Normativa NIS2, scadenza 31 luglio 2025: tutti gli adempimenti per gli enti pubblici

Con l’avvicinarsi della scadenza del 31 luglio 2025, gli enti pubblici inseriti nel perimetro NIS devono completare una serie di adempimenti cruciali.

Oltre alla questione dei soggetti responsabili, ecco la guida completa a tutti gli obblighi.

NIS2 e adempimenti del 31 luglio 2025: il quadro normativo completo

L’articolo 7, comma 4 del decreto NIS2 stabilisce chiaramente quali informazioni gli enti devono comunicare ad ACN entro il 31 luglio. Si tratta di quattro categorie di dati fondamentali per la mappatura del perimetro di sicurezza nazionale:

a) Spazio di indirizzamento IP e domini

Cosa comunicare: tutti gli indirizzi IP pubblici e i nomi di dominio in uso o nella disponibilità dell’ente.

Questo punto richiede un censimento completo dell’infrastruttura di rete esposta pubblicamente. Non si tratta solo dei siti web istituzionali, ma di tutti gli asset digitali che l’ente utilizza per erogare i propri servizi.

È fondamentale includere:

• Siti web principali e portali di servizio
• Sottodomini e servizi online
• Indirizzi IP di server e servizi esposti su internet
• Domini utilizzati per la posta elettronica

Consiglio pratico: Coinvolgere il servizio IT per una mappatura completa e verificare anche eventuali servizi gestiti da fornitori esterni ma riconducibili all’ente.

b) Stati membri di erogazione servizi

Cosa comunicare: l’elenco degli Stati membri dell’UE in cui l’ente fornisce servizi che rientrano nell’ambito del decreto NIS.

Per molti enti pubblici italiani questo punto è relativamente semplice, poiché l’erogazione di servizi avviene prevalentemente sul territorio nazionale.

Tuttavia, è importante considerare:

• Servizi erogati a cittadini italiani residenti all’estero
• Collaborazioni transfrontaliere
• Servizi digitali accessibili da altri Stati membri

Nota importante: il criterio non è la nazionalità degli utenti, ma il luogo di erogazione del servizio. Un ente che eroga servizi esclusivamente dal territorio italiano indicherà solo “Italia”.

c) Soggetti responsabili

Cosa comunicare: i responsabili di cui all’articolo 38, comma 5, con ruolo, recapiti e-mail e numeri di telefono.

Questo è probabilmente l’adempimento più complesso per gli enti pubblici, come approfondiremo nella sezione dedicata poco sotto.

d) Sostituto del punto di contatto

Cosa comunicare: la designazione di un sostituto del punto di contatto già nominato, con ruolo e recapiti completi.

Spesso trascurato, questo adempimento è cruciale per garantire la continuità delle comunicazioni con ACN.

Il sostituto deve:

• Avere competenze tecniche adeguate
• Essere sempre raggiungibile
• Conoscere i sistemi e le procedure dell’ente
• Essere formalmente nominato con atto interno

Attenzione: una volta inseriti nel portale ACN, tutti i soggetti indicati riceveranno comunicazioni di accettazione del ruolo.

Il processo non si considera completato finché tutti non hanno confermato l’accettazione.

Il nodo più complesso: i soggetti responsabili

Tra tutti gli adempimenti del 31 luglio, l’identificazione dei soggetti responsabili (punto c) rappresenta la sfida più complessa per gli enti pubblici.

Il problema: indicazioni poco chiare per il settore pubblico

Mentre per i soggetti privati ACN ha fornito indicazioni abbastanza precise, indicando essenzialmente che vanno censiti i componenti del Consiglio di Amministrazione, per gli enti pubblici la situazione è decisamente più nebulosa.

Dalle interlocuzioni dirette con il dirigente ACN che si occupa della regolamentazione, emerge infatti che la scelta di chi censire è sostanzialmente rimessa alla discrezionalità dell’organizzazione inserita nel perimetro NIS, a seconda delle specifiche funzioni e responsabilità interne. Una situazione che, comprensibilmente, genera non poche incertezze negli enti chiamati a rispettare le scadenze normative.

Il criterio di riferimento: l’articolo 23 del decreto NIS

Il punto di riferimento suggerito dalla stessa ACN è l’articolo 23 del decreto NIS, che identifica come soggetti responsabili coloro che concretamente vanno ad approvare le misure per la prevenzione del rischio cyber.

Questo criterio, apparentemente semplice, richiede però un’analisi attenta della struttura organizzativa di ciascun ente per identificare correttamente le figure che, nell’ambito delle rispettive competenze, hanno il potere decisionale in materia di cybersicurezza.

Esempi pratici per tipologie di enti

Aziende (pubbliche amministrazioni)

Per questo tipo di enti, caratterizzate da una governance mista con organi politici e tecnici, l’approccio consigliato prevede il censimento di:

• Il Presidente del CDA (rappresentante legale)
• I componenti del Consiglio di Amministrazione (organo decisionale strategico)
• Il Direttore Generale (responsabile operativo dell’attuazione)

Questa scelta garantisce la copertura sia degli organi di indirizzo strategico che di quelli operativi, rispettando la distinzione tipica degli enti pubblici tra responsabilità politiche e gestionali.

