18 Apr Determinazioni attuative dell’ACN al d.lgs 138/2024: obblighi procedurali, responsabilità apicali e convergenze sistemiche con il GDPR

Autori: Francesco Capparelli, Giulia Finocchiaro

In data 14 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale ha adottato tre determinazioni – n. 136117, n. 136118 e n. 164179 – recanti disposizioni attuative del Decreto Legislativo 4 settembre 2024, n. 138, con cui l’ordinamento italiano ha recepito la Direttiva (UE) 2022/2555, nota come Direttiva NIS2. Tali provvedimenti delineano un articolato sistema di adempimenti giuridici e operativi a carico dei soggetti classificati come “essenziali” e “importanti”, imponendo un’architettura di conformità che si fonda sulla tracciabilità procedurale, sulla precisione degli obblighi informativi e sulla diretta imputabilità delle responsabilità agli organi di vertice delle entità coinvolte.

Le determinazioni dell’ACN e gli obblighi dei soggetti NIS2

La determinazione n. 136117 definisce puntualmente l’utilizzo obbligatorio della piattaforma digitale dell’Agenzia quale unico canale istituzionale per l’interazione tra i soggetti destinatari degli obblighi e l’autorità competente. In tale contesto, ogni soggetto NIS è tenuto a procedere alla formale designazione del Punto di Contatto e del suo sostituto, figure che dovranno essere associate all’organizzazione mediante una procedura di accreditamento certificata e che assumono responsabilità dirette in ordine all’esattezza, all’aggiornamento costante e alla completezza delle informazioni trasmesse. L’inadempimento rispetto a tali obblighi, inclusa la mancata tempestiva registrazione o modifica dei dati anagrafici, infrastrutturali e organizzativi, è suscettibile di generare responsabilità specifica in capo agli organi direttivi, secondo un principio di responsabilizzazione personale che ricalca le logiche di accountability proprie anche del quadro normativo in materia di protezione dei dati personali.

Con la determinazione n. 136118 viene invece disciplinata la procedura di notifica degli accordi volontari di condivisione delle informazioni in materia di sicurezza informatica. Il provvedimento valorizza la dimensione collaborativa e strategica della threat intelligence, rafforzando il ruolo dell’ACN quale snodo istituzionale per il coordinamento delle comunicazioni certificate e per la raccolta sistematica delle informazioni rilevanti ai fini della prevenzione e gestione delle minacce cibernetiche.

La determinazione n. 164179, infine, stabilisce un insieme vincolante di misure tecniche e organizzative minime che i soggetti NIS sono tenuti ad adottare, allo scopo di assicurare un livello adeguato di protezione delle infrastrutture digitali critiche. Tra i requisiti previsti si segnalano l’implementazione di strumenti per il monitoraggio continuo, l’adozione di processi di segnalazione rapida degli incidenti e la necessità di conservare eventuali standard di sicurezza già in essere, a condizione che non risultino incompatibili con la normativa sopravvenuta.

Obblighi NIS2: tempistiche di adeguamento

Le attività di adeguamento dovranno essere poste in essere nel periodo compreso tra il 15 aprile e il 31 maggio 2025, mediante accesso alla piattaforma digitale dell’Agenzia tramite credenziali SPID e completamento delle attività di aggiornamento obbligatorie. Tali attività includono:

• • • • l’inserimento o la conferma dei dati identificativi del rappresentante legale;
      • la definizione e la mappatura dei servizi essenziali erogati;
      • la designazione e la formalizzazione degli organi direttivi, nonché la registrazione dei referenti obbligatori per le comunicazioni con l’ACN.

Particolare rilievo assume la figura del Punto di Contatto, il quale è personalmente responsabile della correttezza e tempestività delle informazioni trasmesse e dell’aggiornamento periodico delle stesse. La previsione di un obbligo parallelo di nomina del sostituto del PdC consente di preservare la continuità operativa nelle relazioni istituzionali, anche in caso di assenza o impedimento del titolare.

Il personale interno eventualmente coinvolto a supporto, come l’utenza di segreteria e gli operatori, può contribuire alla verifica e alla gestione delle informazioni, sebbene sia espressamente escluso dalla possibilità di interagire direttamente con l’Autorità attraverso il canale ufficiale.

Il contesto europeo

Il modello organizzativo delineato dalle determinazioni ACN si inserisce in una più ampia cornice normativa europea che trova punti di convergenza significativi con il Regolamento (UE) 2016/679. L’impianto delle determinazioni richiama, sotto più profili, i principi generali del GDPR. La responsabilizzazione degli organi direttivi, l’obbligo di dimostrare la conformità alle disposizioni normative, la strutturazione formale dei referenti istituzionali e l’adozione di misure tecniche e organizzative appropriate rappresentano elementi già noti al diritto europeo della protezione dei dati personali.

Il principio di accountability, previsto dall’articolo 5, paragrafo 2, del GDPR, è qui proiettato nel dominio della sicurezza delle infrastrutture critiche, ma conserva la medesima funzione ordinante dell’azione del titolare o, in questo caso, del soggetto obbligato. La figura del Punto di Contatto, al pari del Responsabile della Protezione dei Dati, assume il ruolo di interfaccia formale con l’Autorità e deve essere individuato secondo criteri di competenza e affidabilità. Anche l’obbligo di notifica degli incidenti, sebbene esteso a eventi che impattano sull’erogazione dei servizi essenziali e non esclusivamente sul trattamento dei dati personali, si struttura su una logica analoga a quella dell’articolo 33 del GDPR, dove l’urgenza, la completezza e la tracciabilità assumono valore determinante.

Conclusioni

In definitiva, le determinazioni adottate dall’Agenzia per la Cybersicurezza Nazionale rappresentano un passaggio decisivo nella costruzione di un ecosistema cibernetico italiano maturo, conforme ai parametri europei e fondato su una governance efficace delle responsabilità, sulla formalizzazione degli obblighi informativi e su un uso controllato e certificato delle piattaforme digitali istituzionali.