Magazine

NIS 2: il ruolo della PEC negli adempimenti indicati dall’ACN

20/06/2025

EnterprisePMIPubblica Amministrazione

Per fronteggiare le sempre più pericolose e sofisticate minacce cyber, l’UE ha introdotto la cd. “direttiva NIS 2” (n. 2022/2555), recepita dall’Italia con il “decreto NIS 2” (D.Lgs n. 138/2024), così da potenziare il quadro normativo in materia di sicurezza informatica, rendendolo più uniforme e coordinato tra gli Stati membri: l’intento è quello di elevare il livello della cybersecurity, abbattere le vulnerabilità e accrescere la resilienza delle infrastrutture critiche pubbliche e private (PA, energia, telecomunicazioni, trasporti, sanità, gestione dei servizi ICT B2B), grazie a un ampliamento della platea di soggetti coinvolti rispetto alla precedente NIS 1 e obblighi più stringenti, anche per imprese in precedenza non incluse. In questo scenario, anche alla luce della determinazione NIS 2 del Direttore generale dell’ACN (Agenzia per la cybersicurezza nazionale) del 14 aprile 2025, si prevede l’obbligo di effettuare via PEC le comunicazioni da e verso l’ACN da parte degli amministratori e dei C-Level, con l’integrazione obbligatoria, entro il 31 maggio 2025, da parte dei soggetti NIS 2 di alcune specifiche informazioni tramite il Portale ACN.

Le misure per un livello comune elevato di cibersicurezza in Italia e nell'UE

Il complesso quadro normativo introdotto dalla Dir. (UE) n. 2022/2555, “Network and Information Security” (NIS 2) - subentrata alla direttiva “NIS 1” n. 2016/1148 - e recepito in Italia dal D.Lgs. 4 settembre 2024, n. 138 (“decreto NIS 2”), impone agli Stati membri di rafforzare le loro capacità in materia di cybersicurezza, richiedendo alle organizzazioni di adottare misure più severe per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti e notificare gli incidenti.

In questo contesto, la PEC assume un ruolo molto importante, ulteriormente confermato e precisato dalle determinazioni dell’Agenzia per la Cybersicurezza Nazionale.

Molti gli obblighi previsti, a cominciare da quello di registrazione alla piattaforma NIS nel periodo compreso tra il 1° dicembre 2024 e il 28 febbraio 2025, incombente sulle migliaia di soggetti pubblici e privati a cui si applica la normativa NIS 2 (i soggetti NIS direttamente tenuti al rispetto della normativa corrispondono a circa 20.000 organizzazioni, dei quali oltre 5.000 sono “soggetti essenziali”). Un ambito in cui i servizi trust Aruba confermano la loro utilità.

Le determinazioni dell’ACN: dal “punto di contatto” agli “obblighi di base”

Di recente, nel corso del mese di aprile 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha diramato tre importanti determinazioni, indirizzate a enti pubblici, aziende strategiche e operatori di servizi essenziali e importanti, che precisano, dal punto di vista operativo, gli obblighi su di essi incombenti in base a quanto previsto dalla direttiva NIS 2, così come recepita dal decreto NIS 2:

determinazione n. 136117/2025 (gestione della piattaforma NIS e aggiornamento delle informazioni);
determinazione n. 136118/2025 (accordi volontari di condivisione delle informazioni);
determinazione n. 164179/2025 (misure di sicurezza e notifica incidenti).

Sul sito dell’ACN è possibile avere una panoramica del quadro normativo e dei principali provvedimenti attuativi (D.Lgs. n. 138/2024).
Da questo complesso di disposizioni, possiamo trarre un primo calendario minimo delle scadenze per le organizzazioni (aziende incluse):

entro il 28 febbraio 2025, registrazione sulla piattaforma ACN;
obbligatoria a partire dal 1° gennaio 2026, notifica degli incidenti;
da completare entro il 1° ottobre 2026, implementazione delle misure di sicurezza.

