NIS2: Registrazione sulla piattaforma dell’ACN

24 Gennaio 2025
, ,

Dal 1° dicembre 2024, le imprese a cui si applica il D. Lgs. 138/2024 (“Decreto NIS2”), che recepisce la Direttiva (UE) 2555/2022 (“Direttiva NIS2”), possono registrarsi sulla piattaforma digitale resa disponibile dall’Agenzia per la Cybersicurezza Nazionale (“ACN”) per l’identificazione e l’elencazione dei soggetti essenziali e dei soggetti importanti.

L’obbligo di registrazione, che deve essere adempiuto entro il 28 febbraio 2025, si applica ai:

  • soggetti essenziali, rappresentati da quei soggetti che operano in settori altamente critici tra cui quello sanitario, energetico, finanziario, spaziale e delle infrastrutture digitali;
  • soggetti importanti, definiti per esclusione come quei soggetti non rientranti tra i soggetti essenziali, ossia servizi postali, gestione dei rifiuti, prodotti chimici, ricerca, alimentari, industria manifatturiera, provider digitali (ad es. social network, motori di ricerca, marketplace online).

Sono già in ritardo, ove non abbiano provveduto già all’iscrizione, specifici soggetti che si dovevano registrare sulla piattaforma entro lo scorso 17 gennaio, tra cui:

  • i fornitori di servizi di sistema dei nomi di dominio;
  • i gestori di registri dei nomi di dominio di primo livello;
  • i fornitori di servizi di registrazione dei nomi di dominio;
  • i fornitori di servizi di cloud computing;
  • i fornitori di servizi di data center;
  • i fornitori di reti di distribuzione dei contenuti;
  • i fornitori di servizi gestiti;
  • i fornitori di servizi di sicurezza gestiti;
  • i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione del Decreto NIS2.

La mancata registrazione entro il 17 gennaio espone i soggetti interessati al rischio di sanzioni, come vedremo a breve.

A partire da quest’anno, i soggetti essenziali ed importanti, inoltre, dovranno registrarsi o aggiornare le informazioni contenute nella registrazione nel periodo intercorrente tra il 1° gennaio e il 28 febbraio.

Uno strumento fondamentale e utile per la registrazione è la Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale” n. 38565 del 26 novembre 2024, nella quale sono stati definiti i termini, le modalità e i procedimenti di utilizzo e accesso alla piattaforma digitale.

Cosa occorre sapere?

Il portale, già attivo, richiede, per la registrazione, l’accesso tramite SPID o con credenziali.

Prima di procedere con la procedura di registrazione, è opportuno risolvere alcune questioni preliminari, tra cui:

  • individuare il soggetto che rivestirà il ruolo di punto di contatto con l’ACN e, nel caso in cui tale figura sia un delegato dal rappresentante legale del soggetto essenziale o importante, non già munito di procura generale, predisporre specifica delega di autorizzazione ad accedere alla piattaforma e ai servizi dell’ACN per conto del soggetto stesso;
  • individuare il ruolo privacy di tale figura e porre in essere gli adempimenti previsti dalla normativa in materia di protezione dei dati personali (ad es. nomina della figura prescelta a punto di contatto quale autorizzato al trattamento dei dati, ai sensi dell’art. 29 del GDPR).

Il punto di contatto, infatti, dovrà effettuare la registrazione per conto del soggetto e curare l’attuazione delle disposizioni del Decreto NIS2 accedendo al portale ACN (tra cui, ad esempio, in caso di inserimento nell’elenco dell’ACN, la comunicazione dello spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto, nonché la predisposizione e il caricamento sulla piattaforma dell’elenco degli Stati membri in cui vengono forniti i servizi che rientrano nell’ambito di applicazione del Decreto NIS2), nonché interloquire con l’ACN, ove necessario.

La mancata registrazione, comunicazione o aggiornamento delle informazioni potrebbe dar luogo a pesanti sanzioni amministrative pecuniarie:

  • per i soggetti essenziali fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo modalità specifiche;
  • per i soggetti importanti fino a un massimo dello 0,7% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo modalità specifiche.

In caso di mancata o tardiva registrazione potrebbe essere altresì contestata la mancata osservanza degli obblighi imposti agli organi di amministrazione e agli organi direttivi e si applicherebbe la sanzione prevista per la violazione più grave, aumentata fino al triplo.

Gli organi amministrativi e direttivi non sono soltanto responsabili in caso di mancata, tardiva o erronea registrazione sulla piattaforma ACN, ma anche delle altre violazioni del Decreto NIS2, tra cui la loro mancata formazione in materia di sicurezza informatica, nonché l’assenza di promozione della formazione ai dipendenti in merito alle misure di gestione dei rischi per la sicurezza informatica.

2025 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

cross