Agenzia per la Cybersicurezza Nazionale
Determinazione del Direttore generale dell’Agenzia per la
cybersicurezza nazionale
di cui all’articolo 7, comma 6, del decreto legislativo 4 settembre 2024, n. 138, adottata
secondo le modalità di cui all’articolo 40, comma 5, recante termini, modalità e procedimenti
di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti
devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimento di
designazione dei rappresentanti NIS sul territorio nazionale.
IL DIRETTORE GENERALE
VISTO il decreto legislativo 12 gennaio 2019, n. 14, recante “Codice della crisi d'impresa e
dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155”;
VISTO il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto
2021, n. 109, recante “Disposizioni urgenti in materia di cybersicurezza, definizione
dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza
nazionale”;
VISTO il decreto legislativo 4 settembre 2024, n. 138, recante “Recepimento della direttiva (UE)
2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante
modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la
direttiva (UE) 2016/1148” e, in particolare, l’articolo 7 e l’articolo 40, comma 5, lettera b);
VISTO il Regolamento (CEE) n. 2137/85 del Consiglio del 25 luglio 1985 relativo all'istituzione di
un gruppo europeo di interesse economico (GEIE);
VISTO il decreto legislativo 23 luglio 1991, n. 240, recante “Norme per l’applicazione del
regolamento n. 85/2137/CEE relativo all’istituzione di un Gruppo europeo di interesse economico GEIE, ai sensi dell’art. 17 della legge 29 dicembre 1990, n. 428”;
VISTA la raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla
definizione delle microimprese, piccole e medie imprese;
VISTA la legge 28 giugno 2024, n. 90, recante “Disposizioni in materia di rafforzamento della
cybersicurezza nazionale e di reati informatici”;
VISTO il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante “Testo unico
delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”, e, in
particolare, l’articolo 76;
CONSIDERATO che, ai sensi del richiamato articolo 7, comma 1, del decreto legislativo 4
settembre 2024, n. 138, i soggetti di cui all'articolo 3 del medesimo decreto si registrano o

1 di 16

Agenzia per la Cybersicurezza Nazionale
aggiornano la propria registrazione sulla piattaforma digitale resa disponibile dall'Autorità
nazionale competente NIS;
CONSIDERATO, altresì, che, ai sensi dell’articolo 7, comma 6, e dell’articolo 40, comma 5,
lettera b), del decreto legislativo 4 settembre 2024, n. 138, con determinazione dell’Agenzia per la
cybersicurezza nazionale, sentito il Tavolo per l’attuazione della disciplina NIS, sono stabiliti i
termini, le modalità nonché i procedimenti di utilizzo e accesso alla piattaforma digitale di cui
all’articolo 7 e le eventuali ulteriori informazioni che i soggetti devono fornire ai sensi dello stesso
articolo, nonché i termini, le modalità e i procedimenti di designazione dei rappresentanti di cui
all’articolo 5, comma 3, del medesimo decreto legislativo;
RICHIAMATA la propria determinazione n. 333017 del 22 settembre 2025 che ha aggiornato la
precedente determinazione n.38565 del 26 novembre 2024 integrandovi le modalità di designazione
del referente CSIRT e di aggiornamento annuale delle informazioni, tramite il servizio dedicato
NIS/Aggiornamento annuale disponibile sul Portale ACN;
RITENUTO di aggiornare e sostituire la predetta determinazione in vista della registrazione 2026
dei soggetti NIS sul portale ACN tramite il servizio dedicato NIS/Dichiarazione;
SENTITO il Tavolo per l’attuazione della disciplina NIS di cui all’articolo 12 del decreto
legislativo 4 settembre 2024, n. 138, nella riunione del 18 dicembre 2025;
ADOTTA LA PRESENTE DETERMINAZIONE
Capo I
Disposizioni di carattere generale
Articolo 1
(Definizioni)
1. Ai fini della presente determinazione si intende per:
a) “decreto NIS”, il decreto legislativo 4 settembre 2024, n. 138;
b) “Agenzia per la cybersicurezza nazionale”, l’Agenzia per la cybersicurezza nazionale
di cui all’articolo 5, comma 1, del decreto-legge 14 giugno 2021, n. 82;
c) “Autorità nazionale competente NIS”, l’Autorità nazionale competente di cui
all’articolo 10, comma 1, del decreto NIS;
d) “Autorità di settore NIS”, le Amministrazioni di cui all’articolo 11, commi 1 e 2, del
decreto NIS;
e) “organi di amministrazione e direttivi”, gli organi di amministrazione e direttivi di cui
all’articolo 23 del decreto NIS, ivi incluso, laddove presente, il consiglio di
amministrazione dei soggetti NIS;
f) “Portale ACN”, il Portale dei servizi tramite il quale sono accessibili i servizi che
l’Agenzia per la cybersicurezza nazionale mette a disposizione dei suoi interlocutori e
dei soggetti, pubblici e privati, che rientrano nell’ambito di applicazione della disciplina
cyber o con i quali l’Agenzia deve interagire ai sensi della stessa;
2 di 16

