La disciplina del portale ACN è un continua ed incessante evoluzione. All’esito del lavori del quinto Tavolo NIS, l’Agenzia per la Cybersicurezza Nazionale ha annunciato la pubblicazione della Determinazione n. 250916/2025, con cui viene istituzionalizzata la figura del referente CSIRT, destinata a divenire un nuovo presidio tecnico-organizzativo per la gestione degli incidenti di sicurezza informatica. La designazione di tale figura, prevista tra il 20 novembre e il 31 dicembre 2025, rappresenta una novità di rilievo per assicurare la tempestività delle notifiche allo CSIRT Italia e rafforzare la capacità di risposta degli operatori NIS.
Parallelamente, è stato approvato un nuovo aggiornamento dell’elenco dei soggetti NIS attraverso l’integrazione delle registrazioni tardive e delle successive istanze pervenute dopo la scadenza di giugno. Questo processo, destinato a proseguire con ulteriori integrazioni entro la fine dell’anno, mira a mantenere costantemente aggiornato il quadro dei soggetti rilevanti per la protezione delle infrastrutture digitali strategiche.
Ciò premesso, l’obiettivo di questo articolo è fornire una guida chiara e strutturata sul funzionamento del portale ACN, all’esito delle novità apportate dalla Determinazione del 19 settembre 2025. Ci concentreremo, in particolare, sugli adempimenti che gli operatori NIS devono rispettare nelle fasi di registrazione e aggiornamento.
Il portale ACN e il sistema definitorio della Determinazione
La recente Determinazione n. 250916/2025 conferma il ruolo del portale ACN quale infrastruttura digitale unica per la gestione degli adempimenti previsti per i soggetti NIS.
La Determinazione si apre con un riepilogo delle nozioni cardine: “Servizi NIS”, “censimento”, “associazione”, “registrazione”, “aggiornamento annuale” e “aggiornamento continuo”. I Servizi NIS rappresentano l’insieme di funzioni digitali attraverso le quali avvengono tutte le interlocuzioni ufficiali tra operatori e Autorità, consentendo di effettuare la registrazione, modificare le informazioni, aggiornare periodicamente i dati e ricevere comunicazioni istituzionali.
Il censimento e l’associazione definiscono la fase preliminare di accesso, in cui si autenticano le utenze e si stabilisce formalmente il legame tra l’utente e il soggetto NIS di riferimento. La registrazione costituisce il momento di formalizzazione dei dati anagrafici e strutturali del soggetto, mentre l’aggiornamento annuale e l’aggiornamento continuo scandiscono i successivi obblighi periodici di verifica e modifica delle informazioni.
Le modifiche intervenute non hanno toccato l’essenza la “centralità” del portale ACN quale unico canale autorizzato per la trasmissione e la gestione delle informazioni, garantendo tracciabilità, standardizzazione e integrità dei dati. Esso consente agli operatori NIS di organizzare in modo ordinato i flussi informativi interni, di distribuire responsabilità in maniera trasparente e di assicurare il rispetto delle prescrizioni del Decreto Legislativo 4 settembre 2024, n. 138.
Portale ACN: punti di contatto e responsabilità organizzative
Nella disciplina sul funzionamento del portale ACN, un ruolo di primaria importanza è attribuito alla figura del punto di contatto, prevista dall’articolo 4 della Determinazione. Si tratta di una persona fisica designata dal soggetto NIS con il compito di curare, per conto dell’organizzazione, l’esecuzione di tutti gli adempimenti previsti dalla normativa NIS, inclusa la registrazione, l’aggiornamento delle informazioni e l’interlocuzione diretta con l’Autorità nazionale competente.
La determinazione ribadisce che tale figura costituisce l’interfaccia formale e sostanziale tra il soggetto e Agenzia per la Cybersicurezza Nazionale, garantendo così la tracciabilità di ogni attività svolta attraverso il portale ACN.
