info@oikos-scrl.it – Parma: 0521 291590 – Piacenza: 0523 484036

  • No products in the cart.

OIKOS SCRL

  /  NEWSLETTER   /  NIS2: REGISTRAZIONE DEI SOGGETTI INTERESSATI
NIS2 REGISTRAZIONE DEI SOGGETTI INTERESSATI

NIS2: REGISTRAZIONE DEI SOGGETTI INTERESSATI

0
NEWSLETTER

Nis2 e registrazione dei soggetti interessati: è giunta ormai al via la fase di registrazione. Di seguito tutte le informazioni necessarie, gli obblighi e le scadenze.

INTRODUZIONE

La Direttiva NIS2 – Direttiva (UE) 2022/2555 – è entrata in vigore con l’obiettivo di rafforzare la sicurezza informatica in Europa introducendo, per alcuni settori e soggetti, nuove e più stringenti misure per proteggere le infrastrutture critiche e i servizi digitali essenziali.

Con il decreto legislativo 4 settembre 2024, n. 138 (Decreto NIS) l’Italia ha recepito nell’ordinamento nazionale la direttiva (UE) 2022/2555 abrogando la direttiva precedente. Il decreto ha confermato il ruolo di ACN come Autorità nazionale competente NIS.

NIS2: SOGGETTI INTERESSATI

Per il dettaglio dei settori e dei soggetti interessati all’applicazione della nuova normativa si deve fare riferimento agli allegati I, II, III e IV del Decreto legislativo 4 settembre 2024, n. 138: ACN ha inoltre messo a disposizione una tabella di riepilogo degli ambiti di applicazione.

Nelle FAQ rese disponibili sono inoltre riportati dettagli circa:

  • i settori e i soggetti che rientrano nell’ambito di applicazione;
  • la differenza tra soggetti essenziali e importanti;
  • i criteri di definizione di piccola media e grande impresa.

NIS2 E REGISTRAZIONE DEI SOGGETTI INTERESSATI

Dal 1° dicembre 2024 e non oltre il 28 febbraio 2025, i soggetti pubblici e privati a cui si applica la normativa devono registrarsi sul portale reso disponibile da ACN. Il termine di scadenza si anticipa al 17 gennaio 2025 per i fornitori di domini, cloud computing e data center.

La registrazione è prevista dall’articolo 7 del decreto NIS e le modalità, termini e procedimenti sono definiti dalla Determinazione 38565/2024.

La registrazione è composta da tre fasi, il censimento del punto di contatto, la sua associazione al soggetto e la compilazione della dichiarazione NIS.

 Censimento del punto di contatto e associazione al soggetto

Prima di avviare la registrazione, il soggetto deve designare il punto di contatto. Il Punto di contatto è il rappresentante legale o un suo procuratore generale oppure un dipendente delegato. Il punto di contatto ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso.

Dal primo dicembre 2024, il Punto di contatto potrà autenticarsi sul portale dei Servizi dell’Agenzia tramite SPID.

Nel caso in cui il punto di contatto sia un dipendente questi dovrà caricare il titolo giuridico che lo delega a operare per conto del soggetto nel contesto NIS. Come titolo giuridico è sufficiente una delega del rappresentante legale che può essere creata ad-hoc (modello suggerito) o anche una delega pre-esistente più ampia.

Il processo di censimento del punto di contatto e associazione al soggetto NIS si conclude con l’invio di un link di richiesta di convalida al domicilio digitale del soggetto stesso.

Compilazione della dichiarazione NIS

La dichiarazione che il punto di contatto dovrà compilare è suddivisa in 4 sezioni: contesto, caratterizzazione, tipologie di soggetto e autovalutazione. Sul sito di ACN è possibile consultare le domande frequenti dedicate alla fase di registrazione dove è riportato l’elenco delle informazioni necessarie.

Dopo aver compilato la dichiarazione, il Punto di contatto dovrà prendere visione del riepilogo delle informazioni fornite, accettare le clausole di responsabilità e trasmettere la dichiarazione all’Agenzia. Una copia della dichiarazione è inviata al domicilio digitale del soggetto.

Soggetti individuati da ACN

I soggetti individuati come interessati da ACN (e che ricevono quindi una notifica di individuazione sempre da parte di ACN) devono procedere al censimento e alla registrazione prendendo visione e confermando gli elementi presenti nella notifica.

Verifiche di coerenza

Le verifiche di coerenza delle informazioni contenute nelle dichiarazioni sono svolte a campione.

ELABORAZIONE DELL’ELENCO DEI SOGGETTI NIS E COMUNICAZIONI

Al termine della fase di registrazione ACN esaminerà le dichiarazioni per costituire l’elenco dei soggetti NIS entro fine marzo 2025; nel mese di aprile 2025 ACN notificherà al domicilio digitale di tutti i soggetti registrati se rientrano, o meno, nell’elenco.