Agenzia per la Cybersicurezza Nazionale
g) “SPID”, il Sistema pubblico dell’identità digitale, istituito ai sensi dell'art. 64 del CAD,
modificato dall’art. 17-ter del decreto-legge 21 giugno 2013, n. 69, convertito con
modificazioni, dalla legge 9 agosto 2013, n. 98, ai sensi del Decreto del Presidente del
Consiglio dei Ministri 24 ottobre 2014;
h) “CIE”, Carta di Identità Elettronica, è il documento d’identità personale garantita dallo
Stato e rilasciata dal Ministero dell’Interno che permette l’accertamento dell’identità del
possessore e l’accesso ai servizi online delle Pubbliche Amministrazioni;
i) “Servizi NIS”, i servizi, accessibili tramite il Portale ACN, necessari per supportare
l’espletamento degli adempimenti previsti dal decreto NIS e le interlocuzioni tra
l’Autorità nazionale compente NIS e i soggetti;
j) “Servizio NIS/Dichiarazione”, il Servizio NIS reso disponibile dall’Autorità nazionale
competente NIS ai soggetti ai fini della registrazione di cui all’articolo 7, comma 1, del
decreto NIS;
k) “Servizio NIS/Aggiornamento annuale informazioni”, il Servizio NIS reso disponibile
dall’Autorità nazionale competente NIS ai soggetti NIS per l’aggiornamento annuale,
delle informazioni di cui all’articolo 7, commi 4 e 5, del decreto NIS;
l) “Servizio NIS/Aggiornamento continuo informazioni”, il Servizio NIS reso disponibile
dall’Autorità nazionale competente NIS ai soggetti NIS per l’aggiornamento continuo,
delle informazioni trasmesse ai sensi dell’articolo 7, comma 7, del decreto NIS;
m) “sito web”, il sito web istituzionale dell’Agenzia per la cybersicurezza nazionale
(acn.gov.it);
n) “piattaforma digitale”, la piattaforma digitale di cui all’articolo 7, comma 1, del decreto
NIS, accessibile tramite il Portale ACN per l’erogazione dei Servizi NIS;
o) “soggetto”, un soggetto, di cui all’articolo 2, comma 1, lettera hhh), del decreto NIS, di
natura giuridica pubblica o privata per conto della quale un utente accede al Portale
ACN e, in particolare, ai Servizi NIS;
p) “soggetto NIS”, un soggetto che rientra nell’ambito di applicazione del decreto NIS;
q) “punto di contatto”, la persona fisica designata dal soggetto NIS ai sensi dell’articolo 7,
comma 1, lettera c), del decreto NIS;
r) “sostituto punto di contatto”, la persona fisica designata dal soggetto NIS ai sensi
dell’articolo 7, comma 4, lettera d), del decreto NIS;
s) “segreteria”, la persona fisica che svolge funzioni di supporto al punto di contatto e al
sostituto punto di contatto per promuovere l’efficace interlocuzione con l’Autorità
nazionale competente NIS;
t) “operatore”, la persona fisica che svolge funzioni di supporto al punto di contatto e al
sostituto punto di contatto operando sui servizi NIS;
u) “utente”, i componenti degli organi di amministrazione e direttivi, il punto di contatto,
il sostituto punto di contatto, la segreteria, il referente CSIRT, il sostituto referente
CSIRT e gli operatori che accedono al Portale ACN e, in particolare, accedono ai servizi
di competenza;
v) “referente CSIRT e sostituti”, le persone fisiche designate dal Punto di contatto per
interloquire con lo CSIRT Italia, di cui all’articolo 2, comma 1, lettera i) del decreto
NIS, ed effettuare le notifiche di cui agli articoli 25 e 26 del medesimo decreto;
w) “rappresentante NIS”, il rappresentante di cui all’articolo 5, comma 3, del decreto NIS;
3 di 16

Agenzia per la Cybersicurezza Nazionale
x) “censimento”, il processo di autenticazione, tracciamento e verifica di un utente
finalizzato alla sua associazione a un soggetto per accedere al Portale ACN e, in
particolare, ai Servizi NIS;
y) “associazione”, il processo di tracciamento, verifica e convalida dell’associazione
dell’utenza con un soggetto che consente all’utente stesso di accedere al Portale ACN
e, in particolare, ai Servizi NIS;
z) “registrazione”, il processo di cui all’articolo 7, comma 1, del decreto NIS;
aa) “dichiarazione”, la dichiarazione resa dal punto di contatto ai fini della registrazione;
bb) “elenco dei soggetti NIS”, l’elenco dei soggetti essenziali e dei soggetti importanti di
cui all’articolo 7, comma 3, del decreto NIS;
cc) “impresa collegata”, un soggetto che soddisfa i criteri di cui all’articolo 3, paragrafi 2 e
3, dell’allegato alla raccomandazione 2003/361/CE, o che fa parte di un gruppo di
imprese;
dd) “impresa autonoma”, una impresa non identificabile come impresa collegata;
ee) “gruppo di imprese”, ai sensi dell’articolo 2, comma 1, lettera h), del decreto legislativo
12 gennaio 2019, n. 14, l'insieme delle società, delle imprese e degli enti, esclusi lo
Stato e gli enti territoriali, che esercitano o sono sottoposti, ai sensi degli articoli
2497 e 2545-septies del codice civile, alla direzione e coordinamento di una società, di
un ente o di una persona fisica; a tal fine si presume, salvo prova contraria, che l'attività
di direzione e coordinamento delle società del gruppo sia esercitata dalla società o ente
tenuto al consolidamento dei loro bilanci oppure dalla società o ente che le controlla,
direttamente o indirettamente, anche nei casi di controllo congiunto;
ff) “gruppo europeo di interesse economico (GEIE)”, un gruppo di imprese costituito sulla
base delle condizioni, modalità ed effetti disciplinati dal Regolamento (CEE) n.
2137/85.
gg) “aggiornamento annuale delle informazioni”, il processo tramite il quale i soggetti NIS
forniscono e, ogni anno, aggiornano le informazioni di cui all’articolo 7, commi 4 e 5,
del decreto NIS;
hh) “aggiornamento continuo delle informazioni”, il processo tramite il quale, ai sensi
dell’articolo 7, comma 7, del decreto NIS, i soggetti NIS comunicano qualsiasi modifica
delle informazioni trasmesse ai sensi dei commi 4 e 5 del medesimo articolo
tempestivamente e, in ogni caso, entro quattordici giorni dalla data della modifica;
ii) “spazio di indirizzamento IP pubblico in uso o nella disponibilità del soggetto NIS”, gli
indirizzi IP pubblici e statici che un soggetto NIS utilizza o ha nella propria disponibilità
in forza di contratti o accordi con fornitori di servizi Internet (ISP), Registri Internet
Regionali o altre organizzazioni deputate alla fornitura di indirizzi IP sulla base delle
normative e degli accordi nazionali, europei e internazionali vigenti;
jj) “nomi di dominio in uso o nella disponibilità del soggetto NIS”, i nomi di dominio che
un soggetto NIS utilizza o ha nella propria disponibilità in forza di contratti o accordi
con fornitori di servizi di registrazione di nomi di dominio o altre organizzazioni
deputate loro fornitura di nomi di dominio sulla base delle normative e degli accordi
nazionali, europei e internazionali vigenti;
kk) “accordi di condivisione”, gli accordi di condivisione delle informazioni sulla sicurezza
informatica, di cui all’articolo 17, comma 2, del decreto NIS.
4 di 16

