Quali sono le prossime scadenze NIS per l’anno 2025? È questa la domanda che molte organizzazioni classificate come soggetti essenziali o importanti si pongono all’approssimarsi del termine del 31 maggio.

Come noto, in attuazione della Direttiva (UE) 2022/2555, l’Italia ha adottato il Decreto Legislativo 4 settembre 2024, n. 138, che ha introdotto un articolato sistema di obblighi in materia di cybersicurezza. Tra questi, uno degli adempimenti fondamentali riguarda l’aggiornamento e la trasmissione annuale all’Agenzia per la Cybersicurezza Nazionale (ACN) di una serie di informazioni rilevanti ai fini della gestione del rischio e della resilienza dei servizi digitali.

Secondo quanto stabilito dall’art. 7, comma 4, del decreto, i soggetti che hanno ricevuto formale classificazione da parte dell’ACN come essenziali o importanti devono, a partire dal 15 aprile ed entro la scadenza del 31 maggio, aggiornare o confermare tramite la piattaforma digitale istituita dall’Agenzia una serie di dati tecnici, organizzativi e identificativi. Le scadenze NIS 2025 si inseriscono in un processo annuale di verifica e validazione che costituisce il presupposto per una vigilanza efficace e per l’integrazione nel sistema europeo di cybersicurezza.

L’obiettivo del presente articolo è quello di illustrare in modo sistematico e conforme al dato normativo quali adempimenti devono essere assolti e quali sono le scadenze NIS, chiarendo la portata delle informazioni da trasmettere, i soggetti coinvolti e le conseguenze di un eventuale inadempimento.

Scadenze NIS: cosa devono comunicare i soggetti essenziali e importanti

Nell’ambito degli obblighi imposti dal Decreto Legislativo 4 settembre 2024, n. 138, le scadenze NIS 2025 assumono un rilievo operativo di primaria importanza per tutti i soggetti classificati come essenziali e importanti (qui un approfondimento sulla formazione dell’elenco degli operatori NIS). In conformità a quanto disposto dall’art. 7, comma 4, tali soggetti sono tenuti, annualmente e con decorrenza dal 15 aprile, a trasmettere all’Agenzia per la Cybersicurezza Nazionale (ACN) un insieme di informazioni aggiornate che riguardano l’assetto tecnico e organizzativo dell’ente.

Tali dati devono essere inviati telematicamente tramite l’apposita piattaforma digitale NIS, e l’adempimento deve avvenire entro e non oltre il 31 maggio 2025.

Più precisamente, la norma richiede l’aggiornamento di almeno quattro categorie di informazioni. In primo luogo, devono essere comunicati lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto, elementi essenziali per la mappatura delle superfici esposte a rischio.

In secondo luogo, ove applicabile, occorre indicare l’elenco degli Stati membri dell’Unione europea in cui l’organizzazione fornisce servizi che rientrano nell’ambito di applicazione del decreto.

Devono poi essere identificati i responsabili ai sensi dell’art. 38, comma 5, ossia le persone fisiche che esercitano poteri decisionali o di rappresentanza e che, pertanto, sono giuridicamente tenute a garantire il rispetto della disciplina.

Infine, si richiede la designazione di un sostituto del punto di contatto già comunicato ai sensi dell’art. 7, comma 1, con l’indicazione del relativo ruolo e dei recapiti aggiornati, inclusi indirizzo e-mail e numero di telefono.

I dati da verificare sulla piattaforma ACN secondo la Determina n. 36117/2025

In vista delle scadenze NIS 2025, la Determinazione del Direttore generale dell’Agenzia per la Cybersicurezza Nazionale n. 36117 del 10 aprile 2025 ha definito in modo puntuale le modalità operative per l’accesso e l’utilizzo della piattaforma digitale NIS, nonché l’elenco delle informazioni aggiuntive che i soggetti devono verificare e confermare entro il 31 maggio 2025, nell’ambito del processo annuale di aggiornamento. Il riferimento principale è costituito dagli articoli 15 e 16 del provvedimento, i quali delineano un articolato insieme di attività che devono essere svolte dagli utenti abilitati in rappresentanza del soggetto obbligato.

Ai sensi dell’art. 15, comma 1, il processo di aggiornamento si svolge dal 15 aprile al 31 maggio di ciascun anno, tramite il servizio denominato “NIS/Aggiornamento annuale”, con l’obbligo per tutti i soggetti NIS di assicurare la correttezza dei dati trasmessi.

Le informazioni da verificare includono, tra l’altro, i dati anagrafici e di contatto del soggetto NIS, il codice fiscale, la denominazione, la sede legale, l’identità del rappresentante legale, l’elenco dei procuratori generali, nonché il numero di telefono, il domicilio digitale e un indirizzo di posta elettronica ordinaria funzionale. L’articolo 15 richiede inoltre l’aggiornamento dell’elenco dei componenti degli organi di amministrazione e direttivi, dei servizi offerti nell’Unione europea, dello spazio di indirizzamento IP pubblico, dei domini registrati e degli eventuali accordi di condivisione delle informazioni.

L’art. 16 impone che, ai fini della conformità all’art. 7, comma 4, lettera c), del D. Lgs. 138/2024, i soggetti elenchino i codici fiscali e gli indirizzi di posta elettronica certificata delle persone fisiche che compongono gli organi di amministrazione e direttivi.

Tali dati devono essere confermati dal punto di contatto ed accettati dai soggetti stessi accedendo al Portale ACN, secondo la procedura prevista.

