Agenzia per la Cybersicurezza Nazionale
Determinazione del Direttore Generale dell’Agenzia per la
cybersicurezza nazionale
di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata
secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42,
comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base
per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo.
IL DIRETTORE GENERALE
VISTO il decreto-legge 14 giugno 2021, n. 82, come convertito con modificazioni nella legge 4
agosto 2021, n. 109, recante “Disposizioni urgenti in materia di cybersicurezza, definizione
dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza
nazionale”;
VISTO il decreto legislativo 4 settembre 2024, n. 138, recante “il recepimento della direttiva (UE)
2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante
modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la
direttiva (UE) 2016/1148”, c.d. decreto NIS, ed in particolare l’articolo 31, commi 1 e 2, che
prevede che, ai fini di cui agli articoli 23, 24, 25, 27, 28 e 29, l'Autorità nazionale competente NIS
stabilisce obblighi proporzionati tenuto debitamente conto del grado di esposizione dei soggetti ai
rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della
loro gravità, compreso il loro impatto sociale ed economico, nonché termini, modalità, specifiche
e tempi graduali di implementazione di tali obblighi;
VISTO l’articolo 40, comma 5, lettera l), del decreto NIS che prevede che tali obblighi sono stabiliti
con una o più Determinazioni dell’Agenzia per la cybersicurezza nazionale, sentito il Tavolo per
l’attuazione della disciplina NIS;
VISTO altresì l’articolo 42, comma 1, lettera c), del decreto NIS, che prevede, in fase di prima
applicazione, che l’Autorità nazionale competente NIS stabilisce le modalità e le specifiche di base
per l’adempimento ai predetti obblighi;
VISTO il decreto del Presidente del Consiglio dei ministri del 10 marzo 2023, recante la nomina
del Prefetto Bruno Frattasi a Direttore generale dell’Agenzia per la cybersicurezza nazionale;
VISTO il “Framework Nazionale per la Cybersecurity e la Data Protection”, edizione 2025
(Framework nazionale), realizzato dal Centro di ricerca di cyber intelligence and information
security (CIS) della Sapienza Università di Roma e dal Cybersecurity national lab del Consorzio
interuniversitario nazionale per l'informatica (CINI), in collaborazione con l’Agenzia per la
cybersicurezza nazionale (ACN), quale strumento di supporto per le organizzazioni pubbliche e
private in materia di strategie e processi volti alla sicurezza informatica;
CONSIDERATO che gli allegati tecnici recanti le predette specifiche di base, illustrate nella
seconda riunione plenaria del Tavolo per l’attuazione della disciplina NIS, tenutasi il 28 gennaio
1 di 6

Agenzia per la Cybersicurezza Nazionale
2025, sono stati condivisi con le Autorità di settore e con le associazioni di categoria anche per
mezzo dei tavoli settoriali di cui all’articolo 11, comma 4, lettera f), del decreto NIS;
PRESSO ATTO dei riscontri pervenuti;
SENTITO il Tavolo per l’attuazione della disciplina NIS nella riunione del 10 aprile 2025;
RITENUTO di avviare la procedura di informazione ai sensi della Direttiva (UE) n. 2015/1535 del
Parlamento europeo e del Consiglio del 9 settembre 2015;
CONSIDERATO il grado di esposizione dei soggetti ai rischi, le dimensioni dei soggetti e la
probabilità che si verifichino incidenti, nonché la loro gravità, compreso il loro impatto sociale ed
economico;