Agenzia per la Cybersicurezza Nazionale
Articolo 2
(Oggetto, ambito di applicazione e finalità)
1. La presente determinazione stabilisce termini, modalità e procedimenti di utilizzo e accesso
al Portale ACN e, in particolare, ai Servizi NIS nonché le ulteriori informazioni che i
soggetti NIS devono fornire all’Autorità nazionale competente NIS ai fini dello svolgimento
delle funzioni attribuite dal decreto NIS, i termini, le modalità e i procedimenti di
designazione dei rappresentanti NIS nell’Unione.
2. Ai fini del comma 1, la presente determinazione definisce:
a) le modalità di designazione del punto di contatto e del sostituto punto di contatto:
b) il processo per il censimento degli utenti per accedere al Portale ACN;
c) il procedimento per l’associazione degli utenti al soggetto per conto del quale accedono
ai Servizi NIS;
d) il procedimento per la registrazione, tramite il “Servizio NIS/Dichiarazione”;
e) il processo per la conferma annuale delle informazioni, tramite il “Servizio
NIS/Aggiornamento annuale informazioni”;
f) il processo per l’aggiornamento continuo delle informazioni, tramite il “Servizio
NIS/Aggiornamento continuo informazioni”.
3. Ai sensi dell’articolo 23, comma 1, lettera b), del decreto NIS, gli organi di amministrazione
e direttivi dei soggetti NIS sovrintendono alla registrazione, comunicazione o
aggiornamento delle informazioni di cui all’articolo 7 del medesimo decreto e sono
responsabili delle eventuali violazioni.
4. La mancata registrazione, comunicazione o aggiornamento delle informazioni di cui
all’articolo 7 del decreto NIS, con le modalità sopra indicate, è punita ai sensi dell’articolo
38 del medesimo decreto.
Articolo 3
(Termini di uso del Portale ACN e dei Servizi NIS)
1. I soggetti comunicano con l’Autorità nazionale competente NIS, anche ai fini del
censimento, dell’associazione e della registrazione, esclusivamente tramite i Servizi NIS o
tramite la sezione dedicata nell’area NIS del sito web, salvo in caso di diversa espressa
specifica indicazione dell’Autorità nazionale competente o per cause di forza maggiore,
fermo restando quanto previsto dal decreto NIS.
2. Le istruttorie dell’Autorità nazionale competente NIS e delle Autorità di settore NIS ai fini
della presente determinazione sono svolte prioritariamente sulla base delle informazioni
trasmesse dai soggetti tramite i Servizi NIS.
3. Gli utenti aggiornano le informazioni trasmesse tramite il Portale ACN o tramite i Servizi
NIS tempestivamente, secondo eventuale specifica indicazione dell’Autorità nazionale
competente NIS, nel rispetto dei termini indicati dal decreto NIS.
4. Gli utenti sono tenuti a verificare la correttezza delle informazioni visualizzate o ricevute
tramite il Portale ACN e i Servizi NIS, e in caso di incongruenze effettuano la segnalazione
di cui al comma 6.

5 di 16

Agenzia per la Cybersicurezza Nazionale
5. Resta ferma la responsabilità penale, ai sensi dell’articolo 76 del decreto del Presidente della
Repubblica del 28 dicembre 2000, n. 445, in caso di rilascio di dichiarazioni mendaci,
formazione di atti falsi o, comunque, contenenti dati non più rispondenti a verità.
6. Gli utenti segnalano, tramite gli appositi canali di comunicazione del Portale ACN o tramite
la sezione dedicata nell’area NIS del sito web, malfunzionamenti o comportamenti inattesi
del Portale ACN stesso e dei Servizi NIS.
7. Le informazioni visualizzate o ricevute tramite il Portale ACN e i Servizi NIS sono
condivise nel rispetto della politica di condivisione delle informazioni. Salvo diversa
specifica indicazione, le informazioni visualizzate o ricevute tramite il Portale ACN e i
Servizi NIS sono a divulgazione limitata e sono ristrette all’originatore e ai destinatari
dell’informazione, nonché alle loro organizzazioni, alle loro terze parti e ai propri clienti. I
destinatari non possono condividere le informazioni ricevute al di fuori della propria
organizzazione, delle loro terze parti e dei propri clienti. La condivisione delle informazioni
ricevute nella propria organizzazione con le terze parti e con i clienti è limitata ai dati
strettamente necessari per lo svolgimento delle attività (principio del need-to-know).
Articolo 4
(Punto di contatto)
1. Il punto di contatto è una persona fisica designata dal soggetto NIS con il compito di curare
l'attuazione delle disposizioni del decreto NIS per conto del soggetto stesso. In particolare,
il punto di contatto accede al Portale ACN e ai Servizi NIS, effettua, per conto del soggetto,
la registrazione di cui all’articolo 7 del decreto NIS, e interloquisce, per conto del soggetto
NIS, con l’Autorità nazionale competente NIS.
2. Le funzioni di punto di contatto possono essere svolte dal rappresentante legale del soggetto
NIS, da uno dei procuratori generali del soggetto NIS, censiti sul registro delle imprese di
cui all’articolo 8 della legge 29 dicembre 1993, n. 580, o da un dipendente del soggetto NIS
delegato dal rappresentante legale del soggetto medesimo. Laddove il punto di contatto,
nell’espletamento delle proprie funzioni, si avvalga di personale esterno, restano comunque
ferme le disposizioni di cui al comma 1.
3. Qualora il soggetto sia parte di un gruppo di imprese, le funzioni di punto di contatto
possono essere svolte da un dipendente di un’altra impresa del gruppo che rientra
nell’ambito di applicazione del decreto NIS, delegato dal rappresentante legale del soggetto
stesso.
4. Qualora il soggetto NIS sia una pubblica amministrazione, le funzioni di punto di contatto
possono essere svolte da personale che presta servizio o dipendente di un’altra pubblica
amministrazione che rientra nell’ambito di applicazione del decreto NIS, previa
autorizzazione di quest'ultima ai sensi dell'articolo 53 del decreto legislativo 30 marzo 2001,
n. 165, delegato dal rappresentante legale del soggetto stesso.
5. Il punto di contatto riferisce direttamente al vertice gerarchico del soggetto NIS nonché agli
organi di amministrazione e direttivi del soggetto medesimo ai fini di quanto previsto dal
decreto NIS.

