L’Agenzia per la Cybersicurezza Nazionale ha pubblicato una nuova determinazione, datata 22 luglio 2025, che ridisegna il quadro operativo per gli enti soggetti alla direttiva NIS2. Il testo abroga e sostituisce le indicazioni precedenti e introduce una serie di adempimenti più dettagliati, con l’obiettivo di rafforzare il sistema di notifiche e la gestione delle responsabilità all’interno delle organizzazioni coinvolte.
Tra le modifiche più significative figura l’obbligo di designare non solo un punto di contatto ufficiale, ma anche un suo sostituto, entrambi dotati di poteri rappresentativi e operativi equivalenti. La segnalazione deve avvenire tramite il Portale ACN e deve includere informazioni anagrafiche complete. Le aziende hanno tempo fino al 31 maggio 2025 per nominare il secondo referente, estendendo così la responsabilità operativa e assicurando continuità nella comunicazione con l’Agenzia.
Viene inoltre definita con maggiore precisione la finestra temporale annuale per l’aggiornamento dei dati, che dovrà avvenire tra il 15 aprile e il 31 maggio di ogni anno. L’aggiornamento riguarda elementi strategici come indirizzi IP statici pubblici, domini web in uso o di proprietà, ubicazioni operative nell’Unione europea e i servizi prestati, tutti elementi da dichiarare attraverso la piattaforma ufficiale. In caso di variazioni, il termine per la comunicazione è di 14 giorni e la possibilità di effettuare rettifiche si estende fino al 14 aprile dell’anno successivo.
La determinazione stabilisce inoltre un principio chiave: a partire dal 31 luglio 2025, il Portale ACN diventa l’unico strumento riconosciuto per l’interazione con l’Agenzia. Qualsiasi altra forma di comunicazione, inclusa la PEC, sarà considerata priva di validità, salvo deroghe espressamente concesse. Questo passaggio segna un cambio di paradigma verso una gestione digitale centralizzata degli obblighi informativi.
La scelta di un canale unico ha il pregio della chiarezza, ma al contempo impone un livello di organizzazione interna che non tutte le realtà, specie le più piccole, potrebbero essere pronte a garantire. Il rischio è che la semplificazione procedurale si traduca in un aggravio gestionale.
Con queste nuove regole, l’ACN intende rafforzare la trasparenza, la responsabilità e la tempestività nella trasmissione dei dati, elementi centrali per una cybersicurezza coordinata e affidabile a livello nazionale ed europeo.
