NIS 2 FAQ

Aspetti Generali

1.1 Cos’è la nuova Direttiva NIS (Direttiva 2022/2555)?

La Direttiva (UE) n.2022/2555 nota anche come “Direttiva NIS2”, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione europea, è la legislazione dell’UE in materia di cybersicurezza.

Aggiorna le norme dell’UE in materia di cybersicurezza introdotte nel 2016 modernizzando e uniformando il quadro giuridico esistente. Fa parte di un ampio pacchetto di strumenti giuridici e di iniziative a livello dell’Unione, mirato ad aumentare la resilienza di soggetti pubblici e privati alle minacce nell’ambito cibernetico.

Entrata in vigore nel 2023 con l’obbligo di recepimento negli Stati Membri entro il 18 ottobre 2024, è stata recepita in Italia con il decreto legislativo 4 settembre 2024, n. 138 (d.lgs. n. 138/2024 – cd. decreto NIS) pubblicato sulla Gazzetta Ufficiale, Serie Generale n. 230 del 1° ottobre 2024 (v. FAQ 1.2)

1.2 Quando è entrata in vigore in Italia la nuova Direttiva NIS (Direttiva 2022/2555)?

Con il d.lgs. n. 138/2024 (cd. decreto NIS), pubblicato sulla Gazzetta Ufficiale Serie Generale n. 230 del 1° ottobre 2024, l’Italia ha dato attuazione alla nuova Direttiva NIS (v. FAQ 1.1), recependola nell’ordinamento nazionale con entrata in vigore dal 16 ottobre 2024.

1.3 Quali sono gli elementi fondanti della nuova normativa NIS?

Il d.lgs. n. 138/2024 recante il recepimento della nuova Direttiva NIS (v. FAQ 1.2) prevede l’abrogazione del d.lgs. n. 65/2018, che recepiva la precedente Direttiva NIS (Direttiva 2016/1148). La nuova normativa NIS mira a garantire un aumento del livello di sicurezza cibernetica comune, grazie all’armonizzazione delle norme applicabili ai diversi operatori nei diversi Stati membri e al rafforzamento dei livelli standard di sicurezza rispetto a quelli previsti dalla disciplina vigente.

I principali elementi della nuova normativa NIS sono:

  1. l’estensione degli ambiti di applicazione rispetto alla precedente normativa NIS.
    La nuova normativa riguarda, in particolare:
    • oltre 80 tipologie di soggetto, raggruppate in 18 settori, di cui 11 settori altamente critici (originariamente 8) e 7 settori critici (originariamente nessuno);
    • l’intera infrastruttura ICT del soggetto (originariamente solo reti e sistemi serventi i servizi essenziali);
  2. l’identificazione dei soggetti, distinti tra essenziali e importanti:
    • prevede un meccanismo di identificazione automatica sulla base di criteri oggettivi, includendo nell’ambito di applicazione tutti i soggetti riconducibili alle specifiche tipologie individuate dalla normativa che sono ritenute medie o grandi imprese (micro e piccole imprese, salvo eccezioni, sono fuori ambito) ai sensi della Raccomandazione 2003/361/CE;
    • può anche essere esercitata dall’Autorità nazionale competente NIS (v. FAQ 1.4), su proposta delle Autorità di settore competenti (v. FAQ 1.5), per inserire nell’ambito di applicazione ulteriori soggetti (cd. identificazione governativa);
  3. il rafforzamento degli obblighi con:
    • l’obbligo di implementare misure di sicurezza in relazione ad almeno 10 ambiti, con un approccio multi-rischio e proporzionale rispetto al rischio posto al sistema informativo e di rete;
    • un processo di notifica degli incidenti più articolato;
    • un rafforzamento dei poteri di esecuzione, ispettivi e sanzionatori. In particolare, le sanzioni si allineano a quanto previsto dal GDPR;
  4. l’introduzione di nuovi strumenti, quali:
    • la divulgazione coordinata delle vulnerabilità (CVD);

la gestione delle crisi, specie a carattere transfrontaliero, con l’istituzione del Cyber Crisis Liaison Organisation Network (CyCLONe) e dell’Autorità nazionale competente per la gestione delle crisi informatiche.

