Il termine ultimo per la registrazione in Italia ai sensi della direttiva NIS 2 con ACN è il 28 febbraio 2025 e sono previste multe in caso di mancata registrazione.
La Direttiva NIS 2 è stata implementata in Italia con il Decreto Legislativo n. 138/2024 che ha ampliato l’ambito di applicazione della normativa su territorio nazionale (per maggiori informazioni si veda qui).
Uno dei primi obblighi imposti dal decreto è però quella della registrazione sul portale dell’Agenzia per Cybersicurezza Nazionale (ACN).
Chi si deve registrare ed entro quando?
L’obbligo di registrazione ricade su tutte le società che rientrano nell’ambito di applicazione della normativa NIS 2. Se alcune categorie di soggetti sono chiare – ad esempio il settore energetico, sanitario, del trasporto o della grande distribuzione – altri ambiti sono più discussi ed hanno quindi portato all’applicazione della normativa anche società originariamente escluse. Ad esempio, il Decreto Legislativo NIS 2 sembra essere applicabile anche ai fornitori di servizi cloud che sembrano potenzialmente includere ogni fornitore di servizi SaaS, anche all’interno di gruppi societari.
Sulla base quindi delle definizioni di cui agli allegati da I a IV del Decreto Legislativo NIS 2, le società che ritengono di rientrare nel relativo perimetro hanno l’obbligo di registrarsi sulla piattaforma ACN, fermo restando che il Decreto Legislativo NIS 2 ha introdotto due diverse scadenze:
- entro lo scorso 17 gennaio 2025, i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network avrebbero dovuto effettuare per primi la registrazione sul portale;
- entro il prossimo 28 febbraio 2025 la registrazione sarà obbligatoria per tutti gli altri soggetti che rientrano nell’ambito di applicazione del decreto.
Come ci si registra sul portale?
La registrazione presso il portale, come abbiamo avuto modo di condividere anche qui e come chiarito Determinazione 38565/2024 (“Determinazione ACN“), si compone di tre fasi:
- il censimento del punto di contatto;
- La sua associazione al soggetto NIS;
- La compilazione della dichiarazione NIS.
Il punto di contatto deve accedere al Portale ACN utilizzando il Sistema Pubblico di Identità Digitale (SPID) e completare la propria anagrafica con le informazioni personali richieste (se non già condivise tramite SPID). Una volta censito, il punto di contatto deve associare la propria utenza al soggetto NIS designante, inserendo il codice fiscale dello stesso. Dopo l’inserimento, il portale recupererà automaticamente le informazioni relative all’impresa (i.e. denominazione, indirizzo, domicilio digitale e recapiti della sede legale) che dovranno essere verificate e confermate dal punto di contatto.
L’associazione dell’utenza del punto di contatto al soggetto NIS è soggetta a convalida tramite una richiesta trasmessa al domicilio digitale del soggetto NIS. Al termine del processo di censimento e associazione, il soggetto riceve al suo domicilio digitale una comunicazione di conclusione del processo stesso.
Solo una volta completati i passi di cui sopra, è possibile compilare la dichiarazione NIS.
Tale dichiarazione dovrà indicare, tra l’altro:
- Le normative settoriali citate negli allegati I e II del Decreto NIS che si applicano al soggetto
- I valori del fatturato, del bilancio e del numero di dipendenti per qualificare il soggetto registrante come media o grande impresa ai sensi della raccomandazione 2003/361/CE. Il fatturato va calcolato tenendo conto dell’eventuale collegamento con altre società; in particolare:
- nel caso di impresa collegata (i.e. la società ha la maggioranza dei diritti di voto o comunque può esercitare un’influenza dominante sull’altra società), si dovranno sommare i dati di personale e fatturato della società controllante integralmente;
- nel caso invece di impresa associata (i.e. la società ha una partecipazione tra il 25% e il 50% nell’altra società) i dati della impresa detenente la partecipazione andranno sommati proporzionalmente alla quota di partecipazione;
- Le tipologie di soggetto indicate negli allegati I, II, III e IV del Decreto NIS a cui il soggetto registrante è riconducibile.
A questo si aggiunge l’obbligo di indicare le eventuali società collegate nei confronti delle quali o che soddisfano nei confronti della società registrante almeno uno dei criteri di cui all’articolo 3, comma 10. Ad esempio, la società registrante dovrà indicare le società collegate che le forniscono servizi TIC o di sicurezza.
L’obiettivo di questa procedura è permettere ad ACN di identificare, oltre alla società registrante, quelle imprese collegate che svolgano attività critiche per la gestione del rischio di cybersicurezza nei confronti della società registrante o viceversa.
Il processo di registrazione è quindi complesso e presuppone una analisi dettagliata a monte della struttura che procede alla registrazione nonché dei rapporti con le altre società del gruppo in materia di cybersecurity e, più in generale, di gestione dei sistemi informatici.
Sanzioni
Occorre precisare che la mancata registrazione, comunicazione o aggiornamento delle informazioni sul portale ACN è punita con una sanzione amministrativa pecuniaria
a. per i soggetti essenziali, fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto;
b. per i soggetti importanti, fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto.
Le società che rientrano nel perimetro hanno quindi ancora poco tempo per terminare le valutazioni del caso e per procedere alla registrazione sul portale ACN.
Su un argomento simile può essere d’interesse l’articolo Registrazione NIS 2 in Italia: Guida ai Requisiti del Portale ACN
