Piattaforma per la registrazione dei soggetti rientranti negli obblighi della NIS2 disponibile dal 1° dicembre sul sito dell'Agenzia per la Cybersicurezza Nazionale
Dal 1° dicembre 2024 sarà disponibile sul sito dell'Agenzia per la Cybersicurezza Nazionale la piattaforma per la registrazione di imprese e pubbliche amministrazioni tenute agli obblighi di cybersicurezza, previsti dalla direttiva NIS2.
Al riguardo si stima che ci siano 50 mila enti, tra soggetti pubblici e soggetti privati, potenzialmente coinvolti nella manovra di sicurezza cibernetica nazionale, che devono valutare se iscriversi nella piattaforma, e la stessa piattaforma sarà utile anche come strumento per verificare se si rientra o meno nell’ambito di applicazione della normativa. Comunque, sul sito dell’agenzia è disponibile anche una tabella con tutte le categorie dei soggetti obbligati, distinti per settore pubblico e privato e in base al campo in cui esercitano l’attività.
Parte quindi il conto alla rovescia degli adempimenti che responsabilizzano una ampia platea di imprese (anche piccole e medie) e di pubbliche amministrazioni: sono elencati in quattro allegati al Dlgs 138/2024, che ha recepito la direttiva UE 2022/2555 in Italia.
Entro il 28 febbraio 2025, dunque, i soggetti pubblici e privati a cui si applica la NIS devono manifestarsi all’Autorità nazionale competente NIS, registrandosi sulla piattaforma digitale che, come annunciato dalla stessa ACN nel corso di un convegno sarà resa disponibile dal 1° dicembre 2024.
L’adempimento della registrazione serve ad ACN di censire i soggetti coinvolti, non solo per l’attività di vigilanza ma anche per quella di assistenza e supporto. La normativa prevede che la mancata registrazione è punita con una sanzione amministrativa pecuniaria con un importo fino al 0.1% del fatturato annuo su scala mondiale del soggetto.
La registrazione di un soggetto sulla piattaforma di ACN non comporta acquisire immediatamente la qualifica di soggetto obbligato agli adempimenti NIS2, La registrazione, infatti, è successivamente sottoposta ad una fase di analisi.
Successivamente, dopo la registrazione, nel mese di aprile 2025, i soggetti che si sono registrati riceveranno una comunicazione per confermare, o meno, il loro l’inserimento nell’elenco dei soggetti NIS e a quel punto i soggetti confermati da ACN dovranno integrare le informazioni, sempre tramite la piattaforma digitale, indicando spazio IP, nomi di dominio disponibili, ambito territoriale di fornitura dei servizi, rappresentanti legali (che sono anche responsabili degli inadempimenti in caso di violazioni), punti di contatto.
Anche per gli obblighi è previsto un approccio graduale. In particolare, entro gennaio 2026 scatterà l’obbligo di notificare gli incidenti informatici, Inoltre, entro ottobre 2026, si dovranno adempiere gli obblighi di base in materia di sicurezza informatica. Il catalogo degli adempimenti è molto nutrito e prevede l’approvazione delle misure di gestione dei rischi e della sicurezza informatica e dei piani di formazione, l’adozione di misure tecniche, operative e organizzative.
