La Direttiva NIS2 prevede adempimenti per le Aziende che rientrano nell’obbligo di registrazione alla Piattaforma ACN Agenza Cyber Sicurezza Nazionale

Con la pubblicazione in Gazzetta Ufficiale del DPCM n. 221/2024 si completa il quadro normativo previsto dal Decreto NIS Dlgs n. 138/2024 che recepisce in Italia la Direttiva europea NIS2 Network and Information Security 2. La Direttiva NIS2 mira a rafforzare la resilienza cibernetica nell'Unione Europea, con un'attenzione particolare alle attività economiche.

A partire dal 28 febbraio 2025, le imprese e le pubbliche amministrazioni italiane dovranno conformarsi ai requisiti della Direttiva NIS2. La direttiva è stata recepita nel diritto nazionale tramite il Decreto Legislativo n. 138/2024:

• La NIS2 estende l'ambito di applicazione della precedente Direttiva NIS.
• Introduce obblighi più stringenti per una vasta gamma di settori.

Lo scopo della direttiva è quello di aumentare la sicurezza informatica e la resilienza delle infrastrutture critiche e dei fornitori di servizi digitali.

Soggetti interessati

• La Direttiva NIS2 distingue tra "soggetti essenziali" Grandi aziende e PMI di interesse strategico e "soggetti importanti" PMI in settori critici
• Le PMI con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro, operanti nei settori critici, sono generalmente soggette alla normativa.
• Anche le imprese più piccole possono essere coinvolte se forniscono servizi critici a enti essenziali.
• I settori critici includono energia, trasporti, banche e finanza, infrastrutture digitali, pubblica amministrazione, sanità, acqua, servizi digitali, produzione e distribuzione di prodotti chimici e farmaceutici, e servizi postali e logistici.
• Inoltre sono inclusi anche i fornitori di servizi digitali.

Obblighi principali

• Registrazione sulla piattaforma ACN: Entro il 28 febbraio 2025, i soggetti interessati devono registrarsi sulla piattaforma digitale dell'Agenzia per la Cybersicurezza Nazionale (ACN).
• Adozione di misure di gestione del rischio: Implementare politiche e procedure per identificare e mitigare i rischi di cybersecurity e di Privacy Policy
• Analisi dei Rischi presenti in Azienda individuando aree di vulnerabilità
• Nomina di un Responsabile della cybersecurity: Designare una figura con competenze specifiche riferita alla propria Azienda
• Formazione del personale: Assicurare una formazione adeguata mi materia di Privacy GDPR e Sicurezza Informatica, phishing e minacce informatiche e sensibilizzare il personale al monitoraggio di eventuali rischi presenti in azienda promuovendo la cultura della sicurezza informatica
• Gestione dei Fornitori individuando coloro che rispettino Policy e Standard di sicurezza adeguati
• Notifica degli incidenti: Segnalare tempestivamente gli incidenti di sicurezza all'ACN.
• Monitorare e Rafforzare la Security Policy:
• Politiche di sicurezza delle reti e dei sistemi informativi
• Gestione degli incidenti assicurando la continuità operativa
• Sicurezza della Supply chain

Privacy GDPR e il ruolo del DPO

• Il Data Protection Officer DPO assume un ruolo strategico nella valutazione dell'applicabilità della NIS2, nel coordinamento delle funzioni aziendali, nell'Audit e monitoraggio, e nella gestione degli incidenti.

Registrazione sulla piattaforma ACN

www.acn.gov.it

I soggetti pubblici e privati a cui si applica il Decreto NIS, entro il 28 febbraio 2025, devono registrarsi sulla piattaforma digitale dell’ACN. Il mancato adempimento prevede una sanzione pecuniaria fino allo 0,1% del fatturato annuo.

La procedura è composta da tre fasi:

• Censimento del punto di contatto,
• Associazione al Soggetto,
• Compilazione della dichiarazione NIS

Occorre designare il Punto di contatto, che può essere anche un dipendente delegato dal legale rappresentante del soggetto tenuto alla registrazione che dovrà compilare una dichiarazione articolata in 4 sezioni:

• Contesto,
• Caratterizzazione,
• Tipologie di soggetto.
• Autovalutazione

Clausola di salvaguardia

• Il DPCM n. 221/2024 introduce una clausola di salvaguardia per alcune PMI appartenenti a gruppi societari complessi, consentendo loro di richiedere un regime normativo più proporzionato dimostrando indipendenza operativa e tecnologica.

Sanzioni

• La mancata registrazione comporta sanzioni amministrative pecuniarie fino allo 0,1% del fatturato annuo mondiale per i soggetti essenziali e fino allo 0,07% per i soggetti importanti.
• Le violazioni relative alle misure di sicurezza e alla notifica degli incidenti possono comportare multe fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per i soggetti essenziali, e fino a 7 milioni di euro o all'1,4% del fatturato per i soggetti importanti.

Per maggiori approfondimenti

• Consultare gli articoli 3 e 6 del Dlgs. n. 138/2024 e i suoi allegati I-IV per determinare se si rientra nell'ambito applicativo della norma.
• Consultare le FAQ pubblicate sul sito ACN www.acn.gov.it per approfondimenti
• Consultare ACN tramite email o telefono