Le soluzioni di ARUBA per l’adeguamento a NIS 2: dai trust services al cloud e alla crittografia

Per lo svolgimento degli adempimenti discendenti dall’adeguamento alla normativa NIS 2, Aruba si presenta quale partner ideale per le organizzazioni, mettendo in campo una serie di servizi agili e sicuri, che rispondono pienamente alle richieste del legislatore, sia europeo, che italiano.
Si va dalle soluzioni di Aruba cloud, flessibili e sicure, oltre che conformi alla normativa (capaci di ospitare i servizi digitali e i dati delle Pubbliche Amministrazioni, fino al livello strategico, con una Infrastruttura cloud qualificata da ACN al livello AI3), supportate da servizi di consulenza personalizzati, passando per i trust Services di Aruba, in grado di assicurare autenticità, integrità e tracciabilità delle comunicazioni, garantendo la protezione dai cyberattacchi e la conservazione dati (Aruba PEC, Firma digitale, conservazione digitale a norma con archiviazione sicura e di lungo periodo; Certified Platform), per arrivare alle soluzioni di crittografia all’avanguardia, offerte da Actalis e in linea per la conformità a NIS 2 (certificati SSL, certificati Code Signing, certificati S/MIME, QWAC).

La determinazione 10 aprile 2025, n. 136117

La determinazione n. 136117/2025, in via generale, riguarda l’aggiornamento delle informazioni che devono essere fornite dai soggetti NIS entro il 31 maggio 2025, illustrando le modalità di interazione con la piattaforma digitale NIS. Sotto tale profilo, prevede:

entro il 31 maggio 2025, l’obbligo di designare un “punto di contatto” e un “sostituto punto di contatto”, con competenze in sicurezza;
l’aggiornamento annuale (15 aprile - 31 maggio) dei dati critici, come IP, domini, Paesi UE serviti, responsabili interni;
la trasmissione dell’elenco degli accordi informativi in formato strutturato.

In altre parole, dunque, entro il 31 maggio 2025, i soggetti NIS devono:

designare il sostituto punto di contatto;
fornire e aggiornare le informazioni previste dall’art. 7, commi 4 e 5, del decreto NIS.

In particolare, devono segnalare all’ACN i componenti degli organi di amministrazione e direttivi, gli indirizzi IP (pubblici e statici), insieme ai nomi di dominio, in uso o nella disponibilità del soggetto.
Come precisato dall’art. 4 della determinazione, “Il punto di contatto è una persona fisica designata dal soggetto NIS con il compito di curare l'attuazione delle disposizioni del decreto NIS per conto del soggetto stesso. In particolare, il punto di contatto accede al Portale ACN e ai Servizi NIS, effettua, per conto del soggetto, la registrazione di cui all’articolo 7 del decreto NIS, e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS …”.
Secondo il successivo art. 5, “Il sostituto punto di contatto è una persona fisica, distinta dal punto di contatto, designato con le medesime modalità di quest’ultimo ai sensi dell’articolo 4 a cui si applicano le previsioni del citato articolo” (comma 1).
Il sostituto punto di contatto supporta il punto di contatto nell’esercizio delle proprie funzioni, può interloquire direttamente con l’Autorità nazionale competente NIS e può effettuare sulla piattaforma digitale le medesime azioni del punto di contatto, ad eccezione della registrazione di cui all’art. 7 del decreto NIS (comma 2).
Il sostituto punto di contatto è designato entro il 31 maggio dell’anno in cui il soggetto NIS ha ricevuto comunicazione di inserimento nell’elenco dei soggetti NIS (comma 3).
Per agevolare le attività, “Al punto di contatto è data facoltà di invitare ulteriori utenti con il ruolo di operatore e, al più, un utente con il ruolo di segreteria” (art. 9 - Associazione delle utenze al soggetto NIS).
Per maggiori informazioni sui dati da comunicare per l’aggiornamento, si rinvia alle FAQ pubblicate in proposito dall’ACN.
Ai sensi dell’art. 7 (Censimento degli utenti) della determinazione n. 136117/2025, gli utenti si devono autenticare sul Portale ACN tramite le proprie credenziali personali del Sistema Pubblico di Identità Digitale (SPID), completando la propria anagrafica con le seguenti informazioni, se non già condivise tramite SPID:

nome e cognome;
codice fiscale;
luogo e data di nascita;
cittadinanza;
Paese di residenza e, ove richiesto, di domicilio;
indirizzo della sede prevalente di servizio, aziendale o professionale;
indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, aziendale o professionale;
ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, nonché di servizio, aziendale o professionale;
numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o professionale;
ove disponibile, un numero alternativo di telefono, preferibilmente individuale di servizio, aziendale o professionale;
denominazione e codice fiscale dell’organizzazione di appartenenza prevalente.

