Dal 1° dicembre 2024, le organizzazioni che rientrano nelle tabelle dei Soggetti Essenziali e Importanti nella Direttiva NIS2 potranno registrarsi sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN), accessibile tramite il portale https://portale.acn.gov.it/login. Questa scadenza segna un passo cruciale nell’implementazione della normativa europea sulla sicurezza delle reti e dei sistemi informativi, introdotta per rafforzare la resilienza cibernetica dei settori essenziali e critici. Inoltre la mancata registrazione è una violazione assistita da una sanzione amministrativa pecuniaria con un importo fino al 0.1% del fatturato annuo del soggetto su scala mondiale.
Inoltre:
• Provvedimento di Sospensione dell’attività o del servizio che rientra negli obbighi
• Provvedimento di Sospensione dell’Amministratore Delegato o Rappresentante Legale
.
Obiettivi della NIS2
La Direttiva NIS2 sostituisce la precedente NIS1, ampliandone il campo di applicazione e introducendo regole più stringenti per la gestione dei rischi cibernetici. Le misure previste mirano a proteggere le infrastrutture critiche e garantire una risposta coordinata agli incidenti di sicurezza, rafforzando la collaborazione tra i soggetti interessati e le autorità competenti.
Chi Deve Registrarsi
Sono coinvolti soggetti che operano in settori ad alta criticità come energia, trasporti, sanità e finanza, nonché in settori critici come alimentare, chimica e servizi digitali. L’obbligo riguarda principalmente:
- Grandi imprese (oltre 250 dipendenti o fatturato annuo superiore a 50 milioni di euro);
- Medie imprese in settori specifici;
- Determinate pubbliche amministrazioni e fornitori di servizi di rilevanza strategica.
Procedura di Registrazione
Le organizzazioni devono accedere al portale dell’ACN https://portale.acn.gov.it/login utilizzando credenziali SPID e compilare un modulo di registrazione, fornendo dettagli su:
- Struttura aziendale e relazioni con eventuali gruppi;
- Settore di appartenenza e attività svolte (codici ATECO);
- Sistemi di sicurezza adottati e livelli di esposizione ai rischi.
La registrazione, obbligatoria entro il 28 febbraio 2025, rappresenta il primo passo per l’inclusione nell’elenco ufficiale dei soggetti essenziali e importanti, stilato dall’ACN.
Obblighi Post-Registrazione
Dopo la registrazione, le organizzazioni devono adottare misure tecniche e organizzative per:
- Gestire i rischi legati alla sicurezza cibernetica;
- Notificare tempestivamente incidenti significativi al CSIRT Italia;
- Garantire continuità operativa e aggiornamenti periodici della propria sicurezza.
Sanzioni
Il mancato rispetto degli obblighi comporta sanzioni pecuniarie fino a 10 milioni di euro o il 2% del fatturato annuo, nonché possibili misure accessorie come la sospensione temporanea dei dirigenti.