Il punto di contatto può coincidere con il rappresentante legale del soggetto NIS, con un procuratore generale o con un dipendente formalmente delegato. In presenza di gruppi societari, la funzione può essere esercitata anche da un dipendente di altra impresa del gruppo, purché rientrante nell’ambito applicativo della normativa NIS. Nelle pubbliche amministrazioni, tale funzione può essere affidata anche a personale di altre amministrazioni, previa autorizzazione. In ogni caso, la responsabilità ultima resta in capo agli organi di amministrazione e direttivi, i quali sono tenuti a garantire che le informazioni fornite tramite il portale ACN siano corrette, aggiornate e trasmesse nei tempi stabiliti.
Accanto al punto di contatto è prevista la designazione di un sostituto, anch’egli censito sulla piattaforma, che può operare con le medesime funzioni, salvo la fase di registrazione iniziale. Questa struttura garantisce la continuità operativa e riduce i rischi derivanti da eventuali indisponibilità o impedimenti.
La determinazione precisa inoltre che eventuali avvicendamenti devono essere formalizzati senza ritardo, così da preservare la piena operatività del sistema. L’organizzazione è pertanto chiamata a dotarsi di un assetto interno stabile, chiaro e conforme, nel quale le responsabilità per la gestione del portale ACN siano esattamente individuate e presidiate, a tutela dell’effettività degli obblighi imposti dal Decreto Legislativo 4 settembre 2024, n. 138.
La novità più rilevante: il referente CSIRT
La principale innovazione introdotta dalla Determinazione in esame riguarda l’istituzionalizzazione della figura del referente CSIRT, destinata a integrare in modo significativo la governance operativa della sicurezza cibernetica. A partire dal 20 novembre ed entro il 31 dicembre 2025, ogni soggetto NIS dovrà designare, per il tramite del punto di contatto, una persona fisica con funzioni specifiche di interlocuzione con CSIRT Italia, al fine di garantire una gestione tempestiva ed efficace delle notifiche di incidente informatico.
La designazione del referente CSIRT, che avviene esclusivamente attraverso il portale ACN, rappresenta un passaggio decisivo nella strutturazione dei presidi di sicurezza all’interno delle organizzazioni soggette alla normativa NIS.
Il referente CSIRT è chiamato ad agire quale snodo tecnico-operativo per la trasmissione delle segnalazioni e delle notifiche previste dagli articoli 25 e 26 del Decreto Legislativo 4 settembre 2024, n. 138. La norma consente inoltre di designare uno o più sostituti, al fine di assicurare la continuità funzionale e di prevenire eventuali ritardi o interruzioni nella gestione delle comunicazioni verso l’Autorità.
Per garantire l’effettività del sistema, il referente e i suoi sostituti devono possedere competenze di base in materia di sicurezza informatica e di gestione degli incidenti, nonché una conoscenza adeguata dei sistemi informativi e delle infrastrutture dell’organizzazione di appartenenza.
Questa nuova previsione rafforza il presidio tecnico a supporto del punto di contatto, creando un canale dedicato di comunicazione e coordinamento operativo con il CSIRT nazionale.
Censimento e associazione delle utenze nel portale ACN
L’accesso al portale ACN – come noto – è subordinato a una rigorosa procedura di censimento e associazione delle utenze, che rappresenta la base dell’intero sistema di gestione digitale degli adempimenti dal decreto NIS 2. Tale procedura è finalizzata a garantire l’identificazione certa degli utenti e a stabilire un legame formale e tracciabile tra ciascun utente e il soggetto NIS di appartenenza.
L’autenticazione avviene mediante strumenti di identità digitale qualificata, quali SPID o CIE, assicurando così un elevato livello di garanzia nell’identificazione dell’utente. Una volta autenticato, l’utente è tenuto a completare la propria anagrafica, fornendo informazioni personali e professionali che comprendono, tra le altre, generalità, recapiti, sede di servizio e riferimenti dell’organizzazione di appartenenza. Si tratta di un passaggio essenziale per assicurare la tracciabilità di ogni attività svolta all’interno del portale ACN.