Proseguendo, sempre la determinazione n. 136117/2025:

all’art. 15 (Processo per l’aggiornamento delle informazioni), prevede che, dal 15 aprile al 31 maggio 2025, gli utenti debbano aggiornare, tramite il Servizio NIS/Aggiornamento annuale, le informazioni per conto del soggetto per cui operano, assicurandone la correttezza (comma 1). I commi 2 e 3, specificano, i “controlli” sulla correttezza e sull’aggiornamento dei dati incombenti, per tutti i soggetti NIS, sul punto di contatto e sul sostituto punto di contatto;
all’art. 16 (Elencazione degli organi di amministrazione e direttivi), stabilisce che gli utenti - ai fini dell’art. 15, comma 3, lett. b), tramite il Servizio NIS/Aggiornamento annuale - devono elencare i codici fiscali delle persone fisiche che compongono gli organi di amministrazione e direttivi, indicandone l’indirizzo di posta elettronica certificata (CF e PEC dovranno essere confermati, accedendo al Portale ACN).

La determinazione 10 aprile 2025, n. 136118

La determinazione n. 136118/2025 (“Notifica degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all'articolo 17 del decreto NIS”) prescrive le modalità con cui i soggetti essenziali e i soggetti importanti notificano all’Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica.
In pratica, la determinazione introduce la possibilità di sottoscrivere accordi per la condivisione di informazioni su sicurezza, vulnerabilità e buone pratiche.
In merito, si segnala che:

tali accordi devono essere notificati entro 14 giorni dalla sottoscrizione, modifica o cessazione;
entro il 31 maggio 2026, dovranno essere notificati anche gli accordi preesistenti;
si prevede la conferma annuale degli accordi attivi (periodo 15 aprile - 31 maggio).

La determinazione 14 aprile 2025, n. 164179

Con la determinazione n. 164179/2025 (Misure di sicurezza e notifica incidenti), l’Agenzia per la Cybersicurezza Nazionale (ACN) ha introdotto una serie obblighi di base - cioè una serie di misure e adempimenti minimi - che i soggetti principali del decreto NIS 2 devono adottare, per l’adempimento degli obblighi di sicurezza di base e di notifica degli incidenti.
Basato sul “Framework Nazionale per la Cybersecurity e la Data Protection” (edizione 2025), realizzato dal Centro di ricerca CIS della Sapienza, dal Cybersecurity National Lab del CINI e dall’ACN stessa, il documento tecnico mira a chiarire quali siano in concreto le misure che devono essere adottate, per garantire la sicurezza dei propri sistemi informativi, da parte dei soggetti NIS (cioè i soggetti di cui all’articolo 2, comma 1, lettera hhh), del decreto NIS, di natura giuridica pubblica o privata che rientrano nell’ambito di applicazione del decreto NIS), a seconda che siano definiti dalla stessa determinazione come, rispettivamente, “soggetti essenziali” o “soggetti importanti”.
Sotto tale profilo, dunque, la determinazione n. 164179/2025 stabilisce i requisiti minimi di sicurezza e i criteri per la notifica di incidenti, prevedendo, in particolare:

l’introduzione di misure tecniche e organizzative basate sul Framework Nazionale per la Cybersecurity e la Data Protection 2025;
le specifiche soglie per la notifica degli incidenti (in particolare, per gli “operatori telco”);
l’adozione, entro 18 mesi, delle misure di sicurezza di base e il recepimento degli obblighi di notifica entro 9 mesi.

In merito, ai sensi dell’art. 2, comma 2, della determinazione:
“Le misure di sicurezza di base, a carico degli organi di amministrazione e direttivi e in materia di misure di gestione dei rischi per la sicurezza informatica, sono stabiliti:

per i soggetti importanti, nell’allegato 1;
per i soggetti essenziali, nell’allegato 2”.

Soggetti essenziali e soggetti importanti
Dando attuazione alla Dir. (UE) n. 2022/2555 “NIS 2”, il D.Lgs. 4 settembre 2024, n. 138 (decreto NIS 2), stabilisce due criteri, da considerare congiuntamente, per potere determinare se un’organizzazione (soggetto pubblico o privato) rientri nell’ambito di applicazione della normativa:

un criterio settoriale e
un criterio dimensionale.

