Tutto quello che le aziende devono sapere (e fare) entro febbraio

Con l’attivazione ufficiale della piattaforma NIS 2 da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN), inizia una nuova fase di innalzamento dei livelli di sicurezza dei servizi digitali in tutta l’area UE. L’obiettivo del Decreto Legislativo 4 settembre 2024, n. 138, che recepisce la Direttiva (UE) 2022/2555 (nota come NIS 2), è infatti adottare una strategia comune in ambito cyber per tutti gli Stati membri.  

La piattaforma messa a disposizione dall’ACN è operativa dal 1° dicembre 2024, e l’iscrizione costituisce il primo obbligo per le imprese che rientrano nel perimetro della normativa NIS 2 

Anche questo primo adempimento è assistito da una sanzione amministrativa significativa in caso di mancata registrazione entro il termine stabilito del 28 febbraio 2025. Le multe possono infatti raggiungere lo 0,1% del fatturato annuo mondiale. 

Per una trattazione completa dell’ambito di applicazione della normativa e dei relativi adempimenti, si rimanda ai nostri precedenti articoli:  

La registrazione come fulcro del sistema ACN 

Attraverso la piattaforma NIS 2 le imprese potranno accedere al “Portale Servizi” NIS 2, dove avranno l’opportunità di effettuare una valutazione preliminare della propria impresa. Sulla piattaforma è possibile inserire i dati aziendali e ricevere una prima valutazione in merito alla qualificazione della propria impresa rispetto alla normativa NIS 2 (la piattaforma indicherà se la nostra società rientra fra i soggetti essenziali, importanti o, diversamente, è fuori ambito). Tuttavia, tale responso da parte del tool messo a disposizione da ACN è solo una prima indicazione di carattere generale, non vincolante. Resta in capo all’azienda ponderare la necessità di procedere all’iscrizione nonostante le risultanze dell’autovalutazione. A titolo esemplificativo, un’impresa collegata ad un soggetto essenziale o importante, nonostante possa non integrare i requisiti dimensionali e non operi nei settori merceologici individuati dalla normativa, potrebbe comunque avere l’obbligo di iscrizione in piattaforma qualora effettui operazioni di sicurezza informatica per conto del soggetto essenziale o importante (c.d. società spin off); tuttavia il tool messo a disposizione da ACN potrebbe fornire un responso negativo e classificare la predetta impresa come “fuori ambito”.  

Di seguito un esempio di interfaccia della piattaforma digitale di ACN: 

Il Punto di Contatto (POC): ruolo cruciale e responsabilità nel tempo 

Per effettuare l’iscrizione in piattaforma, il primo passo è designare “il Punto di Contatto” (Point Of Contact, POC), come previsto dall’articolo 4 della Determinazione del Direttore Generale di ACN del 26 novembre 2024 (LINK). Il POC diverrà la figura centrale per l’interazione tra l’ACN e l’impresa. Questo ruolo può essere ricoperto dal rappresentante legale, da un procuratore generale o da un dipendente con delega formale. A tale figura verrà demandata la gestione delle comunicazioni con l’Autorità. Peraltro, oltre alla registrazione iniziale, il POC sarà chiamato a gestire eventuali aggiornamenti dei dati e interazioni tecniche e di servizio con l’ACN. Le responsabilità del POC non si limitano alla registrazione iniziale ma si estendono nel tempo, includendo la gestione di interazioni future con l’ACN. Tale soggetto dovrà riferire direttamente ai vertici aziendali e agli organi amministrativi. Per facilitare la designazione del POC, è disponibile un modello di delega ufficiale all’interno del sito ACN (LINK). 

Gruppi di imprese e imprese collegate 

La piattaforma, tra le varie informazioni, richiede un’analisi dettagliata del contesto aziendale per consentire una mappatura precisa delle relazioni operative e dei rischi. Se l’organizzazione fa parte di un gruppo di imprese, il POC dovrà indicare se essa è la capogruppo o, in caso contrario, fornire i dati identificativi della capogruppo (ragione sociale e codice fiscale). Questo dettaglio sarà fondamentale per comprendere la struttura organizzativa e le responsabilità. Analogamente, nel caso di imprese collegate, qualora esistano relazioni operative che soddisfano i criteri dell’articolo 3, comma 10, del decreto NIS 2 (ad esempio l’influenza dominante di un’impresa sulle decisioni relative alla sicurezza informatica), il POC dovrà indicare almeno un’impresa collegata e fornire i relativi dettagli, inclusi ragione sociale, codice fiscale e natura della relazione.  