1.4 Qual è l’Autorità nazionale competente NIS e quali funzioni svolge?

L’Agenzia per la cybersicurezza nazionale è l’Autorità nazionale competente NIS di cui all’articolo 8, paragrafo 1, della Direttiva (UE) 2022/2555 e svolge numerose funzioni ai sensi dell’articolo 10 del d.lgs. n. 138/2024 (v. FAQ 1.2) tra le quali:

    • sovrintende all’implementazione e all’attuazione del decreto;
    • svolge le funzioni e le attività di regolamentazione di cui al decreto, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti;
    • elabora e adotta l’elenco dei soggetti NIS (FAQ 1.12);
    • partecipa al Gruppo di cooperazione NIS, nonché ai consessi e alle iniziative promosse a livello di Unione europea per l’attuazione della Direttiva (UE) n. 2022/2555 (FAQ 1.1);
    • definisce gli obblighi (v. FAQ 1.9) di cui all’articolo 7, comma 6, e al capo IV (Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente);
    • svolge le attività ed esercita i poteri di monitoraggio, vigilanza ed esecuzione.

L’Agenzia per la cybersicurezza nazionale è anche il Punto di contatto unico NIS ai sensi della Direttiva (UE) n. 2022/2555 (FAQ 1.1), svolgendo una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità nazionali con le autorità pertinenti degli altri Stati membri, la Commissione e l’ENISA.

Inoltre, l’Agenzia per la cybersicurezza nazionale (con funzioni di coordinamento) e il Ministero della difesa sono Autorità nazionali di gestione delle crisi informatiche.

Presso l’Agenzia per la cybersicurezza nazionale opera anche il CSIRT Italia, Gruppo nazionale di risposta agli incidenti di sicurezza informatica.

1.5 Quali sono le Autorità di settore NIS e quali funzioni svolgono?

Al fine di assicurare l’efficace attuazione del d.lgs. n. 138/2024 (v. FAQ 1.2) a livello settoriale, sono individuate le Autorità di settore NIS che supportano l’Autorità nazionale competente NIS (v. FAQ 1.4) e collaborano con essa.

In particolare, le Autorità di settore NIS:

    • supportano con la propria competenza settoriale le funzioni dell’Autorità nazionale competente NIS;
    • convalidano l’elenco dei soggetti NIS per ciascun settore di competenza e ne propongono eventuali ulteriori identificazioni governative;
    • coordinano uno o più tavoli settoriali per i settori (e/o sottosettori) di competenza.

 

Le Autorità di settore NIS individuate dal decreto per uno o più settori, sottosettori e tipologie di soggetto, in base alle rispettive peculiari competenze, sono le seguenti (come illustrato dettagliatamente nell’allegata tabella):

    • Presidenza del Consiglio dei ministri
    • Ministero dell’economia e delle finanze
    • Ministero delle imprese e del made in Italy
    • Ministero dell’agricoltura, della sovranità alimentare e delle foreste
    • Ministero dell’ambiente e della sicurezza energetica
    • Ministero delle infrastrutture e dei trasporti
    • Ministero dell’università e della ricerca
    • Ministero della cultura
    • Ministero della salute

Autorità di settore

1.6 Quali sono gli obblighi previsti dalla nuova normativa NIS e quando entreranno in vigore?

I principali obblighi previsti dal decreto riguardano:

    • la registrazione e l’aggiornamento delle informazioni (articolo 7);
    • gli organi di amministrazione e direttivi (articolo 23);
    • gli obblighi in materia di misure di sicurezza informatica (articolo 24);
    • gli obblighi in materia di notifica di incidente (articolo 25);
    • per alcune tipologie di soggetti, gli obblighi in materia di banca dei dati di registrazione dei nomi di dominio (articolo 29);
    • la categorizzazione delle attività e dei servizi (articolo 30).

