Cybersicurezza: attiva la piattaforma di ACN per censire le imprese soggette alla Direttiva NIS 2

La Direttiva NIS2, adottata il 14 dicembre 2022 e recepita nell’ordinamento italiano dal D. Lgs. n. 138 del 4 settembre 2024 (Decreto NIS2), entrato in vigore il 16/20/2024, mira a rafforzare il livello comune di cybersicurezza nell’Unione Europea, ampliando il relativo ambito di applicazione rispetto alla precedente Direttiva (UE) 2016/1148.

La NIS2 stabilisce nuovi obblighi di gestione del rischio, segnalazione degli incidenti e vigilanza per i soggetti la cui attività risulti essenziale o rilevante per la resilienza cibernetica di settori strategici.

In particolare, la Direttiva distingue tra “soggetti essenziali” e “soggetti importanti”, includendo nella sua disciplina chiunque operi nei settori e sottosettori identificati nei relativi allegati e soddisfi specifici criteri dimensionali o qualitativi (per maggiori informazioni, si raccomanda di consultare la seguente pagina https://www.acn.gov.it/portale/documents/d/guest/faq-1-5_dettaglio-ambiti-diapplicazione).

La registrazione sulla piattaforma ACN

Ai sensi dell’art. 7, comma 1, del Decreto NIS2 (D. Lgs. n. 138 del 4 settembre 2024), i soggetti che ritengano di rientrare nel perimetro applicativo della Direttiva NIS2 in base ai suddetti criteri, devono, entro il 28 febbraio 2025, autoidentificarsi e manifestarsi all’Autorità per la cybersicurezza nazionale (ACN) attraverso la registrazione sulla apposita piattaforma digitale messa a disposizione dall’autorità, a partire dal 1° dicembre 2024.

La scadenza per completare il processo di registrazione è fissata al 28 febbraio 2025. È fondamentale che i soggetti interessati rispettino questa tempistica per evitare sanzioni e garantire la propria conformità normativa. Una volta registrati, i soggetti riceveranno, entro aprile 2025, una comunicazione ufficiale dall’ACN che stabilirà se sono effettivamente soggetti agli obblighi del Decreto NIS2. Questo passaggio è cruciale per fornire chiarezza sull’applicabilità delle norme e facilitare l’allineamento agli standard richiesti.

Il processo di censimento degli utenti, disciplinato dall’Articolo 6 della Determinazione del Direttore Generale dell’ACN, costituisce il primo passaggio per accedere al Portale ACN e completare la registrazione sulla piattaforma NIS.

Il momento centrale del processo di registrazione sulla piattaforma NIS è rappresentato dalla compilazione della dichiarazione da parte del “punto di contatto”, come previsto dall’Articolo 8 della Determinazione.

Il punto di contatto può essere il rappresentante legate dell’impresa o un suo delegato. Tale figura accedendo al Servizio NIS/Registrazione tramite il Portale ACN, con SPID o un altro sistema di autenticazione, è tenuta a compilare una dichiarazione contenente le informazioni essenziali relative al soggetto a cui potenzialmente potrebbe applicarsi la Direttiva NIS2. Queste includono, ad esempio, la descrizione delle attività svolte mediante i codici ATECO.

La dichiarazione deve inoltre includere dettagli relativi alle normative europee settoriali applicabili, ai dati economici come fatturato e bilancio, e al numero di dipendenti. Elementi fondamentali per determinare se il soggetto rientra nella categoria delle medie o grandi imprese, così come definito dal Decreto NIS2.

Se il soggetto appartiene a un gruppo di imprese, il punto di contatto è tenuto a fornire l’elenco delle imprese collegate che rispettano i criteri previsti dalla normativa. Per ciascuna impresa vanno specificati il codice fiscale e i parametri di collegamento. Questo passaggio è cruciale per consentire all’Autorità nazionale competente di identificare con precisione i soggetti regolamentati e garantire una mappatura accurata del perimetro di cybersicurezza nazionale.

Una volta completata la dichiarazione, il sistema esegue una valutazione preliminare automatica delle informazioni inserite. Eventuali incongruenze rilevate devono essere corrette dal punto di contatto, che può anche fornire ulteriori elementi a giustificazione. Infine, una copia della dichiarazione viene inviata al domicilio digitale del soggetto, accompagnata dall’avviso che potrà essere oggetto di verifiche successive, in conformità con quanto stabilito dall’Articolo 11 della Determinazione.

Obiettivi e implicazioni della piattaforma NIS

La registrazione sulla piattaforma NIS è un passaggio strategico per rafforzare la cybersicurezza nazionale. Questo sistema facilita un’interazione strutturata tra i soggetti registrati e l’ACN, garantendo maggiore trasparenza e responsabilità.

Tale adempimento è funzionale a consentire ad ACN di censire i soggetti operanti nei settori vigilati, anche al fine di fornire loro supporto in fase di implementazione degli obblighi, attraverso le articolate attività di monitoraggio e ausilio nel loro percorso di crescita, disciplinate dall’art. 35.

Un aspetto cruciale da considerare è che la mancata registrazione comporta una sanzione pecuniaria con un importo fino allo 0,1% del fatturato annuo su scala mondiale del soggetto.