Approfondimento sull’ambito di applicazione – Clausola di salvaguardia 

Le imprese nella fase di autovalutazione circa l’iscrizione in piattaforma, potranno decidere di avvalersi della c.d. “clausola di salvaguardia”, che consentirà alle organizzazioni di richiedere l’esclusione o la modifica di alcune obbligazioni derivanti dalla normativa, qualora sussistano condizioni specifiche. In particolare, la clausola permette di gestire eventuali discrepanze tra i criteri di applicazione della norma e le caratteristiche reali dell’organizzazione.  

A titolo esemplificativo, se l’impresa A, operante nel settore della Fabbricazione (sezione C, divisione 27 del NACE), ha 20 dipendenti (inferiori a 50) e un fatturato di 5 M€ (inferiore a 10): se fosse un’impresa autonoma sarebbe considerata piccola e non rientrerebbe nell’ambito di applicazione del decreto NIS 2. L’impresa A è collegata all’impresa B (anche non operante in settori NIS 2) che ha 60 dipendenti e un fatturato di 4 M€. In linea generale, ai sensi dell’articolo 6, paragrafo 2, della raccomandazione 2003/361/CE, si sommano i parametri, e quindi l’impresa A è considerata una media impresa operante nel settore della Fabbricazione che rientra nell’ambito di applicazione del decreto NIS 2. 

Tuttavia, l’impresa A può richiedere all’Autorità nazionale competente l’applicazione della clausola di salvaguardia. Qualora, d’intesa con l’Autorità di settore, si ritenessero soddisfatti i criteri del DPCM in materia, verrebbe disapplicato l’articolo 6, paragrafo 2, della raccomandazione 2003/361/CE. L’impresa A verrebbe quindi considerata come autonoma, riconducendola alla categoria delle piccole imprese, e non rientrerebbe più nell’ambito di applicazione. 

Caratterizzazione dell’organizzazione 

Nella sezione dedicata alla caratterizzazione, il POC dovrà inserire i seguenti dati: 

  • Codici ATECO: identificativi delle attività economiche dell’organizzazione. 
  • Normative europee applicabili: selezionabili da una lista di riferimento. 
  • Dimensionamento: calcolato secondo la Raccomandazione 2003/361/CE, che stabilisce che un’impresa è considerata media o grande se ha più di 50 dipendenti e un fatturato o bilancio annuo superiore a 10 milioni di euro. 

Per ulteriori informazioni, è possibile consultare il manuale utente disponibile sulla piattaforma e visionare il video tutorial ufficiale al seguente link: Video ACN sulla piattaforma NIS 2. 

E dopo la registrazione? Roadmap degli obblighi NIS 2 

Entro il 28 febbraio 2025, tutte le organizzazioni che ritengono di rientrare nell’ambito di applicazione del D.lgs. 138/2024 dovranno registrarsi sulla piattaforma digitale predisposta dall’ACN. Questo obbligo non è limitato al primo anno: anche negli anni successivi, le aziende e gli enti dovranno aggiornare la propria registrazione, effettuando una valutazione periodica per determinare se siano soggette agli obblighi della NIS 2. 

Su queste premesse, l’ACN procederà alla redazione dell’elenco ufficiale dei soggetti essenziali e importanti sulla base delle registrazioni ricevute, e tra aprile e maggio 2025 comunicherà formalmente alle organizzazioni registrate l’esito della valutazione, confermando o escludendo il loro inserimento nell’elenco. DI seguito riportiamo le altre scadenze previste dal decreto legislativo: 

