Cos'è la piattaforma ACN e quando mi devo registrare?

La piattaforma digitale ACN (servizi.acn.gov.it) prevista dall'art. 7 DLgs 138/2024 è il punto unico di registrazione, comunicazione con l'autorità competente e notifica degli incidenti. L'ACN comunica individualmente l'inserimento nell'elenco dei soggetti NIS — da quella data decorrono 14 giorni di calendario per completare la registrazione.

Qual è la differenza tra Soggetto Essenziale e Soggetto Importante?

I Soggetti Essenziali sono grandi organizzazioni nei settori dell'allegato I (energia, trasporti, banche, sanità, acqua, infrastruttura digitale, gestione TIC, PA centrale, spazio) e sono soggetti a vigilanza ex ante più intensa e a sanzioni fino a 10 M € o 2 % del fatturato mondiale (art. 38 c. 1). I Soggetti Importanti includono le medie organizzazioni nell'allegato I, tutte le organizzazioni nell'allegato II e sono soggetti a vigilanza ex post e a sanzioni fino a 7 M € o 1,4 % (art. 38 c. 2).

Quali sono i termini operativi per la coorte 2026?

Per la coorte 2026 (Det. ACN 127434/2026): l'implementazione delle misure tecniche di base dell'art. 24 c. 2 deve essere completata entro il 31 luglio 2027; la capacità di notifica incidenti decorre dal 1° gennaio 2027. Le specifiche tecniche minime sono codificate dalla Det. ACN 379907/2025 (allegati 1 e 2 per soggetti importanti / essenziali).

Sono una piccola impresa ma fornisco servizi a un ospedale — sono abbracciato?

No direttamente. Le piccole imprese sono generalmente escluse. Tuttavia, come fornitore di un soggetto essenziale (ospedale, banca, operatore energetico, PA) sarà soggetto a pressione di conformità indiretta — questionari di sicurezza, clausole contrattuali e audit. L'art. 24 c. 2 lett. d) DLgs 138/2024 e l'art. 21(2)(d) della Direttiva NIS 2 obbligano i clienti NIS a gestire il rischio della catena di approvvigionamento.

Quali sanzioni sono previste?

I Soggetti Essenziali rischiano sanzioni amministrative pecuniarie fino a 10 M € o 2 % del fatturato annuo mondiale (il maggiore dei due — art. 38 c. 1). I Soggetti Importanti fino a 7 M € o 1,4 % (art. 38 c. 2). All'art. 38 c. 6 è inoltre prevista la sanzione amministrativa accessoria di incapacità a svolgere funzioni dirigenziali in caso di inadempimento alle diffide.

Reglyze

Diagnosi gratuita

Il DLgs 138/2024 (decreto NIS) si applica alla sua organizzazione?

In 2 minuti scopra la sua classificazione: Soggetto Essenziale, Soggetto Importante, fuori ambito o esposto via catena di approvvigionamento. Senza registrazione. Senza carta. Senza trattamento di dati personali — la diagnosi viene eseguita integralmente nel suo browser.

Attenzione: il DLgs 138/2024 è in vigore dal 16 ottobre 2024. Per la coorte 2026, la capacità di notifica incidenti decorre dal 1° gennaio 2027 e le misure tecniche di base vanno implementate entro il 31 luglio 2027 (Det. ACN 127434/2026).

Domanda 1 di 617%

Qual è il settore primario della sua organizzazione?

Include le Pubbliche Amministrazioni centrali (art. 3 c. 2 lett. j DLgs 138/2024) come opzione dell'Allegato I.

Come funziona il decreto NIS in Italia

Il Decreto Legislativo 4 settembre 2024, n. 138 — il «decreto NIS» nella dottrina ACN — recepisce la Direttiva (UE) 2022/2555 (NIS 2). Pubblicato in Gazzetta Ufficiale n. 230 del 1° ottobre 2024, è in vigore dal 16 ottobre 2024, abroga integralmente il DLgs 65/2018 (recepimento NIS 1) e centralizza l'interazione con lo Stato presso l'ACN (Agenzia per la Cybersicurezza Nazionale) e il CSIRT Italia integrato in ACN.