6 di 16

Agenzia per la Cybersicurezza Nazionale
6. Resta ferma, in ogni caso, la responsabilità degli organi di amministrazione e direttivi del
soggetto NIS ai sensi dell’articolo 23 del decreto NIS e delle persone fisiche ai sensi
dell’articolo 38 del medesimo decreto.
7. Nel caso di avvicendamento del punto di contatto, gli organi di amministrazione e direttivi
provvedono senza ingiustificato ritardo alla designazione del nuovo punto di contatto e
assicurano il suo censimento sul Portale ACN.
8. La designazione del punto di contatto da parte dei soggetti di cui all’articolo 1, comma 1,
della legge 28 giugno 2024, n. 90, che rientrano nell’ambito di applicazione del decreto NIS,
può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza di
cui all’articolo 8, comma 2, della medesima legge.
Articolo 5
(Sostituto punto di contatto)
1. Il sostituto punto di contatto è una persona fisica, distinta dal punto di contatto, designato
con le medesime modalità di quest’ultimo ai sensi dell’articolo 4, a cui si applicano le
previsioni del citato articolo.
2. Il sostituto punto di contatto supporta il punto di contatto nell’esercizio delle proprie
funzioni, può interloquire direttamente con l’Autorità nazionale competente NIS e può
effettuare sulla piattaforma digitale le medesime azioni del punto di contatto, ad eccezione
della registrazione di cui all’articolo 7 del decreto NIS.
3. Il sostituto punto di contatto è designato entro il 31 maggio dell’anno in cui il soggetto NIS
ha ricevuto comunicazione di inserimento nell’elenco dei soggetti NIS.
4. L’obbligo di designazione del sostituto punto di contatto non si applica ai soggetti NIS che
versino nell’impossibilità materiale di effettuare tale adempimento, in quanto il punto di
contatto è l’unica persona fisica operante nell’organizzazione.
Articolo 6
(Rappresentante nell’Unione)
1. Per designare il proprio rappresentante NIS in Italia, i soggetti NIS di cui all’articolo 5,
comma 1, lettera b), del decreto NIS, trasmettono e aggiornano, dal primo settembre al trenta
novembre di ogni anno, al domicilio digitale dell’Agenzia per la cybersicurezza nazionale
la documentazione indicata nella sezione dedicata del sito web. Con le medesime modalità,
tali soggetti comunicano il domicilio digitale per le conseguenti interlocuzioni con
l’Autorità nazionale competente NIS.
2. L’Autorità nazionale competente NIS comunica al domicilio digitale del soggetto
l’autorizzazione, o il diniego, a procedere al censimento e alla registrazione entro trenta
giorni dalla ricezione della trasmissione di cui al comma 1.
3. Ove si renda necessario richiedere al soggetto integrazioni o informazioni, i termini di cui
al comma 2 sono sospesi e ricominciano a decorrere dalla data di ricevimento delle
integrazioni e delle informazioni che sono rese entro il termine di dieci giorni dalla richiesta.
Il tardivo riscontro alle richieste di cui al presente comma può essere motivo di diniego di
censimento e registrazione.
7 di 16

Agenzia per la Cybersicurezza Nazionale
4. Fermo restando quanto previsto dall’articolo 4, comma 2, i soggetti di cui al comma 1 del
presente articolo possono delegare le funzioni di punto di contatto:
a) al rappresentante NIS stesso, qualora sia una persona fisica;
b) al rappresentante legale, a uno dei procuratori generali o a un dipendente del
rappresentante NIS stesso, qualora quest’ultimo sia una persona giuridica.
Articolo 7
(Referente CSIRT e sostituti)
1. Il referente CSIRT è una persona fisica designata dal Punto di Contatto, a partire dal 20
novembre ed entro il 31 dicembre 2025, tramite la dedicata procedura telematica resa
disponibile dal Portale ACN.
2. Il referente CSIRT ha il compito di interloquire con lo CSIRT Italia, di cui all’articolo 2,
comma 1, lettera i) del decreto NIS, ed effettuare le notifiche di cui agli articoli 25 e 26 del
medesimo decreto per conto del soggetto NIS.
3. Al fine di assicurare il tempestivo svolgimento dei compiti del referente CSIRT, con
particolare riferimento alla notifica degli incidenti significativi di cui all’articolo 25 del
decreto NIS e relativi seguiti, con le medesime modalità di cui al comma 1, possono essere
designati uno o più sostituti referente CSIRT.
4. I sostituti referente CSIRT, ove designati, supportano il referente CSIRT nell’esercizio delle
funzioni di cui al comma 2 e possono svolgerle per suo conto.
5. Il referente CSIRT e i suoi sostituti, ove designati, possiedono almeno competenze di base
in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una
conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale
operano.