  • gennaio 2026: entro nove mesi dalla comunicazione dell’ACN, i soggetti a cui si applica la NIS2 devono adeguarsi all’articolo 25 relativo alla notifica degli incidenti; questo richiede come minimo di stabilire il processo di gestione degli incidenti significativi; 
  • entro il primo gennaio 2026: i soggetti a cui si applica la NIS2 devono adeguarsi all’art. 30 e quindi aggiornare ogni anno le informazioni richieste dalla piattaforma ACN con l’elenco di attività e servizi e la descrizione delle loro caratteristiche e del processo di gestione degli incidenti; 
  • ottobre 2026: entro diciotto mesi dalla comunicazione dell’ACN, le imprese dovranno aver adempiuto agli obblighi di base di sicurezza informatica; adeguarsi agli articoli 23 (sugli obblighi degli organi di amministrazione e direttivi); 24 (gestione dei rischi, verifica della sicurezza delle supply chain e implementazione delle misure di sicurezza). 

Attenzione alle sanzioni: rispettare la NIS 2 è essenziale 

Gli adempimenti NIS 2 sono assistiti da un rigido regime sanzionatorio, il quale sottolinea la necessità per le imprese di adottare un approccio integrato e preventivo alla conformità normativa. Le sanzioni amministrative previste dal Decreto per l’inosservanza degli obblighi più rilevanti – come quelli relativi alla gestione del rischio per la sicurezza informatica, alla notifica degli incidenti e agli obblighi posti in capo agli organi di amministrazione e direttivi – possono raggiungere: 

  • 10 milioni di euro, o il 2% del fatturato annuo totale (se superiore), per i soggetti essenziali; 
  • 7 milioni di euro, o l’1,4% del fatturato annuo totale (se superiore), per i soggetti importanti. 

Infine, in casi particolarmente gravi, l’ACN può disporre l’applicazione di sanzioni accessorie, come la sospensione temporanea dall’esercizio di funzioni dirigenziali all’interno dell’organizzazione. Tale misura può riguardare soggetti apicali, tra cui amministratori delegati o membri degli organi di amministrazione e direzione. La sospensione rimane in vigore fino a quando l’interessato non adotta le misure necessarie per sanare le carenze riscontrate o per conformarsi alle diffide dell’Autorità. 

Vuoi saperne di più? Partecipa al webinar gratuito che si terrà in data 13 dicembre 2024

Tutto quello che le aziende devono sapere (e fare) entro febbraio

Con l’attivazione ufficiale della piattaforma NIS 2 da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN), inizia una nuova fase di innalzamento dei livelli di sicurezza dei servizi digitali in tutta l’area UE. L’obiettivo del Decreto Legislativo 4 settembre 2024, n. 138, che recepisce la Direttiva (UE) 2022/2555 (nota come NIS 2), è infatti adottare una strategia comune in ambito cyber per tutti gli Stati membri.  

La piattaforma messa a disposizione dall’ACN è operativa dal 1° dicembre 2024, e l’iscrizione costituisce il primo obbligo per le imprese che rientrano nel perimetro della normativa NIS 2 

Anche questo primo adempimento è assistito da una sanzione amministrativa significativa in caso di mancata registrazione entro il termine stabilito del 28 febbraio 2025. Le multe possono infatti raggiungere lo 0,1% del fatturato annuo mondiale. 

Per una trattazione completa dell’ambito di applicazione della normativa e dei relativi adempimenti, si rimanda ai nostri precedenti articoli:  

La registrazione come fulcro del sistema ACN 

Attraverso la piattaforma NIS 2 le imprese potranno accedere al “Portale Servizi” NIS 2, dove avranno l’opportunità di effettuare una valutazione preliminare della propria impresa. Sulla piattaforma è possibile inserire i dati aziendali e ricevere una prima valutazione in merito alla qualificazione della propria impresa rispetto alla normativa NIS 2 (la piattaforma indicherà se la nostra società rientra fra i soggetti essenziali, importanti o, diversamente, è fuori ambito). Tuttavia, tale responso da parte del tool messo a disposizione da ACN è solo una prima indicazione di carattere generale, non vincolante. Resta in capo all’azienda ponderare la necessità di procedere all’iscrizione nonostante le risultanze dell’autovalutazione. A titolo esemplificativo, un’impresa collegata ad un soggetto essenziale o importante, nonostante possa non integrare i requisiti dimensionali e non operi nei settori merceologici individuati dalla normativa, potrebbe comunque avere l’obbligo di iscrizione in piattaforma qualora effettui operazioni di sicurezza informatica per conto del soggetto essenziale o importante (c.d. società spin off); tuttavia il tool messo a disposizione da ACN potrebbe fornire un responso negativo e classificare la predetta impresa come “fuori ambito”.  