ADOTTA LA PRESENTE DETERMINAZIONE

Articolo 1
(Definizioni)
1. Ai fini della presente determinazione si intende per:
a) “decreto NIS”, il decreto legislativo 4 settembre 2024, n. 138;
b) “Agenzia per la cybersicurezza nazionale”, l’Agenzia per la cybersicurezza nazionale
di cui all’articolo 5, comma 1, del decreto-legge 14 giugno 2021, n. 82;
c) “Autorità nazionale competente NIS”, l’Autorità nazionale competente di cui
all’articolo 10, comma 1, del decreto NIS;
d) “Autorità di settore NIS”, le Amministrazioni di cui all’articolo 11, commi 1 e 2, del
decreto NIS;
e) “soggetto NIS”, un soggetto, di cui all’articolo 2, comma 1, lettera hhh), del decreto
NIS, di natura giuridica pubblica o privata che rientra nell’ambito di applicazione del
decreto NIS;
f) “soggetti essenziali”, i soggetti NIS considerati essenziali ai sensi del decreto NIS;
g) “soggetti importanti”, i soggetti NIS considerati importanti ai sensi del decreto NIS;
h) “comunicazione di inserimento nell’elenco dei soggetti NIS”, la comunicazione di cui
all’articolo 7, comma 3, lettera a), del decreto NIS;
i) “organi di amministrazione e direttivi”, gli organi di amministrazione e direttivi di cui
all’articolo 23 del decreto NIS, ivi incluso, laddove presente, il consiglio di
amministrazione dei soggetti NIS;
j) “misure di sicurezza di base”, specifiche di base per gli obblighi di cui agli articoli 23
e 24 del decreto NIS, sviluppate in accordo al Framework nazionale e organizzate in
funzioni, categorie, sottocategorie e requisiti;
k) “incidenti significativi di base”, le specifiche di base che descrivono gli incidenti
significativi di cui all’articolo 25 del decreto NIS;

2 di 6

Agenzia per la Cybersicurezza Nazionale
l) “sistemi informativi e di rete rilevanti”, sistemi informativi e di rete la cui
compromissione comporterebbe un impatto significativo sulla confidenzialità, integrità
e disponibilità delle attività e servizi per i quali il soggetto NIS rientra nell’ambito di
applicazione del decreto NIS;
m) “fornitori di servizi di registrazione dei nomi di dominio”, i fornitori di cui all’articolo
2, comma 1, lettera oo), del decreto NIS;
n) “gestori di registri dei nomi di dominio di primo livello”, i gestori di cui all’articolo 2,
comma 1, lettera pp), del decreto NIS;
o) “soggetti PSNC-NIS”, i soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge n.
105 del 2019 che sono soggetti NIS;
p) “sistemi informativi e di rete PSNC”, sistemi informativi e di rete che sono inseriti
nell'elenco di cui all'articolo 1, comma 2, lettera b), del decreto-legge n. 105 del 2019
q) “operatori di servizi essenziali”, c.d. OSE, i soggetti NIS identificati prima della data di
entrata in vigore del decreto NIS come operatori di servizi essenziali ai sensi del decreto
legislativo 18 maggio 2018, n. 65;
r) “sistemi informativi e di rete OSE”, sistemi informativi e di rete dell’operatore di servizi
essenziali che abilitano i servizi essenziali per i quali l’operatore stesso è stato
identificato ai sensi del decreto legislativo 18 maggio 2018, n. 65;
s) “operatori telco”, i soggetti NIS che forniscono reti pubbliche di comunicazione
elettronica o servizi di comunicazioni elettroniche accessibili al pubblico ai sensi del
decreto legislativo 1° agosto 2003, n. 259, ad un numero di utenti pari o superiore, anche
alternativamente:
1) all’1% della base di utenti nazionale, calcolato sulla base dei dati pubblicati
dall’Osservatorio trimestrale delle comunicazioni a cura dell’Autorità per le
garanzie nelle comunicazioni;
2) a un milione;
t) “sistemi informativi e di rete telco”, sistemi informativi e di rete per l’accesso alla rete
fissa o mobile, da postazione o da terminale mobile, individuati come critici
dall’operatore telco in quanto potenzialmente in grado di servire, per ciascun servizio
indicato:
1) una percentuale dell’utenza pari o superiore all’1% della base di utenti nazionale
per quel servizio, sulla base dei dati pubblicati dall’Osservatorio trimestrale delle
comunicazioni a cura dell’Autorità per le garanzie nelle comunicazioni;
2) un’utenza pari o superiore a un milione.
Articolo 2
(Adozione delle specifiche di base)
1. In fase di prima applicazione del decreto NIS sono adottate le specifiche di base di cui agli
allegati 1, 2, 3 e 4, facenti parte integrante della presente determinazione.
2. Le misure di sicurezza di base, a carico degli organi di amministrazione e direttivi e in
materia di misure di gestione dei rischi per la sicurezza informatica, sono stabiliti:
a) per i soggetti importanti, nell’allegato 1;
b) per i soggetti essenziali, nell’allegato 2.
3 di 6