Il DLgs 138/2024 si applica in base a tre criteri:

Settore: deve operare in uno dei settori dell'allegato I (alta criticità — incluse le pubbliche amministrazioni centrali) o dell'allegato II (altri settori critici).
Dimensione: si applica generalmente a medie (≥ 50 dipendenti o > 10 M € di fatturato) e grandi imprese. Le piccole imprese sono generalmente escluse, salvo le categorie speciali.
Categorie speciali: DNS, IXP, registri TLD, cloud, data centre, CDN e prestatori di servizi fiduciari qualificati sono abbracciati indipendentemente dalle dimensioni.

Se è abbracciato, è classificato come Soggetto Essenziale (grandi imprese nell'allegato I + categorie speciali) o Soggetto Importante (medie imprese nell'allegato I e tutte nell'allegato II).

Termini critici (coorte 2026): registrazione sulla piattaforma ACN entro 14 giorni dalla comunicazione di inserimento nell'elenco dei soggetti NIS; misure tecniche minime dell'art. 24 c. 2 (10 categorie, lettere a-i + l) implementate entro il 31 luglio 2027; capacità di notifica incidenti operativa dal 1° gennaio 2027 (Det. ACN 127434/2026 + 379907/2025).

Notifica incidenti significativi (art. 25 c. 4): preallerta entro 24 ore dalla conoscenza dell'incidente; notifica completa entro 72 ore; relazione finale entro 1 mese. Coordinamento parallelo con il Garante per la protezione dei dati personali quando l'incidente coinvolge dati personali.

Domande frequenti

Cos'è il DLgs 138/2024 e quando è entrato in vigore?: Il Decreto Legislativo 4 settembre 2024, n. 138 recepisce la Direttiva (UE) 2022/2555 (NIS 2). Pubblicato in Gazzetta Ufficiale n. 230 del 1° ottobre 2024, è in vigore dal 16 ottobre 2024 e abroga integralmente il DLgs 65/2018 (recepimento NIS 1).
Devo registrarmi presso ACN — come faccio?: L'ACN comunica individualmente l'inserimento nell'elenco dei soggetti NIS. Da quella data decorrono 14 giorni di calendario per completare la registrazione su servizi.acn.gov.it. Reglyze pre-compila i dati richiesti dal portale ACN e supporta la documentazione della governance art. 23.
Sono una piccola impresa ma fornisco servizi a un ospedale pubblico — sono abbracciato?: No direttamente. Tuttavia, come fornitore di un soggetto essenziale sarà soggetto a pressione di conformità indiretta — questionari, clausole contrattuali e audit. L'art. 24 c. 2 lett. d) DLgs 138/2024 obbliga i clienti NIS a gestire il rischio della catena di approvvigionamento.
Cosa cambia rispetto al DLgs 65/2018 (NIS 1)?: Il DLgs 138/2024 abroga integralmente il DLgs 65/2018. Tre cambiamenti chiave: (1) la doppia categoria «soggetti essenziali / soggetti importanti» sostituisce gli «operatori di servizi essenziali» (OSE); (2) ambito esteso a molti più settori (allegati I + II); (3) la responsabilità degli organi di amministrazione e direttivi è esplicita (art. 23), con sanzione accessoria di incapacità in caso di inadempimento (art. 38 c. 6).
Cos'è il PSNC e come si coordina con NIS 2?: Il Perimetro di Sicurezza Nazionale Cibernetica (DL 105/2019) è un regime preesistente che coesiste con NIS 2. L'art. 33 DLgs 138/2024 disciplina l'articolazione tra i due regimi — i soggetti inclusi nel PSNC possono essere contemporaneamente soggetti NIS e soggiacciono agli adempimenti di entrambi i regimi.

Inizi la valutazione completa in pochi minuti

La diagnosi le dice se è abbracciato. La valutazione Reglyze le dice esattamente cosa deve fare per implementare le 10 misure dell'art. 24 c. 2 DLgs 138/2024. Inizi gratuitamente.

Il DLgs 138/2024 (decreto NIS) si applica alla sua organizzazione?

Diagnosi interattiva

Qual è il settore primario della sua organizzazione?

Come funziona il decreto NIS in Italia

Domande frequenti

Inizi la valutazione completa in pochi minuti