Capo II
Censimento e associazione delle utenze
Articolo 8
(Censimento degli utenti)
1. Gli utenti si autenticano sul Portale ACN tramite CIE o SPID personale.
2. Gli utenti completano la propria anagrafica fornendo le informazioni seguenti, se non già
condivise tramite CIE o SPID:
a) nome e cognome;
b) codice fiscale;
c) luogo e data di nascita;
d) cittadinanza;
e) Paese di residenza e, ove richiesto, di domicilio;
f) indirizzo della sede prevalente di servizio, aziendale o professionale;
g) indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio,
aziendale o professionale;
8 di 16

Agenzia per la Cybersicurezza Nazionale
h) ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale,
nonché di servizio, aziendale o professionale;
i) numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o
professionale;
j) ove disponibile, un numero alternativo di telefono, preferibilmente individuale di
servizio, aziendale o professionale;
k) denominazione e codice fiscale dell’organizzazione di appartenenza prevalente.
3. Qualora, ai sensi della normativa vigente, un utente non possa disporre di credenziali SPID
o di CIE, può autenticarsi con credenziali personali. La procedura per la richiesta delle
credenziali personali è pubblicata nella sezione dedicata del sito web. Tali utenti forniscono
un codice di identificazione nazionale in luogo del codice fiscale di cui al comma 2, lettera
c).
Articolo 9
(Associazione dell’utenza del punto di contatto e del sostituto al soggetto NIS)
1. Il punto di contatto, censito sul Portale ACN, effettua l’associazione della sua utenza con il
soggetto che lo ha designato attraverso la digitazione del suo codice fiscale o del codice
dell’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici
servizi (IPA).
2. L’utente:
a) verifica la denominazione nonché l’indirizzo, il domicilio digitale e i recapiti della sede
legale del soggetto visualizzati dal Portale ACN;
b) indica se è:
1) rappresentante legale del soggetto;
2) procuratore generale del soggetto;
3) delegato dal rappresentante legale del soggetto;
c) indica il codice fiscale dell’organizzazione di cui è dipendente qualora diverso dal
soggetto al quale si sta associando;
d) indica il ruolo svolto presso il soggetto.
3. Nel caso di cui al comma 2, lettera b), numero 3, l’utente inserisce sul Portale ACN la delega
rilasciata a suo nome dal soggetto NIS, dichiarando che la stessa lo autorizza ad accedere al
Portale ACN stesso e ai Servizi NIS per conto del medesimo soggetto.
4. L’associazione dell’utenza del punto di contatto è sottoposta alla convalida del soggetto
NIS, secondo la procedura telematica indicata nella richiesta inviata al domicilio digitale di
quest’ultimo.
5. Al termine del processo di censimento e associazione, il soggetto riceve al suo domicilio
digitale la comunicazione di conclusione del processo stesso.
6. La convalida dell’associazione dell’utenza del punto di contatto ad un soggetto NIS
determina la dissociazione, se presente, dell’utenza del punto di contatto precedentemente
associata.
7. Il sostituto punto di contatto effettua, su invito del punto di contatto, l’associazione con le
medesime modalità del punto di contatto di cui al presente articolo.

9 di 16

Agenzia per la Cybersicurezza Nazionale
Articolo 10
(Associazione delle utenze al soggetto NIS)
1. Al punto di contatto è data facoltà di invitare ulteriori utenti con il ruolo di operatore e, al
più, un utente con il ruolo di segreteria.
2. Gli utenti censiti sul Portale ACN che non sono stati designati e associati quali punti di
contatto o sostituti punti di contatto:
a) sono associati al soggetto NIS, per conto del quale operano, su indicazione e invito
del punto di contatto;
b) non possono effettuare azioni sul Portale ACN che determinano la trasmissione di
comunicazioni, inerenti il perfezionamento degli adempimenti di cu al decreto NIS,
al domicilio digitale del soggetto NIS o all’Autorità nazionale competente NIS.
3. Tutti gli utenti possono:
a) annullare la propria associazione con il soggetto NIS;
b) disabilitare la propria utenza.
4. Il punto di contatto, il sostituto punto di contatto, e la segreteria possono ridurre il proprio
ruolo ad operatore.

Capo III
Registrazione dei soggetti NIS e elaborazione dell’elenco dei soggetti NIS
Articolo 11
(Registrazione)
1. Dal 1° gennaio al 28 febbraio di ogni anno, gli utenti compilano, tramite il “Servizio NIS/
Dichiarazione”, la dichiarazione per il soggetto per cui operano ai fini della sua
registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate.
2. In particolare, l’utente:
a) qualora il soggetto non sia un’impresa autonoma, indica se il soggetto è parte di un
gruppo di imprese e, in tal caso, indica se il soggetto è la capo gruppo ovvero indica il
codice fiscale della capo gruppo;
b) qualora il soggetto non sia un’impresa autonoma, elenca i soggetti NIS di cui è a
conoscenza che sono imprese collegate nei confronti delle quali soddisfi almeno uno
dei criteri di cui all’articolo 3, comma 10, del decreto NIS, indicando il codice fiscale
di tali imprese e quale dei criteri è soddisfatto;
c) qualora il soggetto non sia un’impresa autonoma, elenca le imprese collegate che
soddisfano nei suoi confronti almeno uno dei criteri di cui all’articolo 3, comma 10, del
decreto NIS, indicando il codice fiscale di tali imprese e quale dei criteri è soddisfatto,
ai fini della loro identificazione come soggetti NIS ai sensi del medesimo comma;
d) elenca i codici ATECO che descrivono l’attività del soggetto;
e) indica le normative settoriali dell’Unione europea citate negli allegati I e II del decreto
NIS per definire le tipologie di soggetto che rientrano nell’ambito di applicazione del
decreto NIS;
10 di 16

