NIS 2: Pubblicata la Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale
NIS 2: Pubblicata la Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale
A cura di Riccardo Piselli, Giuseppe Imbergamo, Alessandra Maria Pepe
Indice
- Introduzione
- Designazione del punto di contatto e suoi adempimenti
- Procedura di registrazione e verifiche di coerenza
- Sanzioni e responsabilità amministrativa
- Elenco dei soggetti NIS
- Un’occasione per rafforzare la sicurezza cibernetica
- Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale
Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale:
Con la Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), del 26 novembre 2024, sono state definite le regole operative per l’utilizzo del Portale digitale ACN. Tale piattaforma rappresenta lo strumento attraverso cui i soggetti rientranti nel perimetro di applicazione della normativa prevista dal decreto legislativo 4 settembre 2024, n. 138 (recepimento della Direttiva (UE) 2022/2555, c.d. Decreto NIS) dovranno adempiere agli obblighi di registrazione e agli ulteriori adempimenti ivi descritti.
In vigore dal 1° dicembre 2024, la Determinazione si configura come strumento operativo per l’attuazione delle disposizioni contenute agli articoli 7 e 40, comma 5, lettera b), del decreto legislativo n. 138/2024. La normativa prevede che i soggetti pubblici e privati, identificati come soggetti NIS e appartenenti alle tipologie individuate negli allegati I, II, III e IV del decreto, siano obbligati a registrarsi tramite il Portale ACN e/o aggiornare la propria registrazione, ove necessario, entro e non oltre il 28 febbraio 2025.
Con questa Determinazione, l’ACN ha disciplinato i termini, le modalità e i procedimenti di utilizzo della piattaforma, centralizzando le attività necessarie per garantire la conformità alle disposizioni normative.
Designazione del punto di contatto e suoi adempimenti
Adempimento centrale descritto dalla Determinazione è costituito dalla designazione del punto di contatto, inteso quale figura obbligatoria per ogni soggetto NIS con il compito di curare l’attuazione delle disposizioni del Decreto NIS per conto del soggetto stesso. Ai sensi dell’articolo 4 della Determinazione, il punto di contatto:
- È incaricato di curare i rapporti con l’ACN e di garantire la corretta attuazione delle disposizioni del Decreto NIS.
- Deve essere una persona fisica designata dal soggetto NIS e il relativo ruolo può essere assunto dal rappresentante legale del soggetto, da uno dei procuratori generali del soggetto NIS o da un dipendente del soggetto NIS delegato dal rappresentante legale del soggetto medesimo.
- Qualora il soggetto NIS sia una pubblica amministrazione, le funzioni di punto di contatto possono essere svolte da un dipendente di un’altra pubblica amministrazione che rientra nell’ambito di applicazione del decreto NIS, delegato dal rappresentante legale del soggetto stesso.
Nonostante il ruolo operativo svolto dal punto di contatto, la responsabilità ultima degli adempimenti rimane in capo agli organi di amministrazione e direzione del soggetto NIS. In caso di inadempimenti o violazioni, essi sono soggetti alle sanzioni previste dagli articoli 23 e 38 del decreto legislativo n. 138/2024.
Procedura di registrazione e verifiche di coerenza
A partire dal 1° dicembre 2024 ed entro il 28 febbraio 2025, i punti di contatto designati dovranno accedere alla piattaforma utilizzando le credenziali personali del Sistema Pubblico di Identità Digitale (SPID) o, ove applicabile, altre credenziali autorizzate. La procedura prevede tre fasi principali:
- Censimento degli utenti: autenticazione e raccolta dei dati identificativi.
- Associazione dell’utenza al soggetto NIS: verifica della corrispondenza tra il punto di contatto e il soggetto rappresentato.
- Registrazione formale del soggetto: compilazione della dichiarazione contenente dati rilevanti quali fatturato, bilancio, numero di dipendenti, settori di attività (codici ATECO) e normativa settoriale di riferimento.
La documentazione fornita sarà soggetta a verifiche di coerenza da parte dell’ACN, che opererà in collaborazione con le Autorità di settore entro trenta giorni dalla presentazione della dichiarazione tramite il servizio NIS/Registrazione. In caso di dichiarazioni mendaci o incongruenze non sanate nei tempi prescritti, la registrazione potrà essere respinta, fatto salvo l’obbligo di ripresentare la dichiarazione.
Sanzioni e responsabilità amministrative
La Determinazione ribadisce che la mancata registrazione o l’invio di dati inesatti comportano sanzioni significative, come previsto dagli articoli 23 e 38 del decreto legislativo n. 138/2024. Gli organi di amministrazione e direzione del soggetto NIS sono personalmente responsabili dell’osservanza degli obblighi e del monitoraggio della conformità normativa.
Elenco dei soggetti NIS
Una volta completata la procedura, ACN comunica ai soggetti registrati l’inserimento, o meno, nell’elenco dei soggetti NIS.
Il processo di registrazione disciplinato dalla Determinazione costituisce infatti la fase endoprocedimentale del procedimento di costituzione dell’elenco dei soggetti NIS.
Una volta inseriti all’interno dell’elenco, ai soggetti NIS e ai loro punti di contatto viene, altresì, comunicato un codice identificativo univoco, per il soggetto e per l’utente, al fine di facilitare le interlocuzioni con l’Autorità nazionale competente NIS.
Un’occasione per rafforzare la sicurezza cibernetica con la NIS
La piattaforma digitale non è solo un adempimento normativo, ma un’opportunità per centralizzare e semplificare la gestione della sicurezza cibernetica. Attraverso un dialogo strutturato con l’ACN, i soggetti NIS potranno beneficiare di un sistema di monitoraggio proattivo, riducendo i rischi derivanti da attacchi informatici e garantendo la continuità operativa dei servizi essenziali.
Con l’applicazione delle nuove disposizioni, l’Italia compie un ulteriore passo verso un approccio integrato e sistemico alla sicurezza digitale, rafforzando al contempo la propria resilienza e quella dell’intero contesto europeo.