Vademecum

per l’integrazione

dei dati NIS 2

Queste note sono estratte:


Art. 7:

Obblighi informativi e registrazione

Comma 4:

entro il 31 maggio  di ogni anno, i soggetti essenziali e i soggetti importanti comunicano all’ACN

  • a) eventuali variazioni dei dati forniti ai sensi del comma 1;
  • b) l’elenco aggiornato degli indirizzi IP pubblici e dei nomi di dominio in uso o nella loro disponibilità;
  • c) l’elenco aggiornato delle persone fisiche responsabili della violazione degli obblighi di cui al presente decreto, ai sensi dell’articolo 38, comma 5.


Comma 5:

i soggetti stabiliti nel territorio nazionale, che forniscono servizi rientranti nell’ambito di applicazione della direttiva (UE) 2022/2555 in più di uno Stato membro, indicano altresì:

  • a) l’elenco dei servizi offerti nei diversi Stati membri dell’Unione europea;
  • b) l’elenco delle sedi presenti nei diversi Stati membri dell’Unione europea.
Scarica l'integrazione

  • 1. Competenze e caratteristiche

    • Il Punto di Contatto NIS ha il compito di curare l’attuazione delle disposizioni della normativa NIS per conto dell’organizzazione a partire dalla registrazione e di relazionarsi con l’Autorità nazionale competente NIS (ACN).
    • Il Punto di Contatto NIS riferisce ai vertici aziendali dell’organizzazione (organi amministrativi e direttivi), ovvero CDA e AD (e/o assimilabili) che hanno la responsabilità di eventuali violazioni (ex. art. 38, d.lgs. n. 138/2024).
    • Il Punto di Contatto NIS non ha la responsabilità degli adempimenti previsti, ma ne deve curare l’attuazione per conto dei vertici aziendali (ex art. 4, comma 1, Determinazione ACN 38565/2024).
    • La normativa NIS2 non indica specifiche competenze e caratteristiche del Punto di Contatto NIS che non ha necessità di avere particolari conoscenze di informatica o cyber security. E’ consigliabile che abbia competenze gestionali, capacità di comunicazione e una buona conoscenza dell’organizzazione.
    • Il Punto di Contatto NIS ha la facoltà di avvalersi, senza delegare la propria funzione, del supporto di competenze esterne (articolo 3, comma 2, della Determinazione ACN 38565/2024). Nelle successive fasi attuative, sarà data la facoltà di designare ulteriore personale che potranno supportare il Punto di Contatto NIS e operare sul portale ai fini degli adempimenti NIS.

  • 2. Come designarlo

    • Il Punto di Contatto NIS è il rappresentante legale o un suo procuratore generale oppure un dipendente delegato del soggetto.
    • In quest’ultimo caso, nel corso della registrazione, dovrà caricare il titolo giuridico che lo delega a operare per conto dell’organizzazione. È sufficiente una delega del rappresentante legale che può essere ad hoc (vedi Modello Delega) o anche una delega preesistente più ampia.
    • I soggetti che fanno parte di un gruppo di imprese possono designare il dipendente di un'altra impresa che rientra nell’ambito NIS e che fa parte del medesimo gruppo. Qualora la stessa persona fisica sia designata per tutti o una parte dei soggetti NIS del gruppo, occorrerà ripetere la fase di associazione e registrazione per ogni soggetto NIS. 
    • Per le pubbliche amministrazioni è possibile designare il dipendente di un’altra PA che rientra nell’ambito di applicazione della normativa NIS. Qualora la stessa persona fisica sia designata per più PA, occorrerà ripetere la fase di associazione e registrazione per ogni soggetto NIS.

  • 3. Registrazione: informazioni utili

    • Il link per accedere alla piattaforma è: www.acn.gov.it/portale/nis/registrazione  
    • L’ACN (agenzia per la cybersicurezza nazionale) è l’autorità competente NIS ed è l’organismo competente per la registrazione dell’organizzazione secondo il d.lgs. 138/2024 (decreto NIS).
    • La registrazione è prevista dall’articolo 7 del decreto NIS e le modalità, termini e procedimenti sono definiti dalla Determinazione 38565/2024
    • Il Punto di Contatto NIS deve accedere al portale digitale www.acn.gov.it per registrare l’organizzazione. 
    • La registrazione andrà rinnovata annualmente, oppure in caso di variazione della persona nominata come Punto di Contatto NIS o di cambiamenti significativi che possano modificare l’applicabilità della normativa NIS all’organizzazione.


