Cybersecurity NIS2: obbligo registrazione imprese entro il 28 febbraio

Conto alla rovescia per numerose aziende pubbliche e private: entro il 28 febbraio devono effettuare la registrazione NIS2 sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), dichiarando a quali soggetti si applicano i nuovi obblighi previsti da quest’anno.

Con la pubblicazione in Gazzetta Ufficiale del DPCM n. 221/2024 si è infatti completato il quadro normativo previsto dal Dlgs n. 138/2024 (Decreto NIS), che recepisce in Italia la Direttiva europea NIS2 (Network and Information Security 2).

Cybersicurezza: registrazione NIS2 per imprese e PA

La Direttiva NIS2 mira a rafforzare la resilienza cibernetica degli Stati membri dell’Unione europea, con un focus sulle attività economiche.

A partire dal 28 febbraio 2025 le imprese e le pubbliche amministrazioni italiane dovranno dunque conformarsi ai requisiti imposti dalla nuova Direttiva (che ha esteso l’ambito di applicazione della prima Direttiva NIS e introdotto obblighi più stringenti per una vasta gamma di settori), recepita nel diritto nazionale tramite il Decreto Legislativo n. 138/2024.

Chi deve registrarsi alla piattaforma ACN

La Direttiva NIS2 amplia il numero di settori coinvolti, includendo sia quelli considerati altamente critici (come energia, trasporti, sanità, settore bancario, gestione delle risorse idriche e infrastrutture digitali) sia quelli critici (come produzione alimentare, servizi postali e corrieri, piattaforme di social network), suddivisi a loro volta in altre due due categorie principali:

• soggetti essenziali operanti in settori altamente critici (grandi aziende e PMI di interesse strategico),
• soggetti importanti attivi in settori critici (PMI operanti in settori rilevanti).

L’obiettivo è di garantire un elevato livello di sicurezza delle reti e dei sistemi informativi attraverso l’adozione di misure adeguate da parte di tutti i soggetti coinvolti.

Quali PMI devono adottare la NIS2

Le PMI che operano nei settori rilevanti e strategici come definiti dalla direttiva potrebbero dunque doversi conformare alle misure di sicurezza e ai nuovi obblighi di notifica. I settori coinvolti sono i seguenti.

• Energia: produzione, trasmissione e distribuzione di elettricità, gas e petrolio.
• Trasporti: trasporto aereo, ferroviario, marittimo, stradale.
• Banche e finanza: istituti bancari e intermediari finanziari.
• Infrastrutture digitali: provider di servizi cloud, data center, reti di telecomunicazioni.
• Pubblica amministrazione: enti locali e centrali che gestiscono dati critici.
• Sanità: ospedali, laboratori di analisi, farmaceutiche con servizi digitali.
• Acqua: fornitori di acqua potabile e trattamento delle acque reflue.
• Servizi digitali: motori di ricerca, piattaforme di e-commerce, social network.
• Produzione e distribuzione di prodotti chimici e farmaceutici.
• Servizi postali e logistici.

Come si vede, oltre agli operatori di servizi essenziali, dunque la direttiva include ora anche i fornitori di servizi digitali, come ad esempio:

• Servizi DNS
• Cloud computing
• Data center
• Reti di distribuzione di contenuti
• Servizi gestiti e di sicurezza gestiti
• Marketplace online
• Motori di ricerca online
• Piattaforme di servizi di social network
• Registri dei nomi a dominio di primo livello
• Prestatori di servizi fiduciari.

Le PMI con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro, che operano nei settori elencati, dovrebbero rientrare nella normativa NIS2. Le imprese più piccole possono rientrare nell’obbligo se forniscono servizi critici a enti essenziali.

Per capire se si rientra nell’ambito applicativo della norma, si possono consultare gli articoli 3 e 6 del Dlgs. n. 138/2024 e i suoi allegati I-IV. Si consiglia di consultare anche le FAQ pubblicate sul sito ACN (www.acn.gov.it) per comprendere meglio l’ambito applicativo della norma.

Obblighi in scadenza il 28 febbraio 2025

Uno degli adempimenti fondamentali previsti dalla Direttiva NIS2 è l’obbligo, per i soggetti rientranti nelle categorie sopra menzionate, di registrarsi sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025.

Questa procedura consentirà all’ACN di censire i soggetti operanti nei settori vigilati e fornire loro supporto nell’implementazione degli obblighi previsti.

Adempimenti in avvio il 28 febbraio 2025

Oltre alla registrazione, le imprese pubbliche e private chiamate in causa devono anche procedere ai seguenti adempimenti.

• Adottare misure di gestione del rischio: implementare politiche e procedure per identificare e mitigare i rischi associati alla sicurezza delle reti e dei sistemi informativi.
• Nominare un responsabile per la cybersecurity: designare una figura con competenze specifiche in materia di sicurezza informatica, responsabile della supervisione e dell’implementazione delle misure di sicurezza.
• Formazione del personale: assicurare che i dipendenti ricevano una formazione adeguata per riconoscere e affrontare le minacce informatiche.
• Notifica degli incidenti: segnalare tempestivamente all’ACN eventuali incidenti di sicurezza che possano avere un impatto significativo sui servizi offerti.

Requisiti di sicurezza rafforzati

La NIS2 impone alle organizzazioni soggette una serie di obblighi specifici, tra cui politiche di sicurezza delle reti e dei sistemi informativi, gestione degli incidenti e della continuità operativa, sicurezza della supply chain.

