Nel mese di aprile 2025 l’Agenzia per la Cybersicurezza Nazionale (l’Agenzia o l’ACN) ha inviato una notificazione ai soggetti obbligati che abbiano effettuato la registrazione al Portale dell’ACN nei termini di legge, comunicando: (i) l’inserimento nell’elenco dei soggetti essenziali o importanti; (ii) il codice identificativo da utilizzare per ogni comunicazione con l’Agenzia.
Entro il 31 maggio tutti i soggetti notificati devono procedere, per mezzo del Punto di Contatto, all’inserimento sul Portale dell’ACN di alcune informazioni:
- lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto NIS;
- ove applicabile, l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del Decreto NIS 2;
- la persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo;
- un sostituto del punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.
Inoltre, hanno obblighi di fornire informazioni aggiuntive alcuni soggetti, tra i quali i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network.
Sulle informazioni da fornire e sulle modalità e i procedimenti di utilizzo ed accesso al Portale dell’ACN l’Agenzia ha fornito diverse specificazioni nella Determinazione n. 136117 del 10 Aprile 2025 (che aggiorna e sostituisce la precedente Determinazione, di cui avevamo dato conto nello scorso Client alert).
Inoltre, lo stesso 10 aprile 2025, l’Agenzia ha pubblicato altre due nuove Determinazioni, in cui sono stati specificati alcuni adempimenti, ed in particolare:
- con la Determinazione n. 136118 sono state definite le modalità con cui i soggetti NIS notificano all’autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione;
- con la Determinazione n. 164179 sono state definite le specifiche di base per i soggetti importanti ed essenziali, sulle misure di sicurezza, a carico degli organi di amministrazione e direttivi e sugli incidenti significativi.
Il Team Compliance/Legal Tech dello Studio è a disposizione per accompagnare i soggetti obbligati nei prossimi adempimenti richiesti dal Decreto NIS 2.
