La determina pubblicata dall’Agenzia per la Cybersicurezza Nazionale dettaglia i primi aspetti concreti di implementazione della Direttiva NIS 2: quella sui termini, le modalità e i procedimenti di utilizzo e accesso alla piattaforma digitale.
Nello specifico, quest’ultima sarà uno dei principali strumenti di comunicazione tra l’Agenzia e i soggetti essenziali o importanti fin dalle primissime fasi di applicazione della normativa.
Infatti, tra le prime attività richieste alle aziende italiane vi è l’obbligo di registrarsi su tale piattaforma affinché l’ACN possa censire gli enti presenti sul territorio nazionale e individuare i soggetti essenziali e importanti.
Indice degli argomenti
L’individuazione del punto di contatto
Anzitutto, i soggetti essenziali e importanti dovranno individuare un punto di contatto con l’Agenzia, che avrà il compito di curare l’attuazione delle disposizioni della Direttiva NIS 2, tra cui la registrazione sulla piattaforma.
Dunque, come primo step le aziende dovranno identificare il soggetto più idoneo a ricoprire questo ruolo, valutando con attenzione il tipo di competenze che dovrà avere, se di natura gestionale, legale o tecnica.
Tale valutazione deve essere fatta con particolare attenzione anche considerando che la nomina di un punto di contatto non consente in alcun modo al management di sgravarsi delle responsabilità che vengono attribuite dalla normativa. Dunque, dovrà essere scelto un soggetto “fidato” che abbia competenze trasversali.
Tra le figure possibili vi sono quelle del legale rappresentante del soggetto, del procuratore generale o di un dipendente delegato. Nel caso di gruppi, il punto di contatto può anche essere svolto da un dipendente di un’altra impresa.
Indipendentemente dal soggetto che verrà designato, questi dovrà riferire direttamente al vertice gerarchico dell’azienda e agli organi di amministrazione.
La designazione di un rappresentante nell’Unione
Tra gli adempimenti dettagliati dalla determina di ACN vi è anche l’obbligo di designare un rappresentante nell’Unione per i fornitori di:
- servizi di sistema dei nomi di dominio DNS;
- registri dei nomi di dominio di primo livello;
- soggetti che forniscono servizi di registrazione dei nomi di dominio;
- fornitori di servizi di cloud computing;
- fornitori di servizi di data center;
- fornitori di reti di distribuzione dei contenuti;
- fornitori di servizi gestiti;
- fornitori di servizi di sicurezza gestiti;
nonché i fornitori di:
- mercati online;
- motori di ricerca online o di piattaforme di servizi di social network,
che non sono stabiliti nel territorio dell’Unione europea, ma offrono servizi all’interno dello stesso.
In questo caso, però, le tempistiche sono ben più serrate: la scadenza per comunicare con l’ACN è il primo gennaio 2025. Successivamente, l’Agenzia dovrà comunicare al soggetto l’accettazione o il diniego a procedere alla registrazione sulla piattaforma entro 30 giorni dalla trasmissione di tutta la documentazione richiesta tramite la piattaforma.
In questo caso, il punto di contatto potrà essere il rappresentante stesso qualora sia una persona fisica, il legale rappresentante della società, uno dei procuratori generali o un dipendente del rappresentante qualora esso sia una persona giuridica.
La registrazione sulla piattaforma
Una volta identificato il punto di contatto con l’ACN, lo stesso si dovrà autenticare sul portale dell’Agenzia mediante le proprie credenziali personali SPID. In assenza delle stesse, dovrà inviare all’Agenzia una richiesta di credenziali personali mediante l’apposita sezione del sito web.
Una volta censiti sul Portale, i punti di contatto dovranno effettuare l’associazione della loro utenza con il soggetto che rappresentano fornendone il codice fiscale. Tale associazione dovrà essere convalidata dal soggetto essenziale o importante.
Una volta concluso il processo di associazione mediante conferma da parte della piattaforma, il punto di contatto dovrà procedere con la registrazione del soggetto essenziale e importante fornendo tutti i dettagli richiesti, tra cui l’inserimento all’interno di un gruppo di imprese e il ruolo ricoperto (se controllante o controllata), la presenza di società collegate, i codici ATECO applicabili, il settore in cui opera, i dati relativi al fatturato e al numero dei dipendenti.
Qualora in tale fase fossero rilevate incongruenze, le stesse sono segnalate al punto di contatto che dovrà modificare i dati forniti o dare ulteriori elementi di valutazione.
Inoltre, stando a quanto tratteggiato nella determina, il sistema, alla conclusione del processo, restituirà una prima valutazione preliminare sulla necessità di adeguarsi alla NIS 2 e sulla qualifica del soggetto come essenziale e importante.
Tuttavia, l’output fornito dalla piattaforma non sarà definitivo, ma potrà essere soggetto a verifiche di coerenza da parte dell’ACN. Infatti, entro aprile 2025, tutti i soggetti che si sono registrati sulla piattaforma riceveranno un riscontro sull’applicabilità o meno della Direttiva NIS 2 e sulla qualifica come soggetti essenziali o importanti.
Inoltre, verrà comunicato un codice identificativo univoco, per il soggetto e per l’utente, al fine di facilitare le interlocuzioni con l’Autorità nazionale competente NIS.
La clausola di salvaguardia
Un elemento di particolare rilievo, soprattutto per i gruppi societari, è la clausola di salvaguardia, introdotta dal Decreto Legislativo 138/2024 di recepimento della NIS 2.
Tale clausola viene introdotta al fine di evitare distorsioni e oneri eccessivi per aziende che hanno una presenza minima sul territorio, ma che risulterebbero soggette alla Direttiva NIS 2 a causa dei dati del gruppo.
Infatti, considerato che, ai fini del calcolo dei volumi dell’impresa, si devono tenere in considerazione i dati delle imprese controllate, controllate o collegate, l’assoggettamento alla Direttiva NIS 2 potrebbe risultare sproporzionato, anche tenuto conto dell’indipendenza del soggetto in termini di sistemi informativi e di rete dal resto del gruppo.
Dunque, al fine di evitare queste situazioni, il decreto di recepimento consente di applicare tale clausola di salvaguardia che permette di fornire ulteriori elementi di valutazione, che dovranno essere esplicitati in un DPCM, affinché l’Agenzia possa vagliare la sua esclusione dal perimetro di applicazione della normativa.
