autorità non è certo sanzionatorio, in questa fase iniziale – i rappresentanti della stessa ACN hanno parlato di un approccio collaborativo – ma… meglio non rischiare. L’adempimento NIS2 del 31 maggio 2025 non è una formalità, ma l’occasione per consolidare un modello organizzativo cyber-resiliente. Specie per attività che non presentano un’elevata difficoltà tecnica, ma sfidano principalmente la capacità di organizzarsi, decidere e comunicare, rispettare le scadenze è un primo segnale di maturità organizzativa, competenze gestionali e attenzione alla compliance.
Per ulteriori quesiti operativi, non si sottovalutino le risorse pubblicate dall’ACN. Le FAQ sono in continuo aggiornamento, e l’Autorità – nonostante, va detto, qualche scivolone nella funzionalità della piattaforma – ha dimostrato una buona attenzione alle richieste delle imprese. Dopodiché, rimane da coltivare la sinergia tra Direzione, Responsabili dei reparti ICT e consulenti, essenziale in questa fase come nelle prossime, per garantire l’adeguamento alle norme e, soprattutto, una reale governance della sicurezza informatica.
