E-time | the software company
NIS2: Il Nuovo Portale ACN per la Sicurezza delle Imprese
Il 18 ottobre 2024 è entrato in vigore in Italia il Decreto Legislativo n. 138 del 2024, noto anche come Decreto NIS, che recepisce la Direttiva (UE) 2022/2555, definita Direttiva NIS2, introducendo norme aggiornate per rafforzare la sicurezza cibernetica e la protezione digitale nell’Unione Europea.
Un elemento fondamentale introdotto dalla Direttiva NIS2 è la registrazione obbligatoria delle imprese su una piattaforma digitale dedicata. Tutte le organizzazioni che soddisfano i requisiti previsti dalla Direttiva devono iscriversi a un portale digitale specifico, gestito dall’Agenzia per la Cybersicurezza Nazionale (ACN).
La piattaforma punta a potenziare il sistema di sicurezza informatica nazionale, facilitando la collaborazione efficiente tra i soggetti NIS e l’Agenzia per la Cybersicurezza Nazionale. Si ricerca così una maggiore chiarezza nei processi amministrativi, implementando un monitoraggio accurato delle informazioni trasmesse.
Chi sono gli enti tenuti a registrarsi
Sono tenute alla registrazione le imprese che operano in settori essenziali e importanti, forniscono servizi essenziali o gestiscono infrastrutture critiche, come definito dalla Direttiva. Inoltre, l’obbligo si applica a tutte le aziende che soddisfano specifici requisiti dimensionali: almeno 50 dipendenti e un fatturato o bilancio annuale superiore a 10 milioni di euro.
In sintesi, l’obbligo si applica sia alle grandi imprese che ai soggetti essenziali e importanti, operanti in settori come energia, trasporti, sanità, telecomunicazioni e altri. Questi sono tenuti a trasmettere tutte le informazioni relative alle proprie attività entro i termini previsti.
Questi soggetti sono obbligati a garantire la conformità alle normative di sicurezza informatica e a registrarsi sul Portale ACN, così da consentire il monitoraggio e la gestione della sicurezza cibernetica a livello nazionale.
Fasi di registrazione al portale e scadenze
Le imprese soggette alla Direttiva NIS2 devono registrarsi sulla piattaforma digitale tramite il Portale ACN entro il 28 febbraio 2025.
La registrazione deve essere effettuata da un Punto di Contatto designato, che può essere il rappresentante legale, un procuratore o un dipendente delegato. Quest’ultimo dovrà garantire l’attuazione delle disposizioni del Decreto NIS, riferendosi direttamente agli organi di amministrazione e direzione.
La registrazione si suddivide in alcune fasi principali:
- Autenticazione sul Portale ACN Il primo passo per accedere alla piattaforma consiste nella registrazione del punto di contatto con le proprie credenziali personali (SPID o altro sistema equivalente), fornendo informazioni identificative. Tali dati vengono esaminati per verificare l’idoneità del punto di contatto a rappresentare il soggetto. Errori o dati incompleti possono invalidare la registrazione, provocando ritardi o sanzioni. Questa fase preliminare consente la formalizzazione del legame tra utente e soggetto NIS.
- Collegamento del punto di contatto al soggetto NIS
Una volta completata l’autenticazione, il sistema verifica, attraverso la convalida di documenti ufficiali e deleghe, l’autorità del punto di contatto, ossia che possa rappresentare il soggetto NIS. Avviene poi il collegamento tra il punto di contatto e il soggetto NIS, in quanto solo i punti ufficialmente autorizzati possono garantire la sicurezza e l’integrità del sistema e dunque essere associati.
Durante questa fase, vengono anche verificate le informazioni sul portale, tra cui:
- Nome del soggetto NIS;
- Indirizzo della sede legale;
- Domicilio digitale;
- Convalida da parte del soggetto NIS Il processo termina con l’approvazione da parte del soggetto NIS, comunicata tramite notifica al domicilio digitale. Una volta confermata, l’ACN invia un avviso ufficiale che attesta il completamento con esito positivo della procedura. Questa fase garantisce un’associazione chiara e verificata tra il punto di contatto e il soggetto NIS, assicurando la conformità e la protezione del sistema.
Elenco ufficiale soggetti NIS
La registrazione culmina con la creazione dell’elenco ufficiale dei Soggetti NIS da parte dell’Autorità Nazionale Competente. Questo elenco rappresenta uno strumento essenziale per il controllo e la gestione delle entità coinvolte nella cybersicurezza nazionale.
Ogni soggetto incluso nell’elenco riceve un codice identificativo univoco, utile per l’organizzazione e per il punto di contatto come riferimento ufficiale. Tale codice garantisce una gestione strutturata e sicura delle informazioni.
Grazie alla registrazione dei Soggetti NIS, le autorità competenti possono monitorare in modo sistematico le infrastrutture critiche, contribuendo alla protezione e alla resilienza del sistema di sicurezza nazionale.