Il termine per l’adempimento degli obblighi di base di cui all’articolo 25 del decreto, che saranno disciplinati con una determinazione di ACN da adottare entro aprile 2025, decorre trascorsi nove mesi dalla ricezione della comunicazione (v. FAQ 3.3) di inserimento nell’elenco dei soggetti essenziali o importanti che sarà inviata da ACN.

Con riferimento ai citati obblighi, entrando più nel dettaglio:

    • Registrazione e aggiornamento dati (articolo 7)
      I soggetti che si riconoscono in uno dei settori/sottosettori/tipologie previsti dalla nuova normativa NIS (v. FAQ 2.1) dovranno registrarsi su una piattaforma messa a disposizione dall’ACN e comunicare una serie di informazioni tra le quali, ad esempio, la ragione sociale, l’indirizzo e i recapiti aggiornati, la designazione di un punto di contatto indicando il suo ruolo/qualifica presso il soggetto. Ove possibile, i soggetti dovranno anche selezionare uno o più settori/sottosettori in cui operano, tra quelli previsti dagli allegati I, II e III, e la relativa tipologia di soggetto in cui si identificano tra quelle previste dagli allegati I, II, III e IV.
      I dati raccolti saranno impiegati per costituire l’elenco dei soggetti NIS, entro il 31 marzo 2025 (v. FAQ 3.3), anche al fine di fornire le relative statistiche alla Commissione UE ad aprile 2025.
    • Organi di amministrazione e direttivi (articolo 23)
      Sono individuate precise responsabilità in capo agli organi di amministrazione del soggetto, i quali approvano e sovraintendono all’implementazione delle misure oltre a essere responsabili delle eventuali violazioni.Obblighi in materia di misure di sicurezza informatica (articolo 24)
      I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti. Tali misure sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti, e comprendono almeno i seguenti elementi:
      • politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
      • gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche;
      • continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove possibile, e la gestione delle crisi;
      • sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
      • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
      • politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
      • pratiche di igiene di base e di formazione in materia di sicurezza informatica;
      • politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
      • sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
      • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.
    • Obblighi in materia di notifica di incidente (articolo 25)
      I soggetti essenziali e i soggetti importanti devono notificare, senza ingiustificato ritardo, al CSIRT Italia: ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi.
      Ai fini della notifica, i soggetti interessati trasmettono al CSIRT Italia:
      • senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli oppure possa avere un impatto transfrontaliero;
      • senza ingiustificato ritardo, e comunque entro 72 ore (24 ore nel caso di un prestatore di servizi fiduciari) da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni già trasmesse nella pre-notifica e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
      • una relazione finale entro un mese dalla trasmissione della notifica di incidente.
    • Banca dei dati di registrazione di nomi di dominio (articolo 29)
      I gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio raccolgono e mantengono dati di registrazione dei nomi di dominio accurati e completi in un’apposita banca dati con la dovuta diligenza, conformemente al diritto dell’Unione europea in materia di protezione dei dati personali.

1.7 Quali sono le principali scadenze previste?

    • [SOGGETTI] Registrazione sulla piattaforma ACN (articolo 7, comma 1, articolo 42, comma 1, lettera a):
      • entro il 17 gennaio 2025 per i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione del decreto (v. FAQ 2.1);
      • entro il 28 febbraio 2025 per tutti gli altri soggetti che rientrano nell’ambito di applicazione del decreto (v. FAQ 2.1).
    • [AUTORITÀ NAZIONALE COMPETENTE NIS] Entro metà aprile 2025:
      • costituzione dell’elenco dei soggetti NIS e notifica agli stessi della loro inclusione (articolo 7, commi 2 e 3);
      • adozione degli obblighi di base in materia di misure di sicurezza informatica e notifica di incidenti.
    • [SOGGETTI] Entro metà maggio 2025, trasmissione e aggiornamento, tempestivo (comunque non oltre 14 giorni dalla modifica) delle informazioni dei soggetti NIS (articolo 7, commi 4, 5 e 7).
    • [SOGGETTI] Entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di notifica di incidente.
    • [SOGGETTI] Entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di sicurezza informatica.