CRITERIO SETTORIALE
In base al criterio settoriale, vengono individuati alcuni settori critici, che devono essere adeguatamente protetti dal punto di vista della cybersicurezza, così come definiti da due Allegati (I e II) al D.Lgs. 4 settembre 2024, n. 138:

Allegato I, individua i settori ad alta criticità, per i quali una perturbazione del servizio a seguito di incidente informatico potrebbe determinare conseguenze “gravi”. Vi troviamo i settori: energia, trasporti (aereo, ferroviario, gomma, vie d’acqua, autorità stradali e gestori di sistemi di traffico intelligenti), bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TlC (business-to-business), Pubblica Amministrazione, spazio;
Allegato II, individua i settori critici, per cui una perturbazione del servizio a seguito di incidente informatico potrebbe determinare conseguenze “rilevanti”. Vi troviamo i settori: gestione dei rifiuti; servizi postali e di corriere; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione degli alimenti; fabbricazione di dispositivi medici; fabbricazione di computer e prodotti di elettronica; fabbricazione di apparecchiature elettriche; fabbricazione di macchinari e apparecchiature n.c.a.; fabbricazione di autoveicoli, rimorchi e semirimorchi; fabbricazione di altri mezzi di trasporto; fornitori di servizi digitali (di mercati online, di motori di ricerca online e di piattaforme social network); ricerca (organizzazioni di ricerca).

Gli Allegati III e IV indicano le Pubbliche Amministrazioni tenute al rispetto della normativa.

CRITERIO DIMENSIONALE
In base al criterio dimensionale, le organizzazioni private che devono rispettare il D.Lgs. 4 settembre 2024, n. 138 (decreto NIS 2), sono distinte in:

soggetti essenziali e
soggetti importanti.

Sono comprese tra i soggetti essenziali tutte le grandi imprese che rientrano nel criterio settoriale e che superano i massimali per le medie imprese, che:

impiegano oltre 250 dipendenti;
hanno un fatturato di oltre 50 milioni di euro oppure un totale di bilancio annuo di oltre 43 milioni di euro.

Per particolari settori, il soggetto è considerato “essenziale” a prescindere dalla dimensione, considerata la criticità dell’attività svolta.

Esempio
I fornitori di servizi fiduciari qualificati, di registri dei nomi a dominio di primo livello o prestatori di servizi DNS.

Rientrano tra i soggetti importanti gli altri soggetti obbligati al rispetto della normativa, che ricadono nel criterio settoriale e configurano media impresa, che:

impiegano oltre 50 dipendenti;
hanno un fatturato di oltre 10 milioni di euro oppure un totale di bilancio annuo di oltre 10 milioni di euro.

Per taluni particolari settori, il soggetto è considerato “importante” a prescindere dalla dimensione, per la criticità dell’attività svolta (nel caso in cui sia l’unico fornitore nello Stato membro di un servizio essenziale o una perturbazione del servizio fornito determini un impatto significativo per la sicurezza pubblica o transfrontaliero).

La distinzione tra soggetti essenziali e soggetti importanti è utile ai fini dell’applicazione proporzionale degli obblighi previsti dalla direttiva NIS 2, nonché dell’esercizio dei poteri ispettivi e sanzionatori spettanti all’Autorità nazionale competente in materia di “Network and Information Security” (in Italia, è l’Agenzia per la Cybersicurezza Nazionale, ACN).
In fase di prima applicazione del decreto NIS, i soggetti importanti sono tenuti ad adottare le misure di sicurezza riportate nell’Allegato 1 alla determinazione n. 164179/2025, mentre i soggetti essenziali sono tenuti ad adottare le misure di sicurezza riportate nell’Allegato 2 alla medesima determina.

L’art. 3 (Termini per l’adozione delle specifiche di base) della determinazione n. 164179/2025 fissa:

in 18 mesi dalla ricezione, da parte del soggetto NIS della comunicazione di inserimento nell’elenco dei soggetti NIS, il termine per l’adozione delle misure di sicurezza di base di cui agli Allegati 1 e 2;
in 9 mesi dalla ricezione, da parte del soggetto NIS, della comunicazione di inserimento nell’elenco dei soggetti NIS, il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base descritti negli Allegati 3 e 4.