Agenzia per la Cybersicurezza Nazionale
f) indica i valori del fatturato e del bilancio nonché del numero di dipendenti al fine di
determinare l’appartenenza del soggetto NIS alla categoria delle medie o grandi imprese
ai sensi della raccomandazione 2003/361/CE. Le pubbliche amministrazioni possono
non indicare i valori del fatturato e del bilancio;
g) elenca le tipologie di soggetto di cui agli allegati I, II, III e IV del decreto NIS a cui il
soggetto è riconducibile.
3. Fermo restando l’obbligo di registrazione per i soggetti di cui all’articolo 3, comma 10, del
decreto NIS, l’Autorità nazionale competente NIS informa le imprese di cui al comma 2,
lettera c), del presente articolo che nei loro confronti si sono verificati i presupposti di cui
al citato articolo del decreto NIS.
4. Qualora il soggetto non sia una impresa autonoma, il calcolo del fatturato e del bilancio
nonché del numero di dipendenti di cui al comma 2, lettera f), del presente articolo è
effettuato ai sensi dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione
2003/361/CE.
5. Qualora in fase di compilazione della dichiarazione siano rilevate incongruenze, queste sono
segnalate all’utente che deve procedere a:
a) modificare la dichiarazione correggendo le informazioni errate o incomplete;
b) fornire ulteriori elementi informativi per giustificare l’incongruenza rilevata.
6. Al termine della compilazione della dichiarazione, all’utente è rimessa la conferma della
valutazione preliminare fornita automaticamente dalla piattaforma, sulla base dei criteri di
cui agli articoli 3 e 6 del decreto NIS, fondata sulla base delle informazioni fornite ai sensi
del presente articolo.
7. Gli utenti designati quali punti di contatto confermano, ai sensi del decreto del Presidente
della Repubblica del 28 dicembre 2000, n. 445, le informazioni fornite e le trasmettono
telematicamente tramite il “Servizio NIS/Dichiarazione” all’Autorità nazionale competente
NIS. Copia di tali informazioni, per ricevuta, è inviata al domicilio digitale del soggetto con
l’avvertenza che tale dichiarazione potrà essere sottoposta alle verifiche di coerenza di cui
all’articolo 14.
8. Decorsi dieci giorni solari dalla sottomissione della dichiarazione questa si intende
definitivamente acquisita e non ulteriormente modificabile dall’utente.
9. Le dichiarazioni sottomesse o modificate oltre i termini di cui al comma 1 sono considerate
tardive, salvo che il ritardo sia determinato da documentate criticità tecnico-operative non
imputabili all’utente.
10. Ai soggetti già inseriti nell’elenco dei soggetti NIS, all’avvio della registrazione per l’anno
2026, viene presentata una bozza di dichiarazione precompilata sulla base delle
informazioni trasmesse nel corso dell’anno solare precedente tramite i Servizi NIS.
Articolo 12
(Clausola di salvaguardia)
1. Nel caso in cui l’utente ritenga che il calcolo effettuato ai sensi dell’articolo 11, comma 4,
non sia proporzionato tenuto conto dei criteri di cui al decreto del Presidente del Consiglio
dei ministri di cui all’articolo 40, comma 1, lettera a), del decreto NIS, nel corso della
11 di 16

Agenzia per la Cybersicurezza Nazionale
registrazione può chiedere l’applicazione della clausola di salvaguardia di cui all’articolo 3,
comma 12, del decreto NIS.
2. Ai fini della richiesta di cui al comma 1, tramite il “Servizio NIS/Dichiarazione”, l’utente
fornisce gli elementi di valutazione corrispondenti ai criteri di cui al decreto del Presidente
del Consiglio dei ministri di cui all’articolo 40, comma 1, lettera a), del decreto NIS
all’Autorità nazionale competente NIS, che li condivide con le Autorità di settore interessate
ai fini delle valutazioni di cui all’articolo 11, comma 4, lettera c), del medesimo decreto.
3. Al soggetto NIS è fornito riscontro con la comunicazione dell’Autorità nazionale
competente NIS ai sensi dell’articolo 7, comma 3, del decreto NIS.