Ambito di applicazione

2.1 Quali sono i settori e i soggetti che ricadono nell’ambito di applicazione?

Il d.lgs. n. 138/2024 (decreto NIS) recante il recepimento della nuova Direttiva NIS (v. FAQ 1.2), indica all’articolo 3 il suo ambito di applicazione. In particolare, vi rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV, che sono sottoposti alla giurisdizione nazionale ai sensi dell’articolo 5.

Nell’allegato I del decreto sono elencati i settori altamente critici. Nell’allegato II sono elencati gli altri settori critici.

Nell’allegato III sono elencate le categorie di pubbliche amministrazioni alle quali si applica il decreto.

Nell’allegato IV sono elencate le ulteriori tipologie di soggetti a cui si applica il decreto a seguito di identificazione governativa (v. infra).

La maggior parte dei soggetti pubblici e privati rientrano nell’ambito di applicazione sulla base dei criteri (dimensioni e tipologia di soggetto) stabiliti dal decreto, mentre un numero limitato di ulteriori soggetti può essere inserito nell’ambito di applicazione in esito all’identificazione da parte dell’Autorità nazionale competente NIS, su proposta delle Autorità di settore competenti.

In particolare, ricadono nell’ambito di applicazione del decreto NIS i soggetti pubblici e privati che, ai sensi dell’articolo 3, soddisfano i seguenti criteri:

    • appartengono alle tipologie di cui agli allegati I e II e superano i massimali per le piccole imprese (ossia sono almeno medie imprese) ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE;
    • indipendentemente dalle loro dimensioni (ovvero anche micro e piccole imprese) sono:
      • identificati come soggetti critici ai sensi del d.lgs. 134/2024 che recepisce la Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 (Direttiva CER – Resilience of Critical Entities);
      • fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico (allegato I);
      • prestatori di servizi fiduciari (allegato I);
      • gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio (allegato I);
      • fornitori di servizi di registrazione dei nomi di dominio (allegato II);
      • pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III;
      • imprese associate o collegate ad un soggetto essenziale o importante che soddisfano almeno uno dei seguenti criteri:
        • adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
        • detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
        • effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
        • forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Tali soggetti dovranno riconoscersi in base ai suddetti criteri, autoidentificarsi e manifestarsi all’Autorità nazionale competente NIS attraverso l’apposita registrazione sulla piattaforma digitale messa a disposizione da ACN (articolo 7, comma 1).

Inoltre, l’Autorità Nazionale Competente NIS (ACN) su proposta delle Autorità di settore, può identificare:

    • sulla base di una valutazione del rischio:
      • i soggetti che forniscono servizi di trasporto pubblico locale (allegato IV);
      • gli istituti di istruzione che svolgono attività di ricerca (allegato IV);
      • i soggetti che svolgono attività di interesse culturale (allegato IV);
      • le società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175 (allegato IV);
    • ulteriori soggetti, indipendentemente dalle loro dimensioni, che appartengono ai settori o alle tipologie di cui agli allegati I, II, III e IV che soddisfano almeno uno dei seguenti criteri:
      • il soggetto era stato già identificato come operatore di servizi essenziali ai sensi del decreto legislativo 18 maggio 2018, n. 65 (NIS) ossia prima della data di entrata in vigore del decreto di recepimento della NIS2;
      • il soggetto è l’unico fornitore nazionale di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali;
      • una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
      • una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
      • il soggetto è critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;
      • il soggetto è considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.

