NIS2: la finestra annuale ACN per registrazione e aggiornamento. Cosa devono fare le organizzazioni obbligate

L'entrata in vigore del D.Lgs. 138/2024, che recepisce in Italia la Direttiva (UE) 2022/2555 (NIS2), ha profondamente modificato il sistema nazionale di cybersicurezza. Tra le principali novità introdotte dall'Autorità per la Cybersicurezza Nazionale (ACN) vi è la gestione di una finestra annuale dedicata alla registrazione e all'aggiornamento delle informazioni dei soggetti soggetti alla disciplina NIS2.

Non si tratta di una finestra di monitoraggio tecnico né di un periodo durante il quale inviare dati di telemetria o log all'ACN. La piattaforma ACN rappresenta invece il punto di riferimento attraverso cui i soggetti obbligati devono adempiere agli obblighi amministrativi previsti dalla normativa e mantenere aggiornate le informazioni richieste dall'Autorità.

Per responsabili IT, CISO, auditor, consulenti e compliance officer, comprendere il funzionamento della piattaforma ACN è oggi essenziale per evitare violazioni e garantire la conformità normativa.

Cos'è la finestra annuale ACN

L'ACN ha istituito una procedura annuale attraverso la quale i soggetti rientranti nel campo di applicazione della NIS2 devono:

  • registrarsi sulla piattaforma ACN;
  • confermare o aggiornare le informazioni già trasmesse;
  • indicare i punti di contatto previsti dalla normativa;
  • comunicare eventuali variazioni organizzative.

La registrazione costituisce il presupposto per l'applicazione degli obblighi previsti dal D.Lgs. 138/2024 e consente all'Autorità di individuare correttamente i soggetti essenziali e importanti.

Chi è interessato

Gli obblighi riguardano le organizzazioni pubbliche e private che operano nei settori individuati dalla Direttiva NIS2, tra cui:

  • energia;
  • trasporti;
  • settore bancario;
  • mercati finanziari;
  • sanità;
  • acqua potabile;
  • infrastrutture digitali;
  • fornitori di servizi digitali;
  • pubblica amministrazione centrale;
  • spazio.

L'ambito di applicazione dipende inoltre dalle dimensioni dell'organizzazione, dal settore di appartenenza e dagli specifici criteri previsti dal decreto.

L'ACN provvede successivamente alla classificazione delle organizzazioni come soggetti essenziali oppure soggetti importanti, con conseguente applicazione dei relativi obblighi.

Gli obblighi previsti dal D.Lgs. 138/2024

La registrazione rappresenta soltanto uno degli adempimenti richiesti.

Le organizzazioni devono inoltre adottare misure tecniche, organizzative e procedurali adeguate per la gestione del rischio cyber, tra cui:

  • politiche di sicurezza delle informazioni;
  • gestione degli incidenti;
  • business continuity e disaster recovery;
  • sicurezza della supply chain;
  • gestione delle vulnerabilità;
  • controllo degli accessi;
  • autenticazione multifattore ove appropriata;
  • formazione del personale;
  • procedure di gestione delle crisi.

Particolare rilievo assumono anche gli obblighi di notifica degli incidenti significativi, che prevedono comunicazioni all'ACN secondo le tempistiche stabilite dalla normativa e dalle Determinazioni dell'Autorità.

Cosa non prevede la normativa

Negli ultimi mesi sono circolate numerose interpretazioni imprecise.

È opportuno chiarire che la normativa non impone ai soggetti obbligati:

  • la trasmissione continua dei log all'ACN;
  • il collegamento permanente dei sistemi SIEM con l'Autorità;
  • l'installazione di agent di monitoraggio forniti dall'ACN;
  • un monitoraggio in tempo reale delle reti aziendali da parte dell'Autorità.

Le organizzazioni restano invece responsabili dell'implementazione di sistemi di monitoraggio interni adeguati alla propria esposizione al rischio, in conformità ai principi della gestione del rischio previsti dalla NIS2.

Il ruolo degli auditor

Per gli auditor ISO/IEC 27001 e per i consulenti di cybersecurity, la NIS2 rappresenta un importante elemento di valutazione.

Pur non sostituendo gli audit di certificazione, gli obblighi introdotti dal D.Lgs. 138/2024 richiedono una verifica della coerenza tra:

  • governance della sicurezza;
  • gestione dei rischi;
  • controlli tecnici;
  • continuità operativa;
  • gestione degli incidenti;
  • documentazione organizzativa.

Molti dei requisiti previsti dalla NIS2 risultano coerenti con i controlli della ISO/IEC 27001:2022, pur mantenendo finalità e modalità di vigilanza differenti.

Controlli e sanzioni

L'Autorità per la Cybersicurezza Nazionale esercita poteri di vigilanza sui soggetti obbligati e può richiedere documentazione, effettuare verifiche e adottare provvedimenti nei casi di mancata conformità.

Il D.Lgs. 138/2024 prevede un articolato sistema sanzionatorio che distingue tra soggetti essenziali e soggetti importanti, con importi che possono raggiungere diversi milioni di euro nei casi più gravi, oltre all'adozione di misure correttive e prescrizioni da parte dell'Autorità.

L'entità della sanzione dipende dalla natura della violazione e non dalla sola mancata registrazione sulla piattaforma ACN.

Come prepararsi

Le organizzazioni interessate dovrebbero:

  • verificare se rientrano nel campo di applicazione della NIS2;
  • predisporre la registrazione e gli aggiornamenti richiesti dall'ACN;
  • effettuare una gap analysis rispetto ai requisiti del D.Lgs. 138/2024;
  • aggiornare la governance della sicurezza;
  • definire procedure di incident reporting;
  • pianificare audit interni periodici;
  • integrare gli obblighi NIS2 con il Sistema di Gestione della Sicurezza delle Informazioni.

Conclusioni

La piattaforma ACN rappresenta uno degli strumenti attraverso cui prende forma il nuovo sistema nazionale di cybersicurezza introdotto dalla Direttiva NIS2.

Più che un semplice adempimento amministrativo, la registrazione costituisce il punto di ingresso in un quadro normativo che richiede una gestione strutturata dei rischi informatici, una governance matura della sicurezza e un miglioramento continuo delle misure di protezione.

Per le organizzazioni coinvolte, affrontare tempestivamente questi obblighi significa ridurre il rischio sanzionatorio, aumentare la resilienza operativa e rafforzare la fiducia di clienti, partner e autorità.