Comuni sopra i 100.000 abitanti

Per i Comuni nel perimetro, la struttura organizzativa più complessa richiede un approccio leggermente diverso:

• Il Sindaco (rappresentante legale e responsabile dell’amministrazione)
• I componenti della Giunta Comunale (organo esecutivo)
• Il Segretario Generale (coordinatore dell’attività amministrativa)
• Il Direttore Generale (se presente, coordinatore gestionale)
• I Dirigenti con competenze informatiche/digitali (responsabili operativi)

Per enti di dimensioni molto grandi, potrebbe essere opportuna una selezione più mirata, concentrandosi sui componenti della Giunta con deleghe specifiche e sui dirigenti direttamente coinvolti nella gestione dei sistemi informativi.

L’approccio cautelativo: meglio abbondare

Va precisato che esiste sempre un margine di incertezza, poiché la normativa non definisce in modo specifico quali siano questi soggetti per ogni tipologia di ente pubblico.

Tuttavia, l’adozione di un approccio completo e cautelativo presenta diversi vantaggi:

• Conformità normativa garantita: copre tutte le figure potenzialmente coinvolte nelle decisioni di cybersicurezza
• Tutela dell’ente: dimostra la volontà di rispettare pienamente gli obblighi normativi
• Chiarezza organizzativa: definisce responsabilità precise all’interno della struttura

È importante ricordare che nella pubblica amministrazione chi non riveste ruoli dirigenziali non ha poteri di rappresentanza, motivo per cui la selezione si concentra necessariamente sui livelli apicali dell’organizzazione.

Conclusioni: pragmatismo e completezza

La mancanza di indicazioni specifiche da parte di ACN per gli enti pubblici non deve paralizzare l’azione amministrativa. L’approccio più prudente consiste nell’identificare tutti i soggetti che, a vario titolo, sono coinvolti nei processi decisionali relativi alla cybersicurezza dell’ente.

Questo metodo, pur potendo apparire cautelativo, assicura la conformità alle indicazioni normative e fornisce una base solida per lo sviluppo di una governance della sicurezza informatica efficace e responsabile.

La regola d’oro: meglio censire un soggetto in più che rischiare di tralasciare una figura chiave nel processo decisionale della cybersicurezza del proprio ente.

Problematiche operative: quando il portale non è pronto

Un aspetto critico che molti enti stanno riscontrando è la mancanza di funzionalità operative nel portale ACN per completare gli adempimenti del 31 luglio. In diversi casi, nonostante la registrazione sia stata completata, le sezioni per l’inserimento delle informazioni richieste non risultano ancora attive.

La soluzione: comunicazione preventiva

In presenza di impossibilità tecniche dovute al malfunzionamento del portale, la strategia consigliata prevede:

• Invio di PEC preventiva ad ACN specificando:
  • L’avvenuta registrazione dell’ente
  • L’impossibilità tecnica di utilizzare le funzioni della piattaforma
  • La volontà di completare gli adempimenti appena possibile
  • L’attribuzione della responsabilità del ritardo alla piattaforma stessa
• Apertura di ticket di assistenza tramite il portale ACN per tracciare formalmente la problematica

Questo approccio duplice garantisce una copertura completa: la PEC fornisce una traccia formale scritta, mentre il ticket di assistenza utilizza il canale privilegiato per le comunicazioni tecniche con ACN.

Preparazione per il post-31 luglio

Indipendentemente dalle problematiche del portale, è fondamentale che gli enti si preparino per completare tutti gli adempimenti non appena le funzionalità saranno disponibili. Questo significa:

• Raccogliere preventivamente tutti gli indirizzi IP e domini
• Formalizzare le nomine dei soggetti responsabili e del sostituto
• Preparare la documentazione con recapiti aggiornati
• Informare tutti i soggetti interessati del loro coinvolgimento nel processo

La fase cruciale: cosa succede dopo il 31 luglio

Completati gli adempimenti immediati, inizia la fase più impegnativa del percorso NIS: lo sviluppo del piano di cybersicurezza completo entro 18 mesi dalla comunicazione ufficiale ACN.

Questa fase richiederà un approccio strutturale che unisca aspetti legali, normativi e documentali della cybersicurezza.

Non si tratta più solo di compilare form online, ma di costruire una vera governance della sicurezza informatica con procedure operative, template di policy, analisi dei flussi di gestione degli incidenti e strumenti di monitoraggio continuo.

Per supportare gli enti in questo percorso complesso, è disponibile un supporto specializzato che copre tutti gli aspetti documentali e strutturali della conformità NIS, dalla definizione dei ruoli alla gestione operativa degli incidenti. Puoi scaricare la presentazione da qui: Supporto ScuDoc – Brochure di presentazione

Se invece hai dubbi sull’identificazione dei soggetti responsabili o hai bisogno di supporto per la fase post-31 luglio, puoi prenotare una telefonata di 30 minuti gratuita e senza impegno qui: Contatti

 

Vuoi rimanere aggiornato sulle notizie legate al tema della cybersicurezza per la PA?