Tali soggetti, alla conclusione della procedura di identificazione di cui all’articolo 3, comma 13, riceveranno una specifica notifica da parte dell’Autorità nazionale competente NIS e di conseguenza dovranno successivamente registrarsi sulla piattaforma di ACN (articolo 7, comma 1) (v. FAQ 1.6, 3.1 e 3.2).

2.2 Che differenza c’è fra soggetti essenziali e importanti?

A seconda del livello di criticità intrinseca dei settori e delle tipologie di soggetti in relazione al rischio informatico, ai sensi dell’articolo 6 del d.lgs. n. 138/2024: (decreto NIS) recante il recepimento della nuova Direttiva NIS (v. FAQ 1.2), i soggetti sono distinti tra “essenziali” e “importanti”. Tale distinzione è utile ai fini dell’applicazione proporzionale degli obblighi nonché dell’esercizio dei poteri ispettivi e sanzionatori dell’Autorità nazionale competente NIS.

Sono considerati essenziali:

    • i soggetti di cui all’allegato I che superano i massimali per le medie imprese di cui all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE;
    • indipendentemente dalle loro dimensioni, i soggetti identificati come soggetti critici ai sensi del decreto legislativo che recepisce la Direttiva (UE) 2022/2557;
    • i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico di cui all’articolo 3, comma 5, lettera b), che si considerano almeno medie imprese ai sensi dell’articolo 2 dell’allegato alla raccomandazione 2003/361/CE;
    • indipendentemente dalle loro dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio di cui all’articolo 3, comma 5, lettere c) e d);
    • indipendentemente dalle loro dimensioni, le pubbliche amministrazioni centrali di cui all’allegato III, lettera a);
    • i soggetti eventualmente individuati dall’Autorità competente NIS. Tali soggetti riceveranno una specifica notifica di individuazione.

Tutti gli altri soggetti rientranti nell’ambito di applicazione del decreto che non sono considerati essenziali, sono considerati importanti.

Scopri gli ambiti di applicazione suddivisi in base ai settori, sottosettori o tipologie di soggetti.

2.3 Come faccio a sapere se sono una grande, media o piccola impresa?

Per la definizione di media impresa occorre far riferimento ai requisiti dimensionali indicati nell’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE:  nonché, in modo più specifico, alla Guida dell’utente alla definizione di PMI: (pubblicata dalla Commissione europea nel 2020).

Confrontando i propri dati con le soglie stabilite dalla citata disciplina, un’impresa può determinare se è una microimpresa, una piccola o una media impresa.

Le microimprese sono definite come imprese con meno di 10 occupati e che realizzano un fatturato annuo oppure un totale di bilancio annuo non superiore a 2 milioni di euro.

Le piccole imprese sono definite come imprese con meno di 50 occupati e che realizzano un fatturato annuo oppure un totale di bilancio annuo non superiore a 10 milioni di euro.

Le medie imprese sono definite come imprese con meno di 250 occupati e che realizzano un fatturato annuo non superiore a 50 milioni di euro oppure un totale di bilancio annuo non superiore a 43 milioni di euro.

Si evidenzia che devono essere sempre presenti, sia il criterio del numero di effettivi, sia almeno uno dei due parametri contabili (fatturato o bilancio) tra loro alternativi, essendo sufficiente che almeno uno dei due rientri nei parametri dimensionali. Se i valori dei parametri contabili sono superati entrambi, si ricade nella categoria di PMI superiore. Per esempio, se si supera sia il valore di 50 milioni di fatturato, sia il valore di 43 milioni di totale di bilancio annuo, si ricade nella grande impresa indipendentemente dal numero degli effettivi.

La raccomandazione prevede che il calcolo del numero di effettivi, fatturato e bilancio, tenga conto delle imprese associate o collegate (articolo 6, paragrafo 2).