Articolo 13
(Individuazione da parte dell’Autorità nazionale competente NIS)
1. I soggetti che ricevono una notifica di individuazione da parte dell’Autorità nazionale
competente NIS, su proposta delle Autorità di settore, ai sensi dell’articolo 3, comma 13,
del decreto NIS, procedono al censimento e alla registrazione alla stregua delle disposizioni
del presente capo.
2. In fase di registrazione, tali soggetti prendono visione e confermano gli elementi presenti
nella notifica di cui al comma 1.
Articolo 14
(Verifiche di coerenza)
1. Le verifiche di coerenza delle informazioni contenute nelle dichiarazioni sono svolte, a
campione, dall’Autorità nazionale competente NIS d’intesa con le Autorità di settore e non
sollevano il soggetto NIS dall’obbligo del rispetto dei termini d’uso di cui all’articolo 3
della presente determinazione e, in particolare, dalla responsabilità per le dichiarazioni
mendaci di cui al comma 5 del medesimo articolo.
2. Nei casi di cui al comma 1, l’Autorità nazionale competente NIS fornisce riscontro al
soggetto entro trenta giorni dalla presentazione della dichiarazione tramite il “Servizio NIS/
Dichiarazione”. Il predetto termine può essere prorogato dall’Autorità nazionale competente
NIS, per una sola volta e fino ad un massimo di ulteriori venti giorni, qualora sia necessario
svolgere approfondimenti complessi riguardanti la coerenza delle informazioni contenute
nella dichiarazione.
3. Ove si renda necessario richiedere al soggetto integrazioni, informazioni aggiuntive o
modifiche della dichiarazione, i termini di cui al comma 2 sono sospesi e ricominciano a
decorrere dalla data di ricevimento delle integrazioni e delle informazioni che sono rese
entro il termine di dieci giorni dalla richiesta. Il tardivo riscontro alle richieste di cui al
presente comma può essere motivo di rigetto della dichiarazione.
4. Al termine delle verifiche di coerenza delle informazioni contenute nelle dichiarazioni,
l’Autorità nazionale competente comunica, tramite i Servizi NIS al domicilio digitale del
soggetto NIS:
a) l’esito positivo della verifica;
12 di 16

Agenzia per la Cybersicurezza Nazionale
b) l’esito negativo della verifica.
5. La comunicazione di cui al comma 4, lettera b), non solleva il soggetto NIS dall’obbligo di
registrazione di cui all’articolo 7, comma 1, del decreto NIS.
Articolo 15
(Elaborazione dell’elenco dei soggetti NIS e comunicazioni)
1. L’elenco dei soggetti NIS di cui all’articolo 7, comma 2, del decreto NIS è elaborato
dall’Autorità nazionale competente NIS sulla base delle informazioni trasmesse dai soggetti
NIS ai sensi del capo III della presente determinazione e delle verifiche svolte dalle Autorità
di settore ai sensi dell’articolo 11, comma 4, lettera a), del medesimo decreto che, ove
necessario, possono proseguire anche successivamente all’elaborazione dell’elenco dei
soggetti NIS.
2. Ai sensi del comma 1, il processo di registrazione di cui alla presente determinazione
costituisce la fase endoprocedimentale del procedimento di costituzione dell’elenco dei
soggetti NIS.
3. Ai sensi dell’articolo 7, comma 3, del decreto NIS, l’Autorità nazionale competente NIS
comunica ai soggetti registrati l'inserimento, o meno, nell'elenco dei soggetti NIS. Ai
soggetti inseriti nell’elenco dei soggetti NIS e ai loro punti di contatto viene, altresì,
comunicato un codice identificativo univoco, per il soggetto NIS, al fine di facilitare le
interlocuzioni con l’Autorità nazionale competente NIS.

Capo IV
Aggiornamento delle informazioni
Articolo 16
(Processo per l’aggiornamento annuale delle informazioni)
1. Dal 15 aprile al 31 maggio di ogni anno, gli utenti aggiornano, tramite il “Servizio NIS/
Aggiornamento annuale informazioni”, le informazioni per conto del soggetto per cui
operano, assicurandone la correttezza.
2. Per tutti i soggetti NIS:
a) il punto di contatto si assicura che i propri dati anagrafici e di contatto siano corretti e
aggiornati. Ove prevista dall’articolo 4, il punto di contatto si assicura che la delega
conferitagli dal rappresentante legale del soggetto sia corretta, aggiornata e conforme a
quanto previsto dall’articolo medesimo;
b) il sostituto punto di contatto si assicura che i propri dati anagrafici e di contatto siano
corretti e aggiornati. Ove prevista delega il sostituto punto di contatto si assicura che la
delega conferitagli dal rappresentante legale del soggetto sia corretta, aggiornata e
conforme a quanto previsto dall’articolo medesimo;
c) la segreteria, ove presente, si assicura che i propri dati anagrafici e di contatto siano
corretti e aggiornati.
3. Per tutti i soggetti NIS, gli utenti verificano la correttezza e l’aggiornamento:
13 di 16

Agenzia per la Cybersicurezza Nazionale
a) dei dati anagrafici e di contatto del soggetto NIS. Tali informazioni includono almeno
il codice fiscale, la denominazione, l’indirizzo della sede legale, l’indicazione del
rappresentante legale, l’elenco dei procuratori generali, il numero di telefono, il
domicilio digitale e un indirizzo di posta elettronica ordinaria funzionale;
b) dell’elenco dei componenti degli organi di amministrazione e direttivi, quali persone
fisiche responsabili ai sensi dell’articolo 38, comma 5, del decreto NIS;
c) ove applicabile, dell’elenco dei servizi che rientrano nell’ambito di applicazione della
direttiva 2022/2555 che il soggetto NIS offre nell’UE e indicando in quali Stati membri;
d) dello spazio di indirizzamento IP pubblico e dei nomi di dominio in uso o nella
disponibilità del soggetto NIS, eventualmente distinto a livello di articolazioni di primo
livello;
e) dell’elenco degli accordi di condivisione delle informazioni
f) dei dati identificativi del referente CSIRT e degli eventuali sostituti.
4. Per i soggetti NIS di cui all’articolo 7, comma 5, del decreto NIS gli utenti verificano la
correttezza e l’aggiornamento dell’elenco delle sedi del soggetto NIS nell’Unione,
indicandone l’indirizzo.
5. Per i soggetti NIS di cui all’articolo 5, comma 1, lettera b), del decreto NIS, che hanno
designato il proprio rappresentante NIS in Italia ai sensi dell’articolo 6 della presente
determinazione, gli utenti verificano che dati anagrafici e di contatto del rappresentante NIS
siano corretti e aggiornati.
6. Qualora ritenuto opportuno, è data la facoltà di descrivere la struttura organizzativa
dell’organizzazione, indicandone la suddivisione in articolazioni di primo livello. Tale
descrizione della struttura organizzativa potrà essere impiegata per l’eventuale conferimento
di informazioni di dettaglio relative alle articolazioni di primo livello.
7. Gli utenti designati quali punti di contatto confermano, ai sensi del decreto del Presidente
della Repubblica del 28 dicembre 2000, n. 445, le informazioni fornite e le trasmettono
telematicamente tramite il “Servizio NIS/Aggiornamento annuale informazioni”
all’Autorità nazionale competente NIS. Copia di tali informazioni, per ricevuta, è inviata al
domicilio digitale del soggetto.
8. La modifica, confermata da punto di contatto, dell’indicazione del rappresentante legale o
dell’elenco dei procuratori generali del soggetto NIS è sottoposta alla convalida del soggetto
medesimo, secondo la procedura telematica indicata nella richiesta inviata al domicilio
digitale di quest’ultimo.
9. Le modifiche dei dati anagrafici e di contatto del soggetto NIS sono trasmesse, per ricevuta,
al domicilio digitale di quest’ultimo.
10. Le modifiche dei dati anagrafici e di contatto degli utenti sono trasmesse, per ricevuta,
all’indirizzo di posta elettronica certificata indicata dall’utente stesso o, in subordine,
all’indirizzo di posta elettronica ordinaria indicata dall’utente stesso.
11. In fase di prima applicazione, fermo restando quanto previsto dall’articolo 35, comma 3,
lettera c), e dall’articolo 42, comma 1, lettera c), del decreto NIS, in caso di registrazione
tardiva, il termine per completare l’aggiornamento annuale è comunicato di volta in volta
dall’Autorità nazionale competente NIS.