Completata la fase di censimento, il punto di contatto procede all’associazione della propria utenza con il soggetto NIS e, successivamente, può invitare altri utenti a operare sulla piattaforma con ruoli differenziati: sostituto punto di contatto, segreteria e operatori.
Questa articolazione dei profili consente di distribuire le funzioni operative all’interno dell’organizzazione, pur mantenendo la responsabilità ultima in capo al punto di contatto e agli organi di vertice. La procedura telematica di associazione, che si perfeziona attraverso conferme inviate al domicilio digitale del soggetto, costituisce un presidio di affidabilità e integrità del sistema.
Registrazione annuale e dichiarazioni obbligatorie
La registrazione sul portale ACN rappresenta l’antecedente logico fondamentale per la formalizzazione delle informazioni all’interno del portale ACN. L’articolo 11 della Determinazione disciplina in modo puntuale tale procedura, che si svolge annualmente nel periodo compreso tra il 1° gennaio e il 28 febbraio. In questa finestra temporale, il punto di contatto è tenuto a compilare e trasmettere la dichiarazione contenente le informazioni necessarie per l’inquadramento giuridico, economico e tecnico del soggetto NIS, secondo quanto previsto dal Decreto Legislativo 4 settembre 2024, n. 138.
La dichiarazione comprende dati relativi alla natura del soggetto, alla sua eventuale appartenenza a un gruppo di imprese e alle imprese collegate rilevanti ai fini dell’articolo 3, comma 10, del decreto NIS, oltre all’indicazione dei codici ATECO che descrivono l’attività esercitata.
Vengono inoltre richieste informazioni economiche, come i valori di bilancio, il fatturato e il numero di dipendenti, necessari per individuare la corretta dimensione d’impresa secondo la raccomandazione 2003/361/CE, nonché le normative settoriali e le tipologie di soggetto di riferimento previste dagli allegati I, II, III e IV del decreto. La procedura si conclude con una conferma formale da parte del punto di contatto, resa ai sensi del D.P.R. 28 dicembre 2000, n. 445, che attesta la veridicità delle informazioni trasmesse.
Tutte le comunicazioni relative alla registrazione avvengono esclusivamente tramite il portale ACN e sono notificate al domicilio digitale del soggetto NIS, assicurando così la piena tracciabilità e opponibilità delle dichiarazioni rese. L’Autorità nazionale competente può inoltre procedere a verifiche di coerenza, anche a campione, per accertare l’esattezza delle informazioni fornite.
Aggiornamento annuale e aggiornamento continuo delle informazioni sul portale ACN
La gestione dei dati trasmessi tramite il portale ACN, come noto, non si esaurisce con la registrazione iniziale. In coerenza con il Decreto Legislativo 4 settembre 2024, n. 138, la Determinazione in esame disciplina due ulteriori fasi procedurali: l’aggiornamento annuale e l’aggiornamento continuo. Si tratta di strumenti fondamentali per assicurare la costante attualità delle informazioni trasmesse, così da consentire all’Autorità nazionale competente di disporre di dati sempre coerenti e tempestivamente aggiornati, in un contesto normativo che richiede elevati standard di affidabilità e reattività.
L’aggiornamento annuale si svolge tra il 15 aprile e il 31 maggio di ogni anno e ha lo scopo di verificare la correttezza e l’adeguatezza dei dati già presenti nel sistema. In questa fase, il punto di contatto è tenuto ad assicurare l’esattezza delle informazioni relative all’organizzazione, ai recapiti ufficiali, ai rappresentanti legali e ai procuratori generali, nonché ai componenti degli organi di amministrazione e direttivi.
Viene inoltre verificata la correttezza dei dati tecnici relativi ai servizi offerti, agli spazi di indirizzamento IP, ai domini utilizzati e agli eventuali accordi di condivisione. Gli aggiornamenti sono confermati tramite il portale ACN e notificati al domicilio digitale del soggetto, a garanzia della piena tracciabilità dell’operazione.
L’aggiornamento continuo, invece, consente ai soggetti NIS di comunicare ogni variazione intervenuta nel corso dell’anno, dal completamento dell’aggiornamento annuale fino al 14 aprile dell’anno successivo.
