I soggetti importanti inseriti nell’elenco NIS tenuto da ACN devono, entro il 31 maggio 2025, procedere all’aggiornamento annuale delle informazioni già fornite, in conformità all’articolo 7 del decreto. È richiesto anche di nominare un sostituto del punto di contatto, figura che potrà operare in supporto o in sostituzione del referente principale nelle interlocuzioni con l’Agenzia. Tra le informazioni da aggiornare rientrano: dati anagrafici, indirizzi IP pubblici, nomi di dominio e dati identificativi dell’ente. La trasmissione avviene esclusivamente tramite il servizio online presente sul portale ACN.

RA2.1.1 - I soggetti aggregatori devono dotarsi di piattaforme di approvvigionamento che digitalizzano la fase di esecuzione dell’appalto - CAP2.PA.01

RA3.2.2 - Le PA pubblicano, entro il 23 settembre, esclusivamente tramite l’applicazione form.AGID.gov.it, la dichiarazione di accessibilità per ciascuno dei propri siti web e APP mobili - CAP3.PA.11

Non è presente nessuna descrizione per questa scadenza

Dal 14 gennaio 2026 diventa operativo l’obbligo per i soggetti importanti di notificare al CSIRT Italia gli incidenti significativi, ovvero quelli che impattano gravemente sulla continuità e la sicurezza dei servizi essenziali. La notifica deve rispettare le modalità e i criteri minimi fissati dalla determinazione ACN n. 164179/2025, inclusi i tempi di segnalazione e i contenuti informativi da trasmettere. È essenziale che l’ente abbia già predisposto un piano interno di gestione degli incidenti per poter rispettare tempestivamente l’obbligo normativo.

Analogamente all’anno precedente, entro il 31 maggio 2026 dovrà essere effettuato il secondo aggiornamento annuale delle informazioni fornite ad ACN, incluse eventuali variazioni nei dati di contatto, nella configurazione infrastrutturale (IP, domini) e nella designazione del punto di contatto o del suo sostituto. Questo adempimento è fondamentale per garantire la continuità delle comunicazioni e il rispetto del principio di accountability stabilito dal decreto.

Scade il termine di 18 mesi dalla comunicazione dell’inserimento nell’elenco NIS per implementare le misure di sicurezza minime definite da ACN. Queste misure, descritte nell’allegato tecnico della determinazione 164179/2025, seguono il modello del Framework nazionale per la cybersecurity. L’obbligo impone una concreta adozione di requisiti tecnici e organizzativi strutturati per funzione, categoria e rischio, al fine di rafforzare la postura di sicurezza dell’organizzazione.