Il 24 dicembre 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le Determinazioni n. 379887 e n. 379907, introducendo importanti novità in materia di attuazione della disciplina NIS.
In particolare, la Determinazione ACN n. 379887/2025 aggiorna e sostituisce la precedente Determinazione n. 333017/2025, disciplinando il funzionamento del Portale ACN e dei Servizi NIS.
Il provvedimento, che si applica dal 31 dicembre 2025, anticipa la prossima finestra degli adempimenti per la registrazione dei soggetti NIS relativa all’anno 2026, prevista dal 1° gennaio al 28 febbraio.
Tra le principali innovazioni introdotte si segnalano:
- l’introduzione di un meccanismo di stabilizzazione della dichiarazione che prevede un termine di 10 giorni per modificare la dichiarazione successivamente al completamento della registrazione sul Portale ACN; decorso questo termine, la dichiarazione diventa definitiva;
- la precompilazione della dichiarazione per i soggetti già inseriti nell’elenco NIS.
In occasione della registrazione per l’anno 2026, tali soggetti troveranno sul Portale ACN una bozza di dichiarazione predisposta sulla base delle informazioni trasmesse nell’anno precedente, che dovrà essere attentamente verificata e confermata.
La misura introduce una semplificazione procedurale che, pur non incidendo sugli obblighi di controllo e sulla responsabilità del dichiarante, favorisce la continuità informativa e riduce il rischio di incongruenze nei dati comunicati.
- l’inclusione, tra le informazioni oggetto di verifica nell’aggiornamento annuale, dei dati relativi al Referente CSIRT e agli eventuali soggetti sostituti.
La Determinazione ACN n. 379907/2025 sostituisce la precedente Determinazione n. 164179/2025 ed è applicabile a decorrere dal 15 gennaio 2026, introducendo un quadro uniforme in materia di notifica degli incidenti di sicurezza informatica.
Da tale data, l’obbligo di notifica viene infatti uniformato per tutti i soggetti NIS, superando le precedenti differenziazioni applicative e assicurando un approccio omogeneo agli adempimenti di segnalazione.
Pur restando fermo l’obbligo di conformarsi alle specifiche di base definite dalla Determinazione ACN n. 379907/2025, l’Agenzia per la Cybersicurezza Nazionale ha predisposto una serie di strumenti di supporto operativo volti ad accompagnare i soggetti NIS nel percorso di adeguamento agli obblighi previsti dal decreto.
In tale contesto, sono state pubblicate:
- le Linee guida NIS – Specifiche di base – Guida alla lettura, che forniscono indicazioni volte a facilitare la comprensione e l’interpretazione delle specifiche di base contenute negli allegati tecnici;
- le Linee guida NIS – Specifiche di base – per la definizione del processo di gestione degli incidenti di sicurezza informatica, che propongono un modello di riferimento per il processo di gestione degli incidenti e illustrano la relazione tra le diverse fasi del processo e le corrispondenti misure di sicurezza di base.
Nel documento viene, difatti, illustrato un processo per la gestione degli incidenti articolato in cinque fasi: preparazione, che precede il verificarsi di un incidente; rilevamento; risposta all’incidente rilevato nella fase precedente; ripristino dei sistemi informativi e di rete oggetto di compromissione; miglioramento del processo di gestione degli incidenti attraverso le conoscenze acquisite durante l’esecuzione del processo.
Come evidenziato nella parte introduttiva delle Linee guida per la gestione degli incidenti, tale attività “rappresenta una capacità essenziale per garantire la continuità delle attività e dei servizi, la protezione delle informazioni e la resilienza delle organizzazioni. Gli incidenti di sicurezza possono infatti determinare impatti significativi sulle attività e i servizi di un’organizzazione in termini operativi, finanziari o reputazionali”.