Scadenze NIS: il ruolo dei responsabili e degli organi direttivi

Il rispetto delle scadenze NIS non può prescindere dal coinvolgimento attivo e consapevole dei soggetti apicali delle organizzazioni classificate come essenziali o importanti. Il legislatore ha inteso attribuire una responsabilità diretta e personale agli organi di amministrazione e agli organi direttivi, chiamati non solo a sovrintendere all’adempimento degli obblighi previsti dal decreto, ma anche ad approvare le modalità di implementazione delle misure di sicurezza adottate ai sensi dell’art. 24.

In tal senso, l’art. 23 del D. Lgs. 138/2024 stabilisce che tali organi devono altresì assicurare l’adempimento degli obblighi informativi e comunicativi previsti dall’art. 7, con espressa previsione di responsabilità per le eventuali violazioni.

È opportuno rilevare che la nozione di “organi di amministrazione” e “organi direttivi” non è definita in modo univoco dalla normativa vigente, né dal decreto né dalla Direttiva NIS 2, e la sua applicazione concreta può risultare non agevole, specialmente in presenza di strutture organizzative complesse o articolate. Pertanto, i soggetti essenziali e importanti sono chiamati a operare una valutazione accurata dell’assetto interno, con riferimento alle effettive funzioni esercitate e ai poteri di gestione o indirizzo strategico attribuiti alle singole figure apicali.

In tale ottica, avvalersi di una consulenza specialistica può risultare determinante per garantire l’individuazione corretta dei soggetti responsabili e per assicurare una trasmissione conforme e completa delle informazioni richieste entro le scadenze NIS.

Oltre a ciò, il medesimo art. 23 impone ai componenti degli organi direttivi un obbligo di formazione in materia di sicurezza informatica, con il compito di promuovere percorsi formativi periodici anche per i dipendenti, così da accrescere la capacità complessiva dell’organizzazione di individuare i rischi cyber e di gestirli in modo strutturato. Gli organi devono inoltre essere informati con cadenza periodica (o comunque tempestivamente) degli incidenti e delle notifiche di cui agli articoli 25 e 26 del decreto.

Ulteriore responsabilità individuale è prevista per le persone fisiche che, pur non appartenendo formalmente agli organi collegiali, esercitano poteri decisionali o rappresentano legalmente l’organizzazione. In base all’art. 38, comma 5, infatti, “qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto”. Dette persone possono essere ritenute responsabili dell’inadempimento in caso di violazione delle disposizioni normative.

Alla luce di tali previsioni, è evidente l’obbligo comunicativo non si configura come un mero adempimento amministrativo, bensì come un passaggio determinante nella governance della cybersicurezza, destinato a incidere sulle responsabilità giuridiche e operative dei vertici aziendali.

Scadenze NIS: conseguenze in caso di mancata comunicazione

Il mancato rispetto delle scadenze NIS è sanzionato in modo significativo dal legislatore. In particolare, l’art. 38 del D. Lgs. 138/2024, ai commi 10 e 11, stabilisce un apparato sanzionatorio amministrativo pecuniario a carico dei soggetti classificati come essenziali o importanti che omettano di comunicare o aggiornare le informazioni richieste nei termini stabiliti.

La disposizione prevede che, in caso di violazione degli obblighi di comunicazione di cui all’art. 7, comma 4 e in genere, delle scadenza NIS, l’Agenzia per la Cybersicurezza Nazionale possa irrogare una sanzione amministrativa fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale, riferito all’esercizio precedente del soggetto obbligato.

Il dato normativo è chiaro nell’indicare che la responsabilità per l’inosservanza delle scadenze NIS può ricadere non soltanto sull’ente, ma anche su specifiche figure apicali, come previsto dall’art. 38, comma 5, laddove si accerti che la mancata comunicazione dipenda da condotte omissive o negligenti di soggetti titolari di poteri decisionali o di rappresentanza.

Scadenze NIS: il valore di una consulenza esperta nella gestione degli adempimenti

Sebbene gli obblighi informativi da adempiere possano apparire, a un primo sguardo, di natura meramente compilativa e amministrativa, l’esperienza dimostra come la corretta esecuzione degli adempimenti richieda un’attenta valutazione sotto il profilo giuridico e organizzativo.

La trasmissione dei dati tramite la piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale, infatti, non si esaurisce in un semplice aggiornamento formale, ma implica la corretta identificazione dei soggetti responsabili, l’attribuzione di ruoli conformi a quanto previsto dalla normativa e la verifica puntuale della completezza e veridicità delle informazioni rese.

In particolare, come evidenziato nei precedenti paragrafi, la nozione di organi di amministrazione e organi direttivi non risulta agevolmente determinabile in tutti i contesti, specialmente in presenza di strutture complesse, articolazioni interne o assetti societari non lineari. Una valutazione sommaria o approssimativa potrebbe condurre all’inserimento in piattaforma di dati non conformi, esponendo l’organizzazione al rischio di sanzioni, anche personali, e compromettendo il rapporto di collaborazione con l’autorità di vigilanza.

In questa prospettiva, affidarsi all’assistenza di uno studio legale con expertise specifica in materia di cybersicurezza può rappresentare un fattore determinante per assicurare una gestione rigorosa e tempestiva degli obblighi.

Siamo a disposizione per un confronto sulle scelte operative della PA o dell’azienda nella fase di analisi organizzativa interna, al fine di assicurare il rispetto delle scadenze NIS per l’anno in corso.