Cybersecurity: nuova Determinazione ACN per i soggetti NIS

01 Ago Cybersecurity: nuova Determinazione ACN per i soggetti NIS

In data 31 luglio è stata pubblicata la “Determinazione ACN n. 283727 del 22 Luglio 2025” che disciplina i termini, le modalità e i procedimenti di utilizzo e accesso al Portale ACN e, in particolare, ai Servizi NIS nonché prevede le ulteriori informazioni che i soggetti NIS devono fornire all’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite dal decreto NIS, andando a sostituire la precedente Determinazione n. 136117 del 10 aprile 2025.

La determina si applica a decorrere dal 31 luglio 2025 e non ha impatto sulla scadenza di aggiornamento delle informazioni prevista per la data di ieri.

Si riportano di seguito in sintesi i principali punti:

• Si ribadisce l’importanza del Portale dell’ACN come portale centrale per tutti gli adempimenti NIS e per ogni comunicazione con l’Autorità;
• Ogni anno i soggetti che ritengono di rientrare nell’ambito di applicazione della normativa, qualora ancora non l’abbiano fatto, devono effettuare la registrazione iniziale al Portale ACN (tramite SPID) entro il 28 febbraio (Art. 10) e dovranno rispettare gli stessi adempimenti e termini che sono stati previsti quest’anno (comunicazione nell’elenco dei soggetti NIS entro aprile, designazione punto di contatto e sostituto entro il 31 maggio);
• Tra il 15 aprile e il 31 maggio di ogni anno, i soggetti NIS sono tenuti a effettuare l’aggiornamento annuale delle informazioni (art. 15);
• A seguito del perfezionamento dell’aggiornamento annuale, laddove siano sopravvenute modifiche alle informazioni trasmesse ai sensi dell’articolo 15, tramite il servizio NIS/Aggiornamento continuo (ancora in fase di implementazione) i soggetti NIS devono fornire le informazioni aggiornate, fino al 14 aprile di ogni anno (Art. 17);
• Solo i soggetti NIS di cui all’articolo 5, comma 1, lettera b), del decreto NIS (i fornitori di servizi di sistema dei nomi di dominio DNS, i registri dei nomi di dominio di primo livello, i soggetti che forniscono servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online o di piattaforme di servizi di social network), che hanno sede nell’UE, sono tenuti a designare un rappresentante NIS in Italia e comunicarlo, ed eventualmente aggiornare tale informazioni, dal 1° settembre al 30 novembre di ogni anno (art. 6);
• L’ACN e le Autorità di settore possono effettuare verifiche di coerenza a campione sulle informazioni inserite (Art. 13).