È stata firmata il 26 novembre dal Direttore dell’Agenzia per la Cybersecurity Nazionale (ACN) Bruno Frattasi ed è pubblicata dal 27 Novembre sul sito ACN la prima determina attuativa nell’ambito degli obblighi della direttiva NIS2, ovvero, degli obblighi previsti dal decreto legislativo che recepisce la direttiva europea.
La determina riguarda la piattaforma digitale per la registrazione di tutti i soggetti pubblici e privati designati come “soggetti NIS” ai quali corre l’obbligo di registrarsi entro il 28 febbraio 2025.
La registrazione per ogni entità pubblica o privata dovrà avvenire per tramite di una persona fisica designata come “punto di contatto” che avrà la responsabilità di comunicazioni e adempimenti per quell’entità.
Le informazioni inserite saranno verificate per correttezza, convalida e coerenza dalle strutture ACN preposte.
La piattaforma digitale sarà resa disponibile da ACN dal primo dicembre 2024.
Indice degli argomenti
NIS2: percorso attuativo a tappe progressive
Di tutto questo e molto altro si è parlato proprio oggi nel convegno organizzato da ACN presso l’università La Sapienza di Roma, dal titolo “La nuova direttiva NIS per un più alto livello di cybersicurezza del sistema Paese”.
Dopo i saluti istituzionali, i referenti ACN del servizio interno di regolazione guidati da Milena Antonella Rizzi hanno spiegato il percorso attuativo del Decreto legislativo di recepimento della NIS2, a partire dal processo di registrazione per tramite della nuova piattaforma ACN, chiarendo a seguire, sia le indicazioni per la proporzionalità degli obblighi secondo la classificazione dei soggetti “essenziali” e “importanti” (come da categorie della Direttiva NIS2 n.d.r.) sia i dieci ambiti di applicazione delle misure di sicurezza.
Non meno importante è stato il focus sulle notifiche incidente da fare al CSIRT e le attenzioni contrattuali da riservare ai fornitori per l’attuazione della sicurezza nella catena di approvvigionamento.
I DPCM e le determine per l’attuazione della NIS2
L’attuazione NIS2 è un percorso a tappe forzate che hanno la forma di DPCM e determine attuative su diversi aspetti di dettaglio, alcuni dei quali già approvati e in vigore: criteri per l’applicazione delle clausole di salvaguardia, informazioni aggiuntive che i soggetti dovranno condividere e organizzazione e funzionamento del tavolo interministeriale.
Altri elementi in corso di sviluppo riguardano le modalità di raccordo e cooperazione con le autorità nazionali e l’individuazione dei soggetti che non rientrano nei criteri generali.
A tutto ciò seguiranno altri DPCM e determine secondo una stretta roadmap di atti previsti entro il 31 Marzo 2025 ed entro i successivi 6 mesi, al fine di arrivare alla piena attuazione degli obblighi di base, a cui, a loro volta faranno seguito gli obblighi di lungo termine a partire da metà aprile 2026.
Come si vede, si tratta di una strada tracciata che è iniziata dalla pubblicazione in gazzetta ufficiale della NIS2 nel dicembre 2022 e che due anni dopo con il decreto di recepimento obbliga tutti i soggetti pubblici e privati ad adeguarsi a tappe progressive fino a fine 2026.
I soggetti NIS2
I soggetti a cui sono stati estesi gli obblighi NIS2 afferiscono a oltre 80 tipologie distinti fra servizi essenziali e di servizi importanti (vedi tabella riassuntiva dal sito ACN) relativamente ai settori altamente critici, critici e alle ulteriori tipologie di soggetti citati nella normativa NIS2.
La distinzione tra i soggetti tiene conto anche del cosiddetto “size cap” ovvero della dimensione aziendale che differenzia fra imprese grandi e medie tenute a registrarsi e le imprese piccole e micro, che sono considerate ‘tecnicamente’ fuori ambito, anche se alcune di queste potrebbero essere identificate dall’Autorità come importanti o essenziali (dipendentemente dal loro status di fornitori verso soggetti che rientrano negli obblighi NIS2 n.d.r.)
Osservazioni sul processo di registrazione
Grazie alle spiegazioni di Nicolò Rivetti, (Capo Divisione NIS e discipline unionali del Servizio Regolazione ACN n.d.r.) sugli elementi documentali e sulle dichiarazioni della fase di registrazione è stato possibile comprendere, come si renda necessario che il soggetto che opera come “punto di contatto” per l’impresa che si registra, sia delegato dall’impresa su diverse tematiche, ovvero tutte quelle per cui deve presentare documentazione e fare dichiarazioni.
Questo aspetto non è nativamente già risolto per molte tipologie di aziende in cui le deleghe a operare posson non essere complete, potrebbero non essere state formalizzate o addirittura potrebbero non esistere.
Ma è importante sottolineare che alcuni referenti di sicurezza potrebbero essere soggetti a policy di “Segregation of Duties” (SOD) che è in conflitto con la procura di un pool di deleghe estese.
Questo aspetto può essere superato con la sostituzione del delegato punto di contatto dopo la prima fase di registrazione, ma comunque evidenzia l’esigenza di porre più di qualche attenzione da parte dell’impresa nell’affrontare il tema delle deleghe e delle responsabilità nei rapporti con ACN, come parte del delicato tema organizzativo della sicurezza in azienda non sempre debitamente o prontamente affrontato a dovere.
O almeno fino a oggi.