  • 4. Sostituto del Punto di contatto NIS

    • Il Sostituto punto di contatto è una persona fisica designata con le medesime modalità del Punto di contatto ai sensi dell’art. 4 e art. 5 della Determina 136117. 
    • Il Sostituto punto di contatto supporta il Punto di contatto nell’esercizio delle proprie funzioni, può interloquire direttamente con l’Autorità nazionale competente NIS e può effettuare sul Portale NIS/Aggiornamento annuale le medesime azioni del Punto di contatto, ad eccezione della registrazione di cui all’articolo 7 del decreto NIS.
    • FAQ PDC.4 Designazione del Sostituto. 
    1. Il sostituto punto di contatto viene invitato dal punto di contatto, il quale dovrà indicare il codice fiscale e un indirizzo email della persona fisica che è stata designata dal rappresentante legale per svolgere tale funzione. 
    2. Verranno inviate una e-mail PEC al domicilio digitale dell’organizzazione per validare l’associazione del Sostituto punto di Contatto e una e-mail al sostituto punto di contatto per procedere con il primo accesso al Portale Servizi tramite SPID o accesso con credenziali. Al termine del processo, il Sostituto punto di contatto dovrà accedere alla pagina “Lista inviti” (contenente la lista degli inviti ricevuti ancora in stato “da validare”) e confermare la designazione ricevuta.
    • Note
    1. Si può usare lo stesso modello di nomina usato per nominare il Punto di Contatto NIS.
    2. Sarebbe opportuno che il Punto di contatto e il sostituto attivino una PEC personale.

Segretaria NIS

  • La Segretaria è una persona fisica che svolge funzioni di supporto al Punto di contatto e al Sostituto punto di contatto per promuovere l’efficace interlocuzione con l’Autorità Nazionale Competente NIS.
  • Può visualizzare e aggiornare le informazioni richieste, ma non può effettuare comunicazioni formali inerenti il perfezionamento degli adempimenti NIS.
  • La designazione della Segretaria non è obbligatoria, ma la volontà di non nominarla deve essere manifestata esplicitamente.


FAQ RR.1 Designazione della Segretaria

  1. Il Punto di contatto (o il Sostituto) dovrà indicare la persona fisica che svolgerà tale ruolo indicandone codice fiscale e indirizzo email. Verrà inviata una e-mail all’indirizzo digitale fornito nel Portale Servizi per notificare l’avvenuta designazione. All’interno della e-mail sarà presente un link (con validità pari a 7 giorni), tramite il quale sarà possibile avviare il processo di associazione, previa registrazione della Segretaria sul Portale Servizi tramite SPID o accesso con credenziali.
  2. Al termine del processo, nella homepage del Portale Servizi, la Segretaria dovrà accedere alla pagina “Lista inviti” (contenente la lista degli inviti ricevuti ancora in stato “da validare”) e confermare la designazione ricevuta. L’associazione della Segretaria all’organizzazione designante avverrà automaticamente, senza necessità di caricare ulteriore documentazione.

Indirizzi IP pubblici e nomi di dominio

  • Indirizzi IP pubblici: “spazio di indirizzamento IP pubblico in uso o nella disponibilità del soggetto NIS”, gli indirizzi IP pubblici e statici che un soggetto NIS utilizza o ha nella propria disponibilità in forza di contratti o accordi con fornitori di servizi Internet (ISP), Registri Internet Regionali o altre organizzazioni deputate alla fornitura di indirizzi IP sulla base delle normative e degli accordi nazionali, europei e internazionali vigenti.
  • Nomi di dominio: “nomi di dominio in uso o nella disponibilità del soggetto NIS”, i nomi di dominio che un soggetto NIS utilizza o ha nella propria disponibilità in forza di contratti o accordi con fornitori di servizi di registrazione di nomi di dominio o altre organizzazioni deputate alla fornitura di nomi di dominio sulla base delle normative e degli accordi nazionali, europei e internazionali vigenti.

Accordi di condivisione

  • Gli accordi di condivisione delle informazioni sulla sicurezza informatica, di cui all’articolo 17, comma 2, del decreto NIS, sono intese volontarie tra soggetti pubblici e/o privati che operano in settori rilevanti per la cybersicurezza, finalizzate a migliorare la capacità collettiva di prevenire, rilevare, rispondere e mitigare incidenti di sicurezza informatica.


  • Note: la maggior parte delle aziende che non operano nel settore ICT non dovrebbero aver sviluppato accordi di condivisione. Per cui è possibile dichiarare che non ce ne siano.

  • 1. Elenco dei servizi offerti nella UE

    • FAQ EDS.2 e EDS.3 Servizi offerti nell’UE
    1. Il soggetto NIS deve elencare tutti i servizi che rientrano nell’ambito di applicazione della direttiva 2022/2555 (ovvero tutti i servizi riconducibili alle tipologie di soggetto di cui agli allegati I,II, III e IV) e in quali Stati membri (inclusa l’Italia) sono erogati.
    2. L’obbligo di aggiornamento annuale deve essere assolto da ogni persona giuridica distintamente, anche se parte del medesimo gruppo. Pertanto, ove applicabile, il singolo soggetto NIS dovrà fornire l’elenco dei servizi che rientrano nell’ambito di applicazione della direttiva 2022/2555 che tale soggetto offre nell’UE indicando in quali Stati membri, ai sensi dell'art. 15, comma 3, lettera c) della Determinazione 136117/2025.
    • Note: Nel caso di Gruppi di Aziende, l’elenco dei servizi deve essere fatto per ciascuna società che è stata identificata come soggetto essenziale o importante NIS.