L’art. 4 (Sicurezza, stabilità e resilienza dei sistemi di nomi di dominio) stabilisce che:

fermo restando quanto previsto dall’art. 29 del decreto NIS, entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio devono adeguarsi alle previsioni di cui al predetto articolo, commi 1 e 2, nonché devono adottare e rendere pubbliche le politiche e le procedure di cui al comma 3 del medesimo art. 29 (comma 1);
ai sensi dell’art. 32, comma 3, i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio devono adottare politiche al fine di assicurare un livello di sicurezza informatica coerente con le specifiche di cui all’Allegato 1 (comma 3).

L’art. 5 (Obblighi di notifica per i soggetti PSNC-NIS) stabilisce che:

fermo restando quanto previsto dall’art. 33 del decreto NIS, i soggetti PSNC-NIS devono notificare gli incidenti significativi di base di cui all’Allegato 4, ai sensi dell’art. 25 del decreto NIS, limitatamente ai sistemi informativi e di rete diversi da quelli PSNC (comma 1);
il termine per l’obbligo di cui al comma 1 decorre dalla data di entrata in vigore della determinazione, cioè dal 15 aprile (comma 2).

pec

Articoli recenti

PMIPrivatiProfessionisti

Trasferisci i tuoi file con Aruba Drive

La condivisione di file è un elemento cruciale per chi gestisce documenti voluminosi e sensibili. Dai progetti creativi ai report aziendali, l'invio di file richiede strumenti affidabili che offrano non solo sicurezza, ma anche controllo e flessibilità.

EnterprisePMI

Online Brand Protection: strategie efficaci per salvaguardare il tuo marchio

La brand protection online è un aspetto fondamentale per qualunque azienda che operi nel mondo digitale. Si tratta di un insieme di strategie e strumenti volti a proteggere il valore e l'integrità del marchio su internet.

EnterprisePMIPubblica Amministrazione

NIS 2: il ruolo della PEC negli adempimenti indicati dall’ACN

EnterprisePartnerPMIPubblica Amministrazione

Aruba nella Gartner Market Guide: il ruolo dei Regional Cloud Provider

Le Gartner Market Guide, con la visione strategica che offrono sui principali attori e trend emergenti, sono tra i report di riferimento nel settore IT

PMIPrivati

PEC per e-commerce: vantaggi per chi vende online

La Posta Elettronica Certificata (PEC) è un alleato fondamentale per chi gestisce un e-commerce perché garantisce comunicazioni con valore legale, proteggendo l'azienda da rischi legali e assicurando la conformità normativa.

Articoli più letti

EnterprisePubblica Amministrazione

NIS 2: Scadenze imminenti e nuove responsabilità

L’applicazione della direttiva NIS 2 (Network and Information Security Directive) segna un’evoluzione significativa nel quadro normativo europeo per la sicurezza informatica.

PMIProfessionisti

Le scadenze fiscali del 2025

Entro il 31 marzo 2025, i contribuenti che hanno aderito al concordato preventivo biennale entro il 12 dicembre 2024 possono sanare le irregolarità dichiarative afferenti agli anni 2018-2022, versando un’imposta sostitutiva delle imposte sui redditi e relative addizionali e dell’IRAP.

EnterprisePMI

Normativa RENTRI: obblighi, scadenze e strumenti digitali necessari per l’adeguamento

Il Registro Elettronico Nazionale per la Tracciabilità dei Rifiuti (RENTRI) sta rivoluzionando la gestione dei rifiuti in Italia.

Aruba e Microsoft Italia: la risposta alle aziende italiane che vogliono un servizio su infrastruttura dedicata e italiana

In un panorama digitale in costante evoluzione, Aruba e Microsoft Italia uniscono le forze per offrire un servizio cloud innovativo ed efficiente alle aziende italiane.

PrivatiProfessionisti

Aruba Fibra: qualità, convenienza e ti premia con l'iniziativa "Porta un amico"

Aruba Fibra: brand N.1 per rapporto qualità-prezzo in Italia per il 2024 e 2025

Hosting e domini

PEC e Trust Services

Connettività

Cloud

Server e colocation

Altri servizi

Aruba Business

Certificati SSL Actalis

Microsoft 365

Pratiche.it

SMS