Questo meccanismo garantisce che eventuali mutamenti significativi, come modifiche societarie, variazioni di contatti o cambiamenti nelle informazioni tecniche, siano immediatamente recepiti e registrati. Anche in questo caso, la conferma delle modifiche avviene per il tramite del punto di contatto, che ne attesta la veridicità ai sensi del D.P.R. 28 dicembre 2000, n. 445.
Verifiche, controlli e formazione dell’elenco dei soggetti NIS
La normativa attuativa del decreto NIS 2 disciplina con particolare attenzione anche i meccanismi di verifica e controllo da parte di Agenzia per la Cybersicurezza Nazionale e delle Autorità di settore. Tali verifiche hanno la finalità di assicurare che i dati trasmessi dai soggetti NIS siano coerenti, completi e conformi agli obblighi previsti dal Decreto Legislativo 4 settembre 2024, n. 138.
Le verifiche di coerenza possono essere svolte a campione e si inseriscono in un procedimento formalizzato che prevede termini stringenti per la conclusione. L’Autorità competente dispone di trenta giorni per comunicare l’esito della verifica, prorogabili una sola volta per ulteriori venti giorni in presenza di approfondimenti complessi. Nel corso dell’istruttoria, l’Autorità può richiedere integrazioni e chiarimenti, ai quali il soggetto NIS è tenuto a rispondere entro dieci giorni.
L’elaborazione dell’elenco dei soggetti NIS si fonda sulle informazioni validate attraverso le verifiche condotte dall’Autorità. Ai soggetti inseriti viene attribuito un codice identificativo univoco, destinato a facilitare le successive interlocuzioni e a consolidare il tracciamento delle comunicazioni.
Disposizioni finali e decorrenza degli obblighi introdotti dalla nuova Determinazione
La parte conclusiva della Determinazione n. 250916/2025 conferma la volontà di assicurare continuità operativa nell’utilizzo del portale ACN. L’articolo 21 stabilisce espressamente che il provvedimento aggiorna e sostituisce la precedente Determinazione n. 283727 del 22 luglio 2025, mantenendo immutata la struttura funzionale della piattaforma e delle procedure già in essere, ma integrandole con le previsioni relative alla figura del referente CSIRT e con un più articolato regime di aggiornamento e verifica delle informazioni trasmesse.
Questa impostazione consente ai soggetti NIS di operare in un contesto regolatorio già conosciuto, evitando interruzioni nei flussi comunicativi e garantendo una transizione ordinata verso le nuove disposizioni.
La nuova disciplina si applica a decorrere dal 30 settembre 2025, con la sola eccezione dell’articolo relativo all’aggiornamento continuo, la cui efficacia è differita alla pubblicazione del relativo servizio all’interno del portale ACN. Ciò permette di allineare la tempistica applicativa con la piena disponibilità tecnica dello strumento, evitando che obblighi giuridici precedano la funzionalità operativa necessaria per adempiervi.
Affidati a noi per un supporto legale qualificato nelle procedure gestite tramite il portale ACN e nei rapporti con l’Agenzia
La normativa di attuazione del decreto NIS 2 conferma il ruolo strategico del portale ACN come strumento unico e vincolante per la gestione degli adempimenti dei soggetti NIS. L’introduzione della figura del referente CSIRT rafforza ulteriormente la capacità operativa del sistema, affiancando al punto di contatto una funzione dedicata alla gestione degli incidenti informatici e alla comunicazione tempestiva con CSIRT Italia.
In questo quadro normativo e operativo, i soggetti NIS sono chiamati a organizzarsi in modo strutturato e consapevole, adottando procedure interne che consentano di adempiere correttamente e nei termini prescritti a tutti gli obblighi previsti.
Il nostro Studio Legale, grazie a una consolidata expertise dell’Avv. Luca D’Agostino in materia di sicurezza informatica, è a disposizione per assistere operatori pubblici e privati nell’attuazione degli obblighi connessi all’utilizzo del portale ACN.
Rivolgiti a noi per un primo confronto!
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.