Dal 18 ottobre 2024 è in vigore decreto legislativo n. 138 del 2024 (il Decreto NIS), che ha recepito in Italia la direttiva (UE) 2022/2555 (c.d. Direttiva NIS 2) in materia di cybersicurezza all’interno dell’Unione europea.
Il Decreto NIS descrive sia i destinatari, sia gli obblighi di cybersicurezza, quali quelli di formazione e di indirizzo degli organi di amministrazione e direttivi, di risk management, anche nella catena di approvvigionamento, e di segnalazione degli incidenti di sicurezza che abbiano un impatto “significativo” sulla fornitura dei servizi.
Inoltre, al fine di individuare i suoi destinatari, il Decreto NIS richiede ad alcune categorie di imprese la registrazione sulla piattaforma digitale tramite il Portale dell’Agenzia per la Cybersicurezza Nazionale (il Portale ACN), secondo le indicazioni fornite dalla stessa Agenzia (Determinazione del 26 novembre 2024, n. 38565).
1. LE IMPRESE CHE SI DEVONO REGISTRARE
Al fine di individuare l’obbligo di registrazione, occorre preliminarmente verificare, insieme ai requisiti dimensionali – più di 50 persone occupate e fatturato annuo o totale di bilancio annuo superiore a 10 milioni di fatturato – e agli altri requisiti previsti dal Decreto NIS, se l’organizzazione rientra:
- nei settori critici (Allegato II, Decreto NIS): (i) servizi postali e di corriere; (ii) gestione rifiuti; (iii) fabbricazione, produzione e distribuzione di sostanze chimiche; (iv) produzione, trasformazione e distribuzione di alimenti, (v) fabbricazione di dispositivi medici, di computer e prodotti di elettronica ottica, di apparecchiature elettriche, di macchinari e apparecchiature non classificate altrove, fabbricazione di autoveicoli (incluse parti di ricambio), rimorchi e semirimorchi o di altri mezzi di trasporto, (vi) fornitori di servizi digitali; e (vii) ricerca; ovvero
- nei settori altamente critici (Allegato I, Decreto NIS): (i) energia; (ii) trasporti; (iii) settore bancario; (iv) infrastruttura dei mercati finanziari; (v) settore sanitario; (vi) acqua potabile; (vii) acque reflue; (viii) infrastrutture digitali; (ix) servizi TIC (b2b); (x) spazio.
2. TEMPISTICHE DI REGISTRAZIONE
Entro il 28 febbraio 2025 i soggetti privati a cui si applica il Decreto NIS (i Soggetti NIS) devono registrarsi sulla piattaforma digitale accessibile tramite il Portale ACN.
Per un novero ristretto di società operanti nel settore tecnologico (es. fornitori di servizi di sistema dei nomi di dominio, di cloud computing, di data center, di motori di ricerca, di piattaforme di servizi di social network) l’obbligo di registrazione è anticipato al 17 gennaio 2025, con obbligo di trasmettere la documentazione necessaria per designare il proprio rappresentante NIS in Italia entro il 1° gennaio 2025.
3. MODALITÀ’ DI REGISTRAZIONE
I soggetti NIS devono registrarsi sulla piattaforma digitale messa a disposizione dall’ACN, tramite una persona fisica designata (il Punto di Contatto), che può essere il rappresentante legale, un procuratore generale o un dipendente delegato dal rappresentante legale, ovvero nei gruppi di società, un dipendente di un’altra impresa del gruppo soggetta al Decreto NIS.
Il Punto di Contatto è la persona alla quale viene attribuito il compito di curare l’attuazione delle disposizioni del Decreto NISe che riferisce direttamente al vertice gerarchico degli organi di amministrazione e direttivi, ferme restando le responsabilità di tali organi e delle persone fisiche che li compongono, e la loro sanzionabilità, per eventuali violazioni dei Soggetti NIS. Il Punto di Contatto, per lo svolgimento delle proprie funzioni, può avvalersi di personale esterno.
Entro il 28 febbraio 2025, i Punti di Contatto devono:
- autenticarsi sul Portale ACN tramite le proprie credenziali personali del Sistema Pubblico di Identità Digitale (SPID);
- associare la loro utenza con il soggetto che li ha designati, sottoposta a convalida dal Soggetto NIS;
- compilare la dichiarazione per il Soggetto NIS designante ai fini della sua registrazione, indicando, tra il resto, le normative settoriali dell’Unione Europe citate negli Allegati I e II del Decreto NIS per definire la tipologia di soggetto indicato al quale il soggetto è riconducibile.
L’ACN effettua delle verifiche di coerenza delle informazioni fornite a campione. Sulla base delle informazioni trasmesse l’ACN comunica l’inserimento, o meno, dei soggetti registrati nell’elenco dei Soggetti NIS entro metà aprile 2025, distinti tra soggetti “essenziali” e “importanti”. Da questa distinzione dipende l’applicabilità più o meno ampia degli obblighi del Decreto NIS.
4. SANZIONI PER MANCATA REGISTRAZIONE
La mancata registrazione è una violazione assistita da una sanzione amministrativa pecuniaria di importo fino ad un massimo dello 0,1% per i soggetti “essenziali” (e fino ad un massimo dello 0,07% per i soggetti “importanti”) del fatturato annuo su scala mondiale dell’esercizio precedente.
La violazione degli obblighi del Decreto NIS può comportare la responsabilità personale degli amministratori e degli organi direttivi e la possibilità di applicare loro la sanzione amministrativa accessoria della temporanea incapacità a svolgere funzioni dirigenziali.
***
I Team Compliance/Legal Tech dello Studio sono a disposizione per il supporto nella verifica dell’obbligo di registrazione e per individuare i successivi adempimenti. Seguiranno ulteriori alert sul contenuto dei principali obblighi e scadenze del Decreto NIS.