Qualora il soggetto ritenga che ciò non sia proporzionato – tenuto anche conto dell’indipendenza dello stesso dalle sue imprese associate o collegate in termini di servizi che fornisce e di sistemi informativi e di rete che utilizza nella fornitura di tali servizi – potrà richiedere una deroga ai sensi dell’articolo 3, comma 4, del decreto NIS, in presenza degli specifici criteri stabiliti dal DPCM sull’applicazione della clausola di salvaguardia, adottato ai sensi dell’articolo 40, comma 1, lettera a), del decreto NIS.

Registrazione

3.1 Chi deve registrarsi sulla piattaforma ACN?

I soggetti che si riconoscono in uno dei settori/sottosettori/tipologie (v. FAQ 2.1) previste dalla nuova normativa NIS (d.lgs. n. 138/2024:) e, ove richiesto, presentino i requisiti dimensionali stabiliti espressamente dal suo articolo 3.

3.2 Quali sono le scadenze previste per registrarsi sulla piattaforma ACN?

I soggetti che si riconoscono in uno dei settori/sottosettori/tipologie (v. FAQ 2.1) previste dalla nuova normativa NIS (d.lgs. n. 138/2024:) dovranno registrarsi sulla piattaforma di ACN dal 1° gennaio al 28 febbraio di ogni anno successivo alla data di entrata in vigore del decreto – quindi già entro il 28 febbraio 2025 – fatta eccezione per i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione del decreto (v. FAQ 2.1), per i quali è previsto l’obbligo di registrazione entro il 17 gennaio 2025.

In fase di prima applicazione, al fine di agevolare i soggetti, sarà possibile avviare il processo di registrazione già a partire dal primo dicembre 2024.

3.3 Dopo essermi registrato sulla piattaforma di ACN sarò un soggetto NIS?

Le pubbliche amministrazioni e i soggetti pubblici o privati che rientrano nell’ambito di applicazione del decreto legislativo 138/2024 (decreto NIS) sono soggetti NIS a prescindere dalla registrazione e sono pertanto tenuti a rispettare gli obblighi previsti dal relativo decreto, a partire dalla registrazione stessa.

La registrazione di un soggetto sulla piattaforma di ACN è successivamente sottoposta ad una fase di analisi. Entro il 31 marzo 2025, l’Agenzia, in qualità di Autorità nazionale competente NIS, comunicherà al soggetto l’eventuale inserimento nell’elenco dei soggetti essenziali o importanti.

La registrazione, al contempo, è necessaria per costituire l’elenco dei soggetti NIS che l’Agenzia, in qualità di Autorità nazionale competente NIS, dovrà adottare, d’intesa con le Autorità di settore, entro il 31 marzo 2025. Nel mese di aprile 2025, l’Autorità nazionale competente NIS notificherà al domicilio digitale di tutti i soggetti registrati se rientrano, o meno, nell’elenco.

Questo processo, nell’istituire un canale di comunicazione diretto tra i soggetti registrati e l’Autorità nazionale competente NIS, consente anche di dare ulteriore chiarezza circa la riconducibilità, o meno, di un soggetto all’ambito di applicazione del decreto NIS

3.4 Quali sono i criteri per designare il Punto di contatto?

Il Punto di contatto è il rappresentante legale o un suo procuratore generale oppure un dipendente delegato del soggetto.

In quest’ultimo caso, nel corso della registrazione, il punto di contatto dovrà caricare il titolo giuridico che lo delega a operare per conto del soggetto nel contesto NIS. Come titolo giuridico è sufficiente una delega del rappresentante legale che può essere ad-hoc (modello suggerito) o anche una delega pre-esistente più ampia.

Per le pubbliche amministrazioni è possibile designare quale punto di contatto il dipendente di un’altra pubblica amministrazione che rientra nell’ambito di applicazione del decreto NIS.

Analogamente, i soggetti che fanno parte di un gruppo di imprese possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Il punto di contatto ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso, a partire dalla registrazione, e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS.

3.5 Quali sono le informazioni necessarie per la registrazione?

La registrazione si compone di tre fasi: il censimento del punto di contatto, la sua associazione al soggetto NIS e la compilazione della dichiarazione.