14 di 16

Agenzia per la Cybersicurezza Nazionale
12. Il comma 3, lettera b), del presente articolo e l’articolo 17 non si applicano ai soggetti che
rientrano nell’ambito di applicazione del decreto NIS e del Regolamento UE 2022/2554
(DORA).
Articolo 17
(Elencazione degli organi di amministrazione e direttivi)
1. Ai fini dell’articolo 16, comma 3, lettera b), tramite il “Servizio NIS/Aggiornamento
annuale informazioni”, gli utenti elencano i codici fiscali delle persone fisiche che
compongono gli organi di amministrazione e direttivi, indicandone l’indirizzo di posta
elettronica certificata.
2. Le informazioni di cui al comma 1 sono confermate dal punto di contatto.
3. Ai fini dell’articolo 7, comma 4, lettera c), del decreto NIS, le persone fisiche appartenenti
agli organi di amministrazione e direttivi del soggetto NIS accettano tale indicazione
accedendo al Portale ACN, secondo la procedura telematica indicata nella richiesta inviata
a loro indirizzo di posta elettronica certificata di cui al comma 1.
Articolo 18
(Processo per l’aggiornamento continuo delle informazioni)
1. A seguito del perfezionamento dell’aggiornamento annuale, laddove siano sopravvenute
modifiche alle informazioni trasmesse ai sensi dell’articolo 16, tramite il “Servizio NIS/
Aggiornamento continuo informazioni” gli utenti forniscono le informazioni aggiornate per
conto del soggetto per cui operano, assicurandone la correttezza.
2. L’aggiornamento continuo delle informazioni è possibile fino al 14 aprile di ogni anno
successivo alla ricezione della comunicazione di cui all’articolo 7, comma 3, lettera a), del
decreto NIS.
3. Gli utenti designati quali punti di contatto confermano, ai sensi del decreto del Presidente
della Repubblica del 28 dicembre 2000, n. 445, le informazioni fornite e le trasmettono
telematicamente tramite il “Servizio NIS/Aggiornamento continuo informazioni”
all’Autorità nazionale competente NIS. Copia di tali informazioni, per ricevuta, è inviata al
domicilio digitale del soggetto.
4. La modifica, confermata da punto di contatto, dell’indicazione del rappresentante legale o
dell’elenco dei procuratori generali del soggetto NIS è sottoposta alla convalida del soggetto
medesimo, secondo la procedura telematica indicata nella richiesta inviata al domicilio
digitale di quest’ultimo.
5. Le modifiche dei dati anagrafici e di contatto del soggetto NIS sono trasmesse, per ricevuta,
al domicilio digitale di quest’ultimo.
6. Le modifiche dei dati anagrafici e di contatto degli utenti sono trasmesse, per ricevuta,
all’indirizzo di posta elettronica certificata indicata dall’utente stesso o, in subordine,
all’indirizzo di posta elettronica ordinaria indicata dall’utente stesso.

15 di 16

Agenzia per la Cybersicurezza Nazionale
Capo V
Disposizioni finali
Articolo 19
(Disposizioni finanziarie)
1. Agli oneri derivanti dalla presente determinazione, a carico dell’Autorità nazionale
competente NIS e delle Autorità di settore, si provvede, rispettivamente, con le risorse di
cui agli articoli 10 e 11 del decreto NIS.

Articolo 20
(Pubblicità)
1. La presente determinazione è pubblicata sul sito web e sui siti web istituzionali delle
Autorità di settore NIS e ne sarà data, altresì, comunicazione tramite pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana.
Articolo 21
(Applicazione)
1. La presente determinazione aggiorna e sostituisce la determinazione ACN n. 333017 del 22
settembre 2025.
2. Per quanto non previsto dalla presente determinazione, si applicano le disposizioni del
decreto NIS.
3. La presente determinazione si applica a decorrere dal 31 dicembre 2025.
Roma, data del protocollo
IL DIRETTORE GENERALE
Bruno Frattasi
Bruno
Frattasi
18.12.2025
18:12:36
GMT+01:00

16 di 16