Di seguito un esempio di interfaccia della piattaforma digitale di ACN: 

Il Punto di Contatto (POC): ruolo cruciale e responsabilità nel tempo 

Per effettuare l’iscrizione in piattaforma, il primo passo è designare “il Punto di Contatto” (Point Of Contact, POC), come previsto dall’articolo 4 della Determinazione del Direttore Generale di ACN del 26 novembre 2024 (LINK). Il POC diverrà la figura centrale per l’interazione tra l’ACN e l’impresa. Questo ruolo può essere ricoperto dal rappresentante legale, da un procuratore generale o da un dipendente con delega formale. A tale figura verrà demandata la gestione delle comunicazioni con l’Autorità. Peraltro, oltre alla registrazione iniziale, il POC sarà chiamato a gestire eventuali aggiornamenti dei dati e interazioni tecniche e di servizio con l’ACN. Le responsabilità del POC non si limitano alla registrazione iniziale ma si estendono nel tempo, includendo la gestione di interazioni future con l’ACN. Tale soggetto dovrà riferire direttamente ai vertici aziendali e agli organi amministrativi. Per facilitare la designazione del POC, è disponibile un modello di delega ufficiale all’interno del sito ACN (LINK). 

Gruppi di imprese e imprese collegate 

La piattaforma, tra le varie informazioni, richiede un’analisi dettagliata del contesto aziendale per consentire una mappatura precisa delle relazioni operative e dei rischi. Se l’organizzazione fa parte di un gruppo di imprese, il POC dovrà indicare se essa è la capogruppo o, in caso contrario, fornire i dati identificativi della capogruppo (ragione sociale e codice fiscale). Questo dettaglio sarà fondamentale per comprendere la struttura organizzativa e le responsabilità. Analogamente, nel caso di imprese collegate, qualora esistano relazioni operative che soddisfano i criteri dell’articolo 3, comma 10, del decreto NIS 2 (ad esempio l’influenza dominante di un’impresa sulle decisioni relative alla sicurezza informatica), il POC dovrà indicare almeno un’impresa collegata e fornire i relativi dettagli, inclusi ragione sociale, codice fiscale e natura della relazione.  

Approfondimento sull’ambito di applicazione – Clausola di salvaguardia 

Le imprese nella fase di autovalutazione circa l’iscrizione in piattaforma, potranno decidere di avvalersi della c.d. “clausola di salvaguardia”, che consentirà alle organizzazioni di richiedere l’esclusione o la modifica di alcune obbligazioni derivanti dalla normativa, qualora sussistano condizioni specifiche. In particolare, la clausola permette di gestire eventuali discrepanze tra i criteri di applicazione della norma e le caratteristiche reali dell’organizzazione.  

A titolo esemplificativo, se l’impresa A, operante nel settore della Fabbricazione (sezione C, divisione 27 del NACE), ha 20 dipendenti (inferiori a 50) e un fatturato di 5 M€ (inferiore a 10): se fosse un’impresa autonoma sarebbe considerata piccola e non rientrerebbe nell’ambito di applicazione del decreto NIS 2. L’impresa A è collegata all’impresa B (anche non operante in settori NIS 2) che ha 60 dipendenti e un fatturato di 4 M€. In linea generale, ai sensi dell’articolo 6, paragrafo 2, della raccomandazione 2003/361/CE, si sommano i parametri, e quindi l’impresa A è considerata una media impresa operante nel settore della Fabbricazione che rientra nell’ambito di applicazione del decreto NIS 2. 

Tuttavia, l’impresa A può richiedere all’Autorità nazionale competente l’applicazione della clausola di salvaguardia. Qualora, d’intesa con l’Autorità di settore, si ritenessero soddisfatti i criteri del DPCM in materia, verrebbe disapplicato l’articolo 6, paragrafo 2, della raccomandazione 2003/361/CE. L’impresa A verrebbe quindi considerata come autonoma, riconducendola alla categoria delle piccole imprese, e non rientrerebbe più nell’ambito di applicazione. 