  1. Per la fase di censimento del punto di contatto, sarà necessario verificare o fornire i seguenti dati:
    1. nome e cognome;
    2. luogo e data di nascita;
    3. codice fiscale;
    4. cittadinanza;
    5. Paese di residenza e, ove richiesto, di domicilio;
    6. indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, aziendale o professionale;
    7. ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, nonché di servizio, aziendale o professionale;
    8. numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o professionale;
    9. ove disponibile, un numero alternativo di telefono, preferibilmente individuale di servizio, aziendale o professionale.
  2. Per la fase di associazione del punto di contatto al soggetto NIS, sarà necessario disporre del codice fiscale di quest’ultimo. Inoltre, qualora il Punto di contatto non sia il rappresentante legale del soggetto o un suo procuratore generale censito sul registro delle imprese, sarà necessario caricare il titolo giuridico che lo delega a operare per conto del soggetto.
  3. Per la fase di compilazione della dichiarazione, sarà necessario disporre:
    1. dell’elenco dei codici ATECO che caratterizzano le attività svolte e i servizi erogati dal soggetto, con particolare riferimento all’ambito di applicazione del decreto NIS;
    2. delle normative europee settoriali citate dal decreto NIS per delimitarne l’ambito di applicazione che si applicano al soggetto;
    3. del numero di dipendenti, il fatturato e il bilancio del soggetto. Qualora il soggetto non sia una impresa autonoma, il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
    4. l’elenco delle tipologie di soggetto di cui agli allegati I, II, III e IV, a cui è riconducibile il soggetto;
    5. l’autovalutazione del soggetto quale essenziale, importante o fuori ambito, sulla base di quanto previsto dagli articoli 3 e 6 del decreto NIS.

Per i soggetti che non sono imprese autonome (ovvero hanno imprese collegate, associate e/o fanno parte di un gruppo di imprese), in fase di registrazione sarà inoltre necessario fornire le informazioni indicate nella FAQ 3.7

3.6 Per le pubbliche amministrazioni di cui all’allegato III, cambia qualcosa nel processo di registrazione?

Le pubbliche amministrazioni, in linea con quanto previsto dalla legge 90/2024 in relazione al referente per la cybersicurezza, hanno la facoltà di designare quale punto di contatto il dipendente di un’altra pubblica amministrazione che rientra nell’ambito di applicazione del decreto NIS.

Qualora la stessa persona fisica sia designata quale punto di contatto per più pubbliche amministrazioni che rientrano nell’ambito di applicazione del decreto NIS, occorrerà ripetere la fase di associazione e registrazione per ogni soggetto NIS.

3.7 Per i soggetti che non sono imprese autonome (ovvero hanno imprese collegate, associate e/o fanno parte di un gruppo di imprese), cambia qualcosa nel processo di registrazione?

Con riferimento alla designazione del punto di contatto, al fine di non imporre radicali cambiamenti nel governo della sicurezza informatica, i soggetti che fanno parte di un gruppo di imprese ai sensi dell’articolo 1, comma 1, lettera u), della Determinazione 38565/2024, possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Pertanto, ad esempio:

  1. nei gruppi di imprese nei quali il governo della sicurezza informatica è decentralizzato, i soggetti che fanno parte del gruppo possono designare ognuno un proprio dipendente quale punto di contatto;
  2. nei gruppi di imprese nei quali il governo della sicurezza informatica è centralizzata, i soggetti che fanno parte del gruppo possono tutti designare quale punto di contatto un dipendente della struttura del gruppo che governa la sicurezza informatica, oppure designare ognuno un proprio dipendente quale punto di contatto che si coordinerà con la struttura del gruppo che governa la sicurezza informatica.

Qualora la stessa persona fisica sia designata quale punto di contatto per tutti o una parte dei soggetti NIS del gruppo di imprese, occorrerà ripetere la fase di associazione e registrazione per ogni soggetto NIS.

