Fino al 28 febbraio 2025, gli utenti designati quali punti di contatto dovranno compilare, tramite il Servizio NIS/Registrazione, la dichiarazione per il soggetto designante ai fini della sua registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate, fatta salva la possibilità di modificare e/o integrare la dichiarazione medesima. La mancata registrazione, comunicazione o aggiornamento delle informazioni è punita con sanzioni
La Direttiva (UE) n. 2022/2555, meglio nota come “Direttiva NIS2”, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, rappresenta ad oggi il punto di riferimento normativo europeo in materia di cybersicurezza. Essa si inserisce all’interno delle iniziative politiche e giuridiche dell’Unione finalizzate ad aumentare la resilienza di soggetti pubblici e privati alle minacce nell’ambito cibernetico.
La Direttiva è stata recepita in Italia con il D.Lgs. 4 settembre 2023, n. 138, cd. decreto NIS, pubblicato sulla Gazzetta Ufficiale, Serie Generale n. 230 del 1° ottobre 2024 (v. FAQ 1.2). Esso ha abrogato il D.Lgs. n. 65/2018, che recepiva la precedente Direttiva NIS (Direttiva 2016/1148), ed è entrato in vigore il 16 ottobre 2024.
La normativa NIS aggiornata ha l’obiettivo di garantire un aumento del livello di sicurezza cibernetica comune, grazie all’armonizzazione delle norme applicabili ai diversi operatori nei diversi Stati membri e al rafforzamento dei livelli standard di sicurezza rispetto a quelli previsti dalla disciplina vigente.
Essa ha esteso l’ambito di applicazione ad oltre 80 tipologie di soggetto, raggruppate in 18 settori, di cui 11 settori altamente critici (quali, tra gli altri, energia, trasporti, sanità, banche, infrastrutture digitali, servizi ICT, PA, spazio) e 7 settori critici (tra i quali, servizi postali e di corriere, alimenti, rifiuti).
A differenza delle norme precedenti, che si applicavano solo a reti e sistemi serventi i servizi essenziali, le nuove hanno ad oggetto l’intera infrastruttura ICT dei soggetti. Questi ultimi vengono identificati come essenziali o importanti, sulla base di criteri oggettivi, o di criteri cd. governativi, per il tramite dell’Autorità nazionale competente NIS, ovverosia l’Agenzia Nazionale per la Cybersicurezza (ACN), su proposta delle Autorità di settore competenti. In particolare, sono soggette alla NIS 2 le PMI che operano in uno dei settori critici o altamente critici, con più di 50 dipendenti, con un fatturato annuo superiore a 10 milioni di euro ed un totale di bilancio annuo superiore a 10 milioni di euro (Raccomandazione 2003/361 CE). Va, peraltro, precisato che anche le PMI che non superano i testé citati dimensionali potrebbero essere soggette al decreto NIS 2 se designate come “entità essenziali” dalle autorità competenti, nei casi, in cui, ad es., l’organizzazione svolga un ruolo cruciale per il mantenimento di servizi essenziali o per la sicurezza nazionale.
A carico dei soggetti predetti sono posti una serie di impegni e adempimenti, quali l’obbligo di implementare misure di sicurezza in relazione ad almeno 10 ambiti, con un approccio multi-rischio e proporzionale rispetto al rischio posto al sistema informativo e di rete e l’obbligo di osservare un processo di notifica estremamente specifico e articolato. Il decreto NIS ha introdotto, inoltre, la divulgazione coordinata delle vulnerabilità (CVD) e ha previsto, per le crisi, specie a carattere transfrontaliero, l’istituzione del Cyber crisis liaison organisation network (CyCLONe) e dell’Autorità nazionale competente per la gestione delle crisi informatiche.
La nuova normativa rafforza i poteri di esecuzione, ispettivi e sanzionatori che sono in capo all’Agenzia per la cybersicurezza nazionale, presso la quale opera anche il CSIRT Italia, Gruppo nazionale di risposta agli incidenti di sicurezza informatica.
A partire dal 1° dicembre 2024 si applicherà la Determinazione del Direttore Generale dell’ACN, adottata il 26 novembre 2024 e recante termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimenti di designazione dei rappresentanti NIS nell’Unione.
La citata determinazione definisce: a) le modalità di designazione del punto di contatto; b) il procedimento per il censimento del punto di contatto quale utente per accedere al Portale ACN; c) il procedimento per l’associazione dell’utenza del punto di contatto al soggetto per conto del quale il punto di contatto accede ai Servizi NIS; d) il procedimento per la registrazione, tramite il Servizio NIS/Registrazione.
In particolare, il punto di contatto è una persona fisica designata dal soggetto NIS con il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso. Esso accede al Portale ACN e ai Servizi NIS, effettua, per conto del soggetto, la registrazione e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS. A partire dal 1° dicembre 2024 ed entro il 28 febbraio 2025, i punti di contatto si autenticheranno sul Portale ACN tramite le proprie credenziali personali del Sistema Pubblico di Identità Digitale (SPID).
Dal 1° dicembre al 28 febbraio 2025, gli utenti designati quali punti di contatto dovranno compilare, tramite il Servizio NIS/Registrazione, la dichiarazione per il soggetto designante ai fini della sua registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate, fatta salva la possibilità di modificare e/o integrare la dichiarazione medesima. La mancata registrazione, comunicazione o aggiornamento delle informazioni è punita con le sanzioni previste dall’art. 38 del Decreto NIS 2, vale a dire oltre che con sanzioni amministrative pecuniarie, anche con la sospensione temporanea di certificati o di autorizzazioni. I membri degli organi direttivi possono, infine, essere dichiarati incapaci di svolgere funzioni dirigenziali fino a quando non saranno attuate le misure necessarie per sanare le violazioni.