• Le imprese e le organizzazioni dovranno adottare policy formali che definiscano le misure di sicurezza da implementare per proteggere le proprie infrastrutture digitali.
• Diventa obbligatorio istituire procedure per l’identificazione, la gestione e la segnalazione degli incidenti di sicurezza. La direttiva specifica anche i criteri per determinare quando un incidente debba essere considerato “significativo” e quindi soggetto a obblighi di notifica.
• Operatori e fornitori di servizi devono predisporre piani di continuità operativa e di ripristino in caso di disastro, assicurando la resilienza dei servizi essenziali.
• Infine, è richiesta l’adozione di misure per gestire i rischi associati alla catena di fornitura, garantendo che anche i fornitori e i partner rispettino standard di sicurezza adeguati.

DPO responsabile della compliance

La figura del DPO assume un ruolo strategico nell’implementazione della NIS2, soprattutto in considerazione dell’intersezione tra sicurezza informatica e protezione dei dati personali.

Al DPO spetta prima di tutto la valutazione dell’ambito di applicabilità della norma: deve determinare se la sua organizzazione rientra o meno nell’ambito di applicazione della NIS2 e in che misura.

A quel punto, se la ritiene coinvolta, dovrà coordinare le funzioni aziendali responsabili della sicurezza informatica, per garantire un approccio integrato all’adeguamento normativo.

A seguire scattano le operazioni di audit e monitoraggio delle misure implementate (assicurandone la conformità sia alla NIS2 che al GDPR) e quelle di gestione degli incidenti di sicurezza, integrandole con quelle previste per le violazioni dei dati personali.

Check-list operativa in 5 passi

1. Analisi dei rischi: valutare i rischi associati alle proprie infrastrutture digitali e identificare le aree di vulnerabilità.
2. Definizione delle politiche di sicurezza: sviluppare e formalizzare politiche di sicurezza che riflettano i requisiti della NIS2.
3. Formazione del personale: implementare programmi di formazione e sensibilizzazione per il personale, promuovendo una cultura della sicurezza informatica.
4. Gestione dei fornitori: valutare i fornitori critici e assicurarsi che rispettino standard di sicurezza adeguati.
5. Monitoraggio continuo: stabilire processi di monitoraggio continuo delle reti e dei sistemi informativi per rilevare e rispondere tempestivamente agli incidenti.

Registrazione sulla piattaforma ACN

I soggetti pubblici e privati a cui si applica il Decreto NIS, entro il 28 febbraio 2025, devono registrarsi sulla piattaforma digitale resa disponibile dall’ACN. Il mancato adempimento prevede una sanzione pecuniaria fino allo 0,1% del fatturato annuo.

La registrazione è disciplinata dall’art. 7 del decreto e le istruzioni sono contenute nella determinazione ACN n. 38565/2024. La procedura è composta da tre fasi: censimento del punto di contatto, associazione al soggetto e compilazione della dichiarazione NIS.

In via preliminare, dunque, bisogna designazione il punto di contatto, che può essere anche un dipendente delegato dal legale rappresentante del soggetto tenuto alla registrazione (che su effettua da questo link). Cosa deve fare il punto di contatto? Deve compilare una dichiarazione articolata in 4 sezioni: contesto, caratterizzazione, tipologie di soggetto e autovalutazione (ecco le risposte alle domande frequenti su questo aspetto della norma).

Clausola di salvaguardia e DPCM n. 221/2024

Attraverso il Decreto del Presidente del Consiglio dei ministri n. 221 del 9 dicembre 2024 (DPCM n. 221/2024), il legislatore dà sostanza alla clausola di salvaguardia che bilancia tutela della cybersicurezza e proporzionalità nell’applicazione della normativa NIS.

La clausola consente di derogare alla definizione di impresa collegata stabilita dalla Raccomandazione 2003/361/CE, purché siano soddisfatti specifici requisiti di indipendenza totale dei sistemi informativi e delle attività NIS disciplinati dal DPCM n. 221/2024.

Le organizzazioni che li rispettano possono richiedere l’applicazione della clausola in fase di registrazione  all’ACN, beneficiando di un regime normativo più proporzionato rispetto alla loro effettiva struttura operativa.

Alcune PMI appartenenti a gruppi societari complessi possono richiedere l’esenzione da obblighi stringenti attraverso la clausola di salvaguardia, dimostrando indipendenza operativa e tecnologica rispetto alla capogruppo.

La deroga è tuttavia sempre esclusa per i soggetti che rientrano automaticamente nell’ambito del Decreto NIS.

Sanzioni per inadempienza

Il Decreto Legislativo n. 138/2024 prevede sanzioni severe per le organizzazioni che non rispettano gli obblighi imposti.

La mancata registrazione comporta sanzioni amministrative pecuniarie fino allo 0,1% del fatturato annuo su scala mondiale per i soggetti essenziali e fino allo 0,07% per i soggetti importanti.

Oltre alle sanzioni per la mancata registrazione, le violazioni relative all’adozione di misure di sicurezza e alla notifica degli incidenti possono comportare multe fino a 10 milioni di euro o al 2% del fatturato mondiale annuo totale per i soggetti essenziali, e fino a 7 milioni di euro o all’1,4% del fatturato per i soggetti importanti.