Agenzia per la Cybersicurezza Nazionale
3. Gli incidenti significativi di base sono stabiliti:
a) per i soggetti importanti, nell’allegato 3;
b) per i soggetti essenziali, nell’allegato 4.
Articolo 3
(Termini per l’adozione delle specifiche di base)
1. Il termine per l’adozione delle misure di sicurezza di base di cui agli allegati 1 e 2 è fissato
in diciotto mesi dalla ricezione, da parte del soggetto NIS della comunicazione di
inserimento nell’elenco dei soggetti NIS.
2. Il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base
descritti negli allegati 3 e 4 è fissato in nove mesi dalla ricezione, da parte del soggetto NIS,
della comunicazione di inserimento nell’elenco dei soggetti NIS.
Articolo 4
(Sicurezza, stabilità e resilienza dei sistemi di nomi di dominio)
1. Fermo restando quanto previsto dall’articolo 29 del decreto NIS, entro diciotto mesi dalla
ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, i gestori di
registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi
di dominio si adeguano alle previsioni di cui al predetto articolo, commi 1 e 2, nonché
adottano e rendono pubbliche le politiche e le procedure di cui al comma 3 del medesimo
articolo.
2. Le modalità di adeguamento alle previsioni di cui all’articolo 29, commi 1 e 2, nonché le
politiche e le procedure di cui al comma 3 del medesimo articolo sono approvate dagli organi
di amministrazione e direttivi.
3. Ai sensi dell’articolo 32, comma 3, i gestori di registri dei nomi di dominio di primo livello
e i fornitori di servizi di registrazione dei nomi di dominio adottano politiche al fine di
assicurare un livello di sicurezza informatica coerente con le specifiche di cui all’allegato 1.
4. Le politiche di sicurezza informatica di cui al comma 3 sono approvate dagli organi di
amministrazione e direttivi.
Articolo 5
(Obblighi di notifica per i soggetti PSNC-NIS)
1. Fermo restando quanto previsto dall’articolo 33 del decreto NIS, i soggetti PSNC-NIS
notificano gli incidenti significativi di base di cui all’allegato 4, ai sensi dell’articolo 25 del
decreto NIS, limitatamente ai sistemi informativi e di rete diversi da quelli PSNC.
2. Il termine per l’obbligo di cui al comma 1 decorre dalla data di entrata in vigore della
presente determinazione.

