Aggiornamenti NIS 2: nuova Determinazione di ACN in vigore dal 31 luglio 2025

Pubblicato il - 01/08/2025

DCP cybersicurezza, Normativa

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato in data 31 luglio 2025 la nuova Determinazione n. 283727, che sostituisce la precedente datata 10 aprile 2025. Il documento introduce importanti aggiornamenti relativi alla gestione delle informazioni dei soggetti NIS tramite il Portale dei Servizi, in attuazione dell’art. 7, comma 7 del D.lgs. 138/2024.

Le principali novità

  • Aggiornamento continuo

Oltre all’obbligo annuale già previsto, viene introdotto l’aggiornamento continuo delle informazioni in base al quale ogni modifica delle informazioni trasmesse ai sensi dei commi 4 e 5 dell’Articolo 7 D.lgs. n. 138/2024 deve essere comunicata tramite il Portale di ACN entro 14 giorni.

  • Maggiore estensione degli obblighi di comunicazione

Le responsabilità si estendono anche alle modifiche successive alla registrazione, tramite comunicazione al domicilio digitale registrato e ulteriori precisazioni sulla responsabilità penale circa le dichiarazioni rese.

  • Registrazione tardiva

La nuova Determinazione chiarisce anche i casi di registrazione tardiva dei soggetti NIS, specificando che il termine per completare l’aggiornamento annuale verrà comunicato di volta in volta da ACN.

  • Decorrenza e regime transitorio

La nuova Determinazione è in vigore dal 31 luglio 2025, ma l’applicazione dell’Articolo 17 (Processo per l’aggiornamento continuo delle informazioni) sarà differita al momento della pubblicazione della sezione sull’aggiornamento continuo sul Portale dei Servizi di ACN.

 

Il testo completo è disponibile sul sito ufficiale ACN e sarà pubblicato anche in Gazzetta Ufficiale.

 

Ricordiamo le Prossime Scadenze

  • Gennaio 2026 (o entro 9 mesi dall’iscrizione nell’elenco NIS): Diventerà obbligatorio notificare gli incidenti significativi. Questo significa che non sarà più possibile ignorare o gestire internamente eventi che abbiano un impatto sulla continuità operativa o sull’integrità dei dati.
  • Ottobre 2026 (o entro 18 mesi dall’iscrizione nell’elenco NIS): Tutte le misure minime dovranno essere operative. Questo segna la fine della fase attuativa iniziale e l’inizio di un processo continuo di sicurezza.

 

DCP ti supporta!

DCP può supportare le aziende nel processo di adeguamento agli obblighi previsti dal Decreto NIS e dall’Agenzia per la Cybersicurezza Nazionale.

Per avere ulteriori informazioni sugli adempimenti scrivi a