16/12/2024
NIS2: online la piattaforma di registrazione, countdown per l'attuazione
Definiti i termini per la registrazione NIS2: entro il 28 febbraio 2025, tutti i "Soggetti NIS" dovranno completare l’iscrizione sulla piattaforma dedicata. Ecco tutte le informazioni utili.
Il 26 novembre, dal Direttore dell’Agenzia per la Cybersecurity Nazionale (ACN), è stata firmata la prima determina attuativa relativa agli obblighi previsti dalla direttiva NIS2, recepita nel decreto legislativo di riferimento. La determina è stata pubblicata il 27 novembre sul sito ufficiale di ACN.
Il provvedimento riguarda la piattaforma digitale destinata alla registrazione di tutti i soggetti pubblici e privati designati come “soggetti NIS”, i quali sono obbligati a completare la registrazione entro il 28 febbraio 2025.
Ogni entità, pubblica o privata, dovrà procedere alla registrazione tramite una persona fisica designata come “punto di contatto”, incaricata di gestire comunicazioni e adempimenti per conto dell’entità stessa.
Le informazioni fornite durante la registrazione saranno soggette a verifica per correttezza, coerenza e convalida da parte delle strutture competenti di ACN.
La piattaforma digitale è operativa dal 1° dicembre 2024.
Le tappe progressive del percorso attuativo
Al convegno del 28 novembre, organizzato dall’Agenzia per la Cybersecurity Nazionale (ACN) presso l’Università La Sapienza di Roma, si è discusso approfonditamente della nuova direttiva NIS2 e del suo impatto sulla cybersicurezza del sistema Paese. L’evento, intitolato “La nuova direttiva NIS per un più alto livello di cybersicurezza del sistema Paese”, ha visto l’intervento dei referenti ACN del servizio interno di regolazione.
Dopo i saluti istituzionali, i relatori hanno illustrato il percorso attuativo del decreto legislativo che recepisce la NIS2, soffermandosi in particolare sul processo di registrazione tramite la nuova piattaforma ACN. Successivamente, sono state fornite indicazioni dettagliate riguardo alla proporzionalità degli obblighi, differenziati in base alla classificazione dei soggetti come “essenziali” o “importanti” (come previsto dalla Direttiva NIS2), e ai dieci ambiti di applicazione delle misure di sicurezza.
Un approfondimento significativo è stato dedicato anche alle notifiche di incidenti da inviare al CSIRT e alle precauzioni contrattuali necessarie per garantire la sicurezza nella catena di approvvigionamento.
I DPCM e le determine per l’attuazione della NIS2
L’attuazione della direttiva NIS2 segue un percorso strutturato e scandito da DPCM e determine attuative che disciplinano vari aspetti di dettaglio. Alcuni provvedimenti sono già stati approvati e sono in vigore, come i criteri per l’applicazione delle clausole di salvaguardia, le informazioni aggiuntive che i soggetti designati dovranno condividere e l’organizzazione del tavolo interministeriale per la cooperazione e il coordinamento.
Ulteriori elementi sono attualmente in fase di sviluppo, tra cui le modalità di raccordo e collaborazione con le autorità nazionali competenti e l’identificazione di soggetti esclusi dai criteri generali di applicazione.
Il percorso normativo proseguirà con l’adozione di altri DPCM e determine, secondo una rigorosa roadmap che prevede la pubblicazione di tutti gli atti necessari entro il 31 marzo 2025 e, nei successivi sei mesi, il completamento delle misure per la piena attuazione degli obblighi di base. A seguire, a partire da metà aprile 2026, saranno introdotti e operativi anche gli obblighi di lungo termine.
Questo iter, avviato ufficialmente con la pubblicazione della direttiva NIS2 in Gazzetta Ufficiale nel dicembre 2022, ha visto il suo consolidamento con il decreto legislativo di recepimento e richiede ora che tutti i soggetti pubblici e privati si adeguino progressivamente entro la fine del 2026.
I Soggetti NIS 2
Gli obblighi introdotti dalla direttiva NIS2 si applicano a oltre 80 tipologie di soggetti, suddivisi tra fornitori di servizi essenziali e fornitori di servizi importanti (consultabili nella tabella riassuntiva disponibile sul sito ACN). Questi soggetti operano nei settori altamente critici, e in ulteriori ambiti specificati dalla normativa.
Una distinzione fondamentale è rappresentata dal “size cap”, ovvero un criterio basato sulla dimensione aziendale: grandi e medie imprese sono obbligate alla registrazione, mentre piccole e microimprese sono generalmente escluse. Tuttavia, alcune di queste ultime potrebbero comunque essere identificate come “essenziali” o “importanti” dall’Autorità, qualora svolgano il ruolo di fornitori strategici per soggetti rientranti negli obblighi NIS2.
Osservazioni sul processo di registrazione
Nicolò Rivetti (Capo Divisione NIS e Discipline Unionali del Servizio Regolazione ACN) ha fornito chiarimenti sugli elementi documentali e le dichiarazioni necessarie per la fase di registrazione. È emerso come sia cruciale che il “punto di contatto” designato dall’impresa sia debitamente delegato a rappresentarla su più ambiti, in particolare per la presentazione di documenti e dichiarazioni ufficiali.
Tuttavia, in molte aziende questo requisito può risultare problematico, poiché le deleghe potrebbero essere incomplete, non formalizzate o, in alcuni casi, completamente assenti. Inoltre, è stato sottolineato che i referenti per la sicurezza aziendale potrebbero essere vincolati da policy di “Segregation of Duties” (SOD), che impediscono loro di ricevere un mandato così ampio e trasversale.
Questa criticità può essere gestita con la sostituzione del delegato “punto di contatto” dopo la fase iniziale di registrazione. Tuttavia, tale scenario mette in evidenza la necessità per le aziende di affrontare con maggiore attenzione il tema delle deleghe e delle responsabilità nelle relazioni con ACN. Si tratta di un aspetto centrale nell’organizzazione della sicurezza aziendale, spesso sottovalutato o non adeguatamente gestito, almeno fino ad oggi.
_____