Caratterizzazione dell’organizzazione 

Nella sezione dedicata alla caratterizzazione, il POC dovrà inserire i seguenti dati: 

  • Codici ATECO: identificativi delle attività economiche dell’organizzazione. 
  • Normative europee applicabili: selezionabili da una lista di riferimento. 
  • Dimensionamento: calcolato secondo la Raccomandazione 2003/361/CE, che stabilisce che un’impresa è considerata media o grande se ha più di 50 dipendenti e un fatturato o bilancio annuo superiore a 10 milioni di euro. 

Per ulteriori informazioni, è possibile consultare il manuale utente disponibile sulla piattaforma e visionare il video tutorial ufficiale al seguente link: Video ACN sulla piattaforma NIS 2. 

E dopo la registrazione? Roadmap degli obblighi NIS 2 

Entro il 28 febbraio 2025, tutte le organizzazioni che ritengono di rientrare nell’ambito di applicazione del D.lgs. 138/2024 dovranno registrarsi sulla piattaforma digitale predisposta dall’ACN. Questo obbligo non è limitato al primo anno: anche negli anni successivi, le aziende e gli enti dovranno aggiornare la propria registrazione, effettuando una valutazione periodica per determinare se siano soggette agli obblighi della NIS 2. 

Su queste premesse, l’ACN procederà alla redazione dell’elenco ufficiale dei soggetti essenziali e importanti sulla base delle registrazioni ricevute, e tra aprile e maggio 2025 comunicherà formalmente alle organizzazioni registrate l’esito della valutazione, confermando o escludendo il loro inserimento nell’elenco. DI seguito riportiamo le altre scadenze previste dal decreto legislativo: 

  • gennaio 2026: entro nove mesi dalla comunicazione dell’ACN, i soggetti a cui si applica la NIS2 devono adeguarsi all’articolo 25 relativo alla notifica degli incidenti; questo richiede come minimo di stabilire il processo di gestione degli incidenti significativi; 
  • entro il primo gennaio 2026: i soggetti a cui si applica la NIS2 devono adeguarsi all’art. 30 e quindi aggiornare ogni anno le informazioni richieste dalla piattaforma ACN con l’elenco di attività e servizi e la descrizione delle loro caratteristiche e del processo di gestione degli incidenti; 
  • ottobre 2026: entro diciotto mesi dalla comunicazione dell’ACN, le imprese dovranno aver adempiuto agli obblighi di base di sicurezza informatica; adeguarsi agli articoli 23 (sugli obblighi degli organi di amministrazione e direttivi); 24 (gestione dei rischi, verifica della sicurezza delle supply chain e implementazione delle misure di sicurezza). 

Attenzione alle sanzioni: rispettare la NIS 2 è essenziale 

Gli adempimenti NIS 2 sono assistiti da un rigido regime sanzionatorio, il quale sottolinea la necessità per le imprese di adottare un approccio integrato e preventivo alla conformità normativa. Le sanzioni amministrative previste dal Decreto per l’inosservanza degli obblighi più rilevanti – come quelli relativi alla gestione del rischio per la sicurezza informatica, alla notifica degli incidenti e agli obblighi posti in capo agli organi di amministrazione e direttivi – possono raggiungere: 

  • 10 milioni di euro, o il 2% del fatturato annuo totale (se superiore), per i soggetti essenziali; 
  • 7 milioni di euro, o l’1,4% del fatturato annuo totale (se superiore), per i soggetti importanti. 

Infine, in casi particolarmente gravi, l’ACN può disporre l’applicazione di sanzioni accessorie, come la sospensione temporanea dall’esercizio di funzioni dirigenziali all’interno dell’organizzazione. Tale misura può riguardare soggetti apicali, tra cui amministratori delegati o membri degli organi di amministrazione e direzione. La sospensione rimane in vigore fino a quando l’interessato non adotta le misure necessarie per sanare le carenze riscontrate o per conformarsi alle diffide dell’Autorità. 

Vuoi saperne di più? Partecipa al webinar gratuito che si terrà in data 13 dicembre 2024