Direttiva NIS 2 e soggetti pubblici: obbligo di registrazione entro il 28 febbraio 2025

Dal 18 ottobre 2024 è in vigore decreto legislativo n. 138 del 2024 (il Decreto NIS), che ha recepito in Italia la direttiva (UE) 2022/2555 (c.d. Direttiva NIS 2) in materia di cybersicurezza all’interno dell’Unione europea.

Il Decreto NIS descrive sia i destinatari, sia gli obblighi di cybersicurezza, quali quelli di formazione e di indirizzo degli organi di amministrazione e direttivi, di risk management, anche nella catena di approvvigionamento, e di segnalazione degli incidenti di sicurezza che abbiano un impatto “significativo” sulla fornitura dei servizi. 

Inoltre, al fine di individuare i suoi destinatari, il Decreto NIS richiede ad alcune categorie di soggetti pubblici la registrazione sulla piattaforma digitale tramite il Portale dell’Agenzia per la Cybersicurezza Nazionale (il Portale ACN), secondo le indicazioni fornite dalla stessa Agenzia (Determinazione del 26 novembre 2024, n. 38565). 

1. I SOGGETTI PUBBLICI CHE DEVONO REGISTRARSI

Al fine di verificare l’obbligo di registrazione, occorre preliminarmente verificare, insieme ai requisiti dimensionali e agli altri requisiti previsti dal Decreto NIS, se l’organizzazione si qualifica come:

  • amministrazione centrale, regionale locale o di altro tipo (Allegato III, Decreto NIS): (i) amministrazione centrali; (ii) amministrazioni regionali; (iii) amministrazioni locali; (iv) altri soggetti pubblici; inoltre, possono essere individuate ulteriori categorie di pubbliche amministrazioni a cui si applica il Decreto NIS al fine di adeguare l’elenco;
  • ulteriore tipologia di soggetto (Allegato IV, Decreto NIS): (i) soggetti che forniscono servizi di trasporto pubblico locale; (ii) istituti di istruzione che svolgono attività di ricerca; (iii) soggetti che svolgono attività di interesse culturale; (iv) società in house, società partecipate e società a controllo pubblico, come definite nel D.lgs. 175/2016.


2. TEMPISTICHE DI REGISTRAZIONE

Entro il 28 febbraio 2025 i soggetti a cui si applica il Decreto NIS 2 (i Soggetti NIS) devono registrarsi sulla piattaforma digitale accessibile tramite il Portale ACN. 

3. MODALITÀ’ DI REGISTRAZIONE

I soggetti NIS devono registrarsi sulla piattaforma digitale messa a disposizione dall’ACN, tramite una persona fisica designata (il Punto di Contatto), che può essere il rappresentante legale, un procuratore generale o un dipendente delegato dal rappresentante legale, ovvero nei gruppi di società, un dipendente di un’altra impresa del gruppo soggetta al Decreto NIS. Nelle Pubbliche Amministrazioni il Punto di Contatto può essere un dipendente di un’altra pubblica amministrazione soggetta al Decreto NIS, delegato dal rappresentante legale del soggetto stesso. Il Punto di Contatto, per lo svolgimento delle proprie funzioni, può avvalersi di personale esterno. 

Il Punto di Contatto è la persona alla quale viene attribuito il compito di curare l’attuazione delle disposizioni del Decreto NISe che riferisce direttamente al vertice gerarchico degli organi di amministrazione e direttivi, ferme restando le responsabilità di tali organi e delle persone fisiche che li compongono, e la loro sanzionabilità, per eventuali violazioni dei Soggetti NIS. Il Punto di Contatto, per lo svolgimento delle proprie funzioni, può avvalersi di personale esterno.

Entro il 28 febbraio 2025, i Punti di Contatto devono:

  • autenticarsi sul Portale ACN tramite le proprie credenziali personali del Sistema Pubblico di Identità Digitale (SPID);
  • associare la loro utenza con il soggetto che li ha designati, sottoposta a convalida dal Soggetto NIS;
  • compilare la dichiarazione per il Soggetto NIS designante ai fini della sua registrazione, indicando, tra il resto, la tipologia di soggetto di cui agli allegati III e IV del Decreto NIS a cui il soggetto è riconducibile.  


L’ACN effettua delle verifiche di coerenza delle informazioni fornite a campione. Sulla base delle informazioni trasmesse l’ACN comunica l’inserimento, o meno, dei soggetti registrati nell’elenco dei Soggetti NIS entro metà aprile 2025, distinti tra soggetti “essenziali” e “importanti”. Da questa distinzione dipende l’applicabilità più o meno ampia degli obblighi del Decreto NIS. 

4. SANZIONI PER MANCATA REGISTRAZIONE

La mancata registrazione è una violazione assistita da una sanzione amministrativa pecuniaria di importo da 10.000 a 50.000 euro, che è ridotta di un terzo per alcuni soggetti. 

Ai dipendenti pubblici che esercitano poteri di legale rappresentanza, decisionali o di controllo si applicano le norme in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati. La violazione degli obblighi di cui al Decreto NIS può costituire causa di responsabilità dirigenziale, disciplinare e amministrativo-contabile.

***

I Team Compliance e Amministrativo dello Studio sono a disposizione per il supporto nella verifica dell’obbligo di registrazione e per individuare i successivi adempimenti. Seguiranno ulteriori alert sul contenuto dei principali obblighi e scadenze del Decreto NIS.

Client Alert

Amministrativo, Compliance

Privacy e Cookie Policy

Lo Studio utilizza cookie o tecnologie simili per finalità esclusivamente tecniche.