Con protocollo del 26 novembre 2024 l’Agenzia per la cybersicurezza nazionale ha pubblicato la “Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 7, comma 6, e all’articolo 40, comma 5, lettera b), del decreto legislativo 4 settembre 2024, n. 138, recante termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimenti di designazione dei rappresentanti NIS nell’Unione”. Questa determina istituisce la piattaforma digitale alla quale sono chiamate a registrarsi, entro il 28 febbraio, i soggetti pubblici o privati che rientrano nell’ambito di applicazione del decreto NIS2 (il richiamato decreto legislativo 4 settembre 2024, n. 138).
Il portale è accessibile a questo link.
Va ricordato che l’art. 3 del decreto NIS2 prescrive che nel suo ambito di applicazione rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV, che costituiscono parte integrante del decreto stesso se sono sottoposti alla giurisdizione nazionale.
Usando questo link è possibile consultare l’elenco dei settori e dei soggetti impattati.
La determinazione introduce la figura del “punto di contatto”. Questa persona è designata dal soggetto NIS con il compito di curare l’attuazione delle disposizioni del decreto NIS2 per conto del soggetto stesso.
Il punto di contatto deve essere:
- il rappresentante legale del soggetto NIS, o
- uno dei procuratori generali del soggetto NIS, o
- un dipendente del soggetto NIS delegato dal rappresentante legale del soggetto medesimo (può avvalersi di personale esterno, ferma la sua identificazione).
È compito del punto di contatto accedere alla piattaforma digitale ed effettuare, per conto del soggetto, la registrazione. Il punto di contatto sarà l’interlocutore, per conto del soggetto NIS, con l’Autorità nazionale competente NIS.
A partire dal 1° dicembre 2024 ed entro il 28 febbraio 2025, i punti di contatto si autenticano sulla piattaforma digitale di ACN tramite le proprie credenziali personali del Sistema Pubblico di Identità Digitale (SPID).
Nello stesso periodo i punti di contatto compilano, tramite il Servizio NIS/Registrazione, la dichiarazione per il soggetto designante ai fini della sua registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate.
All’atto di registrazione il punto di contatto deve:
- indicare se il soggetto è parte di un gruppo di imprese e, in tal caso, indica se il soggetto è la capo gruppo ovvero indica il codice fiscale della capo gruppo;
- elencare, se non è “impresa autonoma”[1], i soggetti NIS di cui è a conoscenza che sono imprese collegate nei confronti delle quali soddisfi almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto NIS2[2], indicando il codice fiscale di tali imprese e quale dei criteri è soddisfatto;
- elencare le imprese collegate, se non è “impresa autonoma”, che soddisfano nei suoi confronti almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto NIS2, indicando il codice fiscale di tali imprese e quale dei criteri è soddisfatto, ai fini della loro identificazione come soggetti NIS ai sensi del medesimo comma;
- elencare i codici ATECO che descrivono l’attività del soggetto;
- indicare le normative settoriali dell’Unione europea citate negli allegati I e II del decreto NIS2 per definire le tipologie di soggetto che rientrano nell’ambito di applicazione del decreto NIS2;
- indicare i valori del fatturato e del bilancio nonché del numero di dipendenti;
- elenca le tipologie di soggetto di cui agli allegati I, II, III e IV del decreto NIS2 a cui il soggetto è riconducibile.
ACN le contatterà i soggetti di cui al punto 3 per informarle che nei loro confronti si sono verificati i presupposti per rientrare nel decreto NIS2.
In fase di registrazione sarà inoltre possibile richiedere l’applicazione della clausola di salvaguardia. Tale clausola che influisce sulla categorizzazione come impresa media o grande. La clausola di salvaguardia, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura, premette di non considerare le dimensioni del gruppo aziendale di appartenenza (se non proporzionato).
La determina indica che le verifiche di coerenza delle informazioni contenute nelle dichiarazioni saranno svolte, a campione, dall’Autorità nazionale competente NIS d’intesa con le Autorità di settore.
Entro metà aprile 2025 ANC costituirà l’elenco dei soggetti NIS e notificherà agli stessi della loro inclusione nel detto elenco.
Va ricordato infine che le prime scadenze vincolanti per i soggetti NIS saranno:
- entro gennaio 2026, adempimento agli obblighi di base in materia di notifica di incidente;
- entro ottobre 2026, adempimento agli obblighi di base in materia di sicurezza informatica.
[1] “impresa autonoma”, una impresa non identificabile come impresa collegata. L’impresa collegata è un soggetto che soddisfa i criteri di cui all’articolo 3, paragrafi 2 e 3, dell’allegato alla raccomandazione 2003/361/CE, o che fa parte di un gruppo di imprese.
[2] Un’impresa collegata a un soggetto NIS è a sua volta soggetto NIS, indipendentemente dalle sue dimensioni se:
- adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
- detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
- effettua operazioni di sicurezza informatica del soggetto importante o essenziale;
- fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.