  • 2. Elenco sedi nella UE

    • FAQ SIT.1 Quali organizzazioni devono elencare le proprie sedi nell’UE?
    1. Devono fornire l'elenco delle sedi quei soggetti NIS (persone giuridiche) che sono stabiliti sul territorio nazionali (sede principale) e che svolgono attività ritenute “inerentemente transfrontaliere” elencate dall’articolo 7, comma 5, del decreto NIS: i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network.
    • Note: Un’azienda che offre alle altre aziende di un gruppo servizi gestiti e servizi di data center dovrebbe elencare le proprie sedi estere, se presenti.

Responsabili delle violazioni 

FAQ ODA.1 Cosa si intende per organi di amministrazione e organi direttivi?

Con la locuzione “organi di amministrazione” e “organi direttivi” ci si riferisce a quegli organi che detengono il potere di direzione dell’Organizzazione, incluso, ove presente, il Consiglio di amministrazione dell’organizzazione (cfr. articolo 1, comma 1, lettera e) della Determinazione ACN 136117/2025).


FAQ ODA.2 Quali sono le persone fisiche da elencare?

  • Le persone fisiche che devono essere elencate ai sensi dell’art. 7, comma 4, lettera c) del decreto NIS sono le persone fisiche responsabili ai sensi dell’art. 38, comma 5. In altri termini si tratta delle persone fisiche che compongono gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti.
  • Ai fini dell’aggiornamento annuale è richiesta la sola l’elencazione dei componenti del Consiglio di amministrazione dell’organizzazione, o strutture analoghe tenuto conto della natura giuridica e alla struttura organizzativa dell’organizzazione. Essi, infatti, ai sensi dell’articolo 23, sovrintendono all’implementazione degli obblighi di cui al decreto NIS e sono responsabili delle eventuali violazioni.


Note:

Suggeriamo di creare una PEC per ogni persona fisica (dato necessario durante la registrazione), anche in considerazione dell’obbligo di iscrizione nel Registro Imprese (entro il 30/06/2025) della PEC degli amministratori di imprese costituite in forma societaria (Art. 1, comma 860, L. 207/2024, modificando l’articolo 5, comma 1, D.L. 179/2012).


FAQ ODA.3 I dirigenti rientrano tra i componenti degli organi di amministrazione e direttivi?

  • I dirigenti che non fanno parte del Consiglio di amministrazione (o altro organo analogo) non sono considerati componenti degli organi di amministrazione e direttivi.
  • A fini dell’adempimento non devono essere comunicate le persone fisiche che svolgono le funzioni di punto di contatto (e sostituto), di CISO o di responsabile della sicurezza aziendale, né altre figure apicali sotto ordinate al CDA, salvo che essi siano anche componenti del CDA.


FAQ ODA.4 e ODA.5 E’ necessario elencare tutti i membri?

  • Nelle organizzazioni in cui è previsto un Consiglio di amministrazione è necessario elencarne tutti i membri quali componenti degli organdi di amministrazione e direttivi.
  • Nelle organizzazioni in cui il CDA è monocratico, è necessario indicare la persona fisica che ricopre tale ruolo.
  • Nelle organizzazioni in cui non è previsto un CDA, è necessario individuare l’organo che svolge le analoghe funzioni ed elencarne i membri quali componenti degli organdi di amministrazione e direttivi. In ogni caso, il rappresentante legale è considerato tra i componenti degli organi di amministrazione e direttivi.

Disclaimer

  • Il presente vademecum è fornito a titolo gratuito e ha scopo puramente indicativo e informativo.
  • Il vademecum non costituisce una consulenza legale, tecnica o amministrativa e non può in alcun modo essere utilizzato come base per l’adozione di decisioni aziendali, strategiche o operative relative all’applicazione della Direttiva NIS2 o di qualsiasi normativa vigente.
  • L’utente riconosce e accetta che l’utilizzo del vademecum avviene sotto la propria esclusiva responsabilità. Costlab non garantisce l’accuratezza, l’aggiornamento o la completezza delle informazioni e non potrà essere ritenuta responsabile per eventuali errori, omissioni o interpretazioni errate.
  • L’utente esonera espressamente Costlab, i suoi rappresentanti, collaboratori, consulenti e partner da qualsiasi responsabilità per danni diretti, indiretti, consequenziali o di qualsiasi altra natura, derivanti dall’uso, dall’interpretazione o dall’affidamento riposto sul vademecum.
  • In caso di dubbi in relazione alla Direttiva NIS2 e ai relativi obblighi normativi, vi raccomandiamo di rivolgervi ad un consulente qualificato o alle autorità competenti.

Imprevisti?

Rischi da prevenire?

Come incrementare la resilienza?

Raccontateci le vostre esigenze

Contattaci