Inoltre, con riferimento alla registrazione di soggetti che non sono imprese autonome ai sensi dell’articolo 1, comma 1, lettera t) della Determinazione 38565/2024, sarà necessario fornire le seguenti ulteriori informazioni rispetto a quanto illustrato nella FAQ 3.5:

  1. il codice fiscale e la ragione sociale della capogruppo, qualora il soggetto appartenga a un gruppo e non sia la capogruppo;
  2. il codice fiscale e la ragione sociale di tutte le imprese collegate, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), che soddisfano almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS) nei confronti del soggetto medesimo;
  3. il codice fiscale e la ragione sociale di tutte le imprese collegate che, per quanto noto, siano a loro volta soggetti NIS, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), nei confronti dei quali il soggetto medesimo soddisfa almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS);
  4. il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima.

Infine, con riferimento a quest’ultimo punto, qualora tale soggetto ritenga sproporzionata l’applicazione dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE, sarà necessario fornire anche:

  1. il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, senza tenere conto di quanto previsto dall’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
  2. la valutazione del grado di indipendenza (totale parziale o assente) dei sistemi informativi e di rete NIS dell’organizzazione dai sistemi informativi e di rete delle imprese collegate. Con attività e servizi NIS si intendono le attività e i servizi per i quali l’organizzazione rientra nell’ambito di applicazione del decreto NIS. Con sistemi informativi e di rete NIS, si intendono i sistemi informativi e di rete che abilitano attività e servizi NIS;
  3. la valutazione del grado di indipendenza (totale parziale o assente) delle attività e dei servizi NIS dell’organizzazione NIS dalle attività e dai servizi delle imprese collegate;
  4. la risposta (si, in parte, no) alle domande seguenti:
    1. I sistemi informativi e di rete delle imprese collegate concorrono ai sistemi informativi e di rete NIS dell’organizzazione?
    2. Le attività e i servizi di imprese collegate concorrono alle attività e servizi NIS dell’organizzazione?
    3. Le imprese collegate sono essenziali nella catena di approvvigionamento, anche digitale, dell’organizzazione?

Altre tematiche

A. Cos’è EU-CyCLONe e che compiti svolge?

La rete europea delle organizzazioni di collegamento per le crisi informatiche (EU Cyber Crises Liaison Organisation Network – EU-CyCLONe) è una rete di cooperazione per le autorità nazionali degli Stati membri responsabili della gestione delle crisi informatiche. La rete è stata lanciata nel 2020 e formalizzata a seguito dell’entrata in vigore della NIS2.

EU-CyCLONe è composta dai rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, nei casi in cui un incidente di cybersicurezza su larga scala, potenziale o in corso, abbia o possa avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della nuova Direttiva NIS, anche dalla Commissione. Negli altri casi, la Commissione partecipa alle attività di EU-CyCLONe in qualità di osservatore.

I compiti principali di EU-CyCLONe sono:

    • sostenere la gestione coordinata di incidenti e crisi informatiche su larga scala a livello operativo e garantire lo scambio regolare di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione;
    • aumentare il livello di preparazione della gestione degli incidenti e delle crisi informatiche su larga scala;
    • sviluppare una consapevolezza della situazione condivisa per gli incidenti e le crisi informatiche su larga scala;
    • valutare le conseguenze e l’impatto di incidenti e crisi informatiche su larga scala e proporre possibili misure di mitigazione;
    • coordinare la gestione degli incidenti e delle crisi informatiche su larga scala e sostenere il processo decisionale a livello politico in relazione a tali incidenti e crisi;
    • discutere, su richiesta di uno Stato membro interessato, i piani nazionali di risposta agli incidenti e alle crisi informatiche su larga scala.

Rexilience c'è

Rexilience è pronta a supportare le imprese nel mettersi in regola e in sicurezza , garantendo conformità e protezione in un ambiente normativo in evoluzione.