E' fissata al 28 febbraio 2025 la scadenza del termine per la registrazione dei soggetti NIS (Network and Information Security).
Tutti i soggetti pubblici e privati operanti nei settori individuati dalla normativa NIS sono tenuti a registrarsi attraverso il Portale dei Servizi dell'Agenzia per la Cybersicurezza Nazionale (ACN).
La registrazione - si rammenta - rientra tra i principali obblighi previsti dal Decreto legislativo n. 138/2024, di recepimento della Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione (cosiddetta direttiva NIS 2 sulla cibersicurezza).
I soggetti interessati sono tenuti a registrarsi sulla piattaforma dell’ACN, fornendo informazioni essenziali come ragione sociale, indirizzo, recapiti aggiornati e designazione di un punto di contatto.
Ove possibile, devono selezionare i settori e sottosettori di appartenenza tra quelli indicati negli allegati I, II e III, oltre alla tipologia di soggetto corrispondente negli allegati I, II, III e IV.
I dati raccolti saranno utilizzati per la creazione dell’elenco ufficiale dei soggetti NIS, che dovrà essere completato entro il 31 marzo 2025, e per la trasmissione delle relative statistiche alla Commissione UE ad aprile 2025.
Va ricordato che la nuova disciplina NIS ha ampliato il campo dei soggetti obbligati a rispettare le misure di sicurezza e gli obblighi dettati dalla nuova disciplina.
Il campo di applicazione è stato esteso a 18 settori, tra cui energia, trasporti, sanitario, acqua potabile, infrastrutture digitali e gestione dei servizi TIC. È fondamentale che le organizzazioni operanti in questi settori verifichino se rientrano nell'ambito di applicazione della normativa e procedano con la registrazione entro il termine stabilito.
L’ACN ha reso disponibile una sezione dedicata all’interno del proprio sito ufficiale, fornendo guide, domande frequenti (FAQ) e un video tutorial per supportare le organizzazioni nel processo di registrazione.
Per verificare il possesso dei requisiti necessari alla registrazione, è fondamentale effettuare un’autovalutazione preliminare.
Le organizzazioni, a tal fine, possono consultare le indicazioni contenute nella FAQ 3.1, dove viene illustrato il processo di autovalutazione con chiarimenti specifici per ciascun settore.
Nelle FAQ, in particolare, viene chiarito che sono tenute a registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) le organizzazioni pubbliche e private che rientrano nelle tipologie elencate negli allegati I e II del D.lgs. n. 138/2024, purché soddisfino i requisiti dimensionali previsti dall’articolo 3 dello stesso decreto.
Per "organizzazione" si intendono entità singole, come persone giuridiche o società, escludendo i gruppi di imprese.
Prima della registrazione, le organizzazioni private devono effettuare un’autovalutazione per determinare se rientrano nel campo di applicazione della normativa. Un processo analogo si applica alle pubbliche amministrazioni, per le quali sono disponibili ulteriori chiarimenti nelle FAQ ufficiali. Sono incluse tra le organizzazioni soggette anche società in house, società partecipate e gestori di pubblici servizi.
Le organizzazioni che appartengono all’allegato IV, invece, dovranno registrarsi solo dopo aver ricevuto una notifica formale dall’Autorità competente, ai sensi dell’articolo 3, comma 13, del decreto. Inoltre, le imprese collegate o associate appartenenti a un gruppo aziendale devono conformarsi all’obbligo di registrazione qualora soddisfino i criteri di applicazione indicati nell’articolo 3, comma 10.
Processo di autovalutazione
Il processo di autovalutazione si articola in tre fasi principali.
La prima riguarda la determinazione della giurisdizione nazionale, che si applica alle organizzazioni stabilite in Italia, salvo eccezioni per determinati fornitori di servizi digitali.
La seconda fase riguarda la verifica delle dimensioni aziendali, con particolare attenzione alla distinzione tra micro, piccole, medie e grandi imprese, secondo i parametri della Raccomandazione 2003/361/CE.
La terza fase è volta a stabilire la riconducibilità dell’organizzazione alle tipologie di soggetto individuate dal decreto. Se l’attività svolta rientra in una delle categorie previste, l’organizzazione è tenuta a registrarsi.
In caso di incertezza, la registrazione è comunque consigliata, ad eccezione dei settori dell’acqua potabile, acque reflue e gestione rifiuti, per cui valgono criteri specifici.
Notifiche e identificazione di soggetti essenziali
L’Autorità nazionale competente può individuare ulteriori soggetti obbligati alla registrazione sulla base delle attività svolte nei settori elencati negli allegati I, II, III e IV. In tal caso, le organizzazioni riceveranno una notifica formale al proprio domicilio digitale, con l’indicazione dell’obbligo di registrazione.
La normativa prevede quindi un approccio articolato per garantire che tutte le entità rientranti nella regolamentazione NIS si adeguino ai requisiti di cybersicurezza, contribuendo alla protezione delle infrastrutture digitali nazionali.
Per completare la registrazione, è necessario designare un punto di contatto, che può essere il rappresentante legale o un delegato dell'organizzazione. L’accesso alla piattaforma avviene tramite l’identità digitale SPID.
Una volta autenticato, il soggetto dovrà compilare la Dichiarazione NIS, suddivisa in quattro sezioni: contesto, caratterizzazione, tipologie di soggetto e autovalutazione.
La registrazione rappresenta un obbligo per le organizzazioni che rientrano nei settori disciplinati dalla normativa, tra cui energia, trasporti, sanitario, infrastrutture digitali e gestione dei servizi TIC.
Il mancato adempimento dell’obbligo di registrazione entro la data stabilita comporta sanzioni amministrative che possono raggiungere lo 0,1% del fatturato annuo su scala mondiale dell’organizzazione.
Per evitare penalità e garantire la conformità alla normativa, è essenziale completare la procedura entro i termini previsti.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".