4 di 6

Agenzia per la Cybersicurezza Nazionale
Articolo 6
(Regime transitorio per gli operatori di servizi essenziali)
1. Fermo restando quanto previsto dall’articolo 2, comma 2, e dall’articolo 3, comma 1, gli
operatori di servizi essenziali, limitatamente ai sistemi informativi e di rete OSE, per quanto
non in contrasto con la legge e il decreto NIS, assicurano il mantenimento delle misure
tecniche e organizzative già adottate prima dell’entrata in vigore del decreto NIS ai sensi del
decreto legislativo 18 maggio 2018, n. 65.
2. Al fine di assicurare la continuità dell’obbligo di notifica di incidente di cui all’articolo 12,
comma 5, del decreto legislativo 18 maggio 2018, n. 65, dall’entrata in vigore della presente
determinazione, ai sensi dell’articolo 25 del decreto NIS, gli operatori di servizi essenziali,
limitatamente ai sistemi informativi e di rete OSE, notificano gli incidenti significativi di
base di cui:
a) all’allegato 3, qualora siano soggetti importanti;
b) all’allegato 4, qualora siano soggetti essenziali.
3. Il termine per gli adempimenti di cui al presente articolo decorre dalla data di entrata in
vigore della presente determinazione.
Articolo 7
(Regime transitorio per gli operatori telco)
1. Fermo restando quanto previsto dall’articolo 2, comma 2, e dall’articolo 3, comma 1, gli
operatori telco, limitatamente ai sistemi informativi e di rete telco, per quanto non in
contrasto con la legge e il decreto NIS, assicurano il mantenimento delle misure di sicurezza
e di integrità delle reti e dei servizi già adottate prima dell’entrata in vigore del decreto NIS
ai sensi del decreto del Ministro dello sviluppo economico del 12 dicembre 2018.
2. Al fine di assicurare la continuità dell’obbligo di notifica di incidente di cui all’articolo 40,
comma 3, lettera b), del decreto legislativo 1° agosto 2003, n. 259, ai sensi dell’articolo 25
del decreto NIS, dall’entrata in vigore della presente determinazione, gli operatori telco,
limitatamente ai sistemi informativi e di rete telco, notificano gli incidenti significativi di
base:
a) di cui all’allegato 3, qualora siano soggetti importanti;
b) di cui all’allegato 4, qualora siano soggetti essenziali.
3. Ai fini del comma 2, nella definizione del livello di servizio atteso di cui agli allegati 3 e 4,
gli operatori telco considerano come incidenti significativi di base i seguenti casi:
a) durata superiore ad un’ora e percentuale degli utenti colpiti superiore al quindici per
cento del totale degli utenti nazionali del servizio interessato;
b) durata superiore a due ore e percentuale degli utenti colpiti superiore al dieci per
cento del totale degli utenti nazionali del servizio interessato;
c) durata superiore a quattro ore e percentuale degli utenti colpiti superiore al cinque
per cento del totale degli utenti nazionali del servizio interessato;
5 di 6

Agenzia per la Cybersicurezza Nazionale
d) durata superiore a sei ore e percentuale degli utenti colpiti superiore al due per cento
del totale degli utenti nazionali del servizio interessato;
e) durata superiore ad otto ore e percentuale degli utenti colpiti superiore all’uno per
cento del totale degli utenti nazionali del servizio interessato.
4.

Il termine per gli adempimenti di cui al presente articolo decorre dalla data di entrata in
vigore della presente determinazione.
Articolo 8
(Disposizioni finanziarie)

1. Dalla presente determinazione non derivano nuovi o maggiori oneri a carico della finanza
pubblica, anche ai sensi dell’articolo 12, comma 6, del decreto NIS.
Articolo 9
(Pubblicità)
1. La presente determinazione è pubblicata sui siti web istituzionali dell’Agenzia per la
cybersicurezza nazionale e delle Autorità di settore NIS. Ne sarà data, altresì,
comunicazione tramite pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Articolo 10
(Entrata in vigore e disposizioni transitorie)
1. Per quanto non previsto dalla presente determinazione, si applicano le disposizioni del
decreto NIS.
2. La presente determinazione entra in vigore a decorrere dal 30 aprile 2025.
3. L’articolo 2, commi 2 e 3, e l’articolo 3 entrano in vigore il giorno successivo
all’esperimento della procedura di informazione ai sensi della Direttiva (UE) n. 2015/1535
del Parlamento europeo e del Consiglio del 9 settembre 2015.
Roma, data del protocollo
IL DIRETTORE GENERALE
Bruno Frattasi

Firmato digitalmente da: Bruno
Frattasi
Data: 14/04/2025 10:52:39

6 di 6