Ai soggetti inseriti nell’elenco verrà comunicato anche un codice identificativo univoco per facilitare le comunicazioni con ACN.

MISURE DI GESTIONE PER I RISCHI INFORMATICI

Per i soggetti che rientrano nell’elenco è introdotto l’obbligo di adottare misure tecniche e organizzative proporzionate per la gestione dei rischi informatici, attraverso un approccio multirischio che tiene conto non solo delle minacce digitali, ma anche di rischi fisici come furti, incendi e inondazioni.

Le misure includono:

  • politiche per l’analisi dei rischi e la sicurezza dei sistemi informativi e di rete;
  • strategie per la gestione efficace degli incidenti,
  • piani di continuità operativa e di sicurezza per la catena di approvvigionamento
  • sicurezza delle risorse umane, strategie di controllo dell’accesso, uso di crittografia e cifratura;
  • formazione in materia di sicurezza informatica;
  • valutazione continua dell’efficacia delle misure di gestione dei rischi, implementazione di misure aggiuntive o correttive.

Per agevolare l’adeguamento sostenibile agli obblighi normativi, il decreto introduce il principio della graduale implementazione degli stessi.

In particolare è previsto che i primi obblighi di base, per le notifiche di incidente e le misure di sicurezza, vengano definiti a valle delle consultazioni nell’ambito dei tavoli settoriali, con determine del Direttore Generale di ACN da adottarsi entro il primo quadrimestre del 2025.

Fase di prima applicazione

In fase di prima applicazione gli obblighi di adeguamento decorrono dalla data di consolidamento dell’elenco dei soggetti NIS, cioè da aprile 2025, e sono:

  • 9 mesi per le notifiche di incidente come previsto dall’art. 25 – Obblighi in materia di notifica di incidente del decreto NIS.
  • 18 mesi per le misure di sicurezza come previsto dagli articoli seguenti del decreto NIS
  • 23 – Organi di amministrazione e direttivi;
  • 24 – Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica;
  • 29 – Banca dei dati di registrazione dei nomi di dominio.

Entro settembre 2026 è prevista quindi la completa implementazione delle misure di sicurezza di base.

Ulteriori fasi attuative

La seconda e la terza fase attuativa prevedono:

A partire da gennaio 2026: obbligo di notifica di base.

Entro aprile 2026: elaborazione e adozione del modello di categorizzazione delle attività e dei servizi.

Entro aprile 2026: elaborazione e adozione degli obblighi a lungo termine

Da metà aprile 2026: categorizzazione delle attività e dei servizi ed implementazione degli obblighi a lungo termine.

In altre parole la categorizzazione delle attività e dei servizi dei soggetti NIS (come indicato sopra) consentirà ai soggetti stessi di distinguere, all’interno della loro organizzazione e con il supporto di ACN, i diversi livelli di esposizione al rischio dei propri sistemi informativi e di rete.

Nei casi di rischio elevato saranno introdotti, a lungo termine, maggiori obblighi finalizzati ad innalzare progressivamente i livelli di sicurezza informatica.

RUOLO DELLA GOVERNANCE AZIENDALE

La Direttiva NIS2 segna un cambiamento significativo rispetto al passato dal momento che la gestione della sicurezza informatica non è più esclusivamente una funzione dei sistemi informativi.

Infatti gli organi di amministrazione e gli organi direttivi svolgono un ruolo cruciale nella gestione nella sicurezza informatica (Art. 23 – Organi di amministrazione e direttivi) ed in particolare:

  • approvano le misure per la gestione dei rischi informatici;
  • supervisionano l’implementazione di queste misure;
  • partecipano a corsi di formazione specifici sul tema ed estendono questa possibilità anche ai loro collaboratori per acquisire competenze sufficienti ad individuare i rischi e a valutare l’impatto e l’efficacia delle misure di gestione degli stessi.

Inoltre è previsto che gli organi di amministrazione e gli organi direttivi possano essere ritenuti responsabili in caso di violazioni.

NIS2 REGISTRAZIONE DEI SOGGETTI INTERESSATI: a questo indirizzo tutte le FAQ.

Oikos è una società di consulenza e formazione che opera nei settori Sicurezza e Igiene sul Lavoro, Sistemi di gestione, Ambiente, Sicurezza Alimentare, Privacy. Ci trovate nei nostri uffici di Parma e Piacenza. Per essere sempre informati sulle ultime novità legislavite, sui nostri servizi e sui nostri corsi è possibile iscriversi alla newsletter.

Per ulteriori approfondimenti  potete chiamarci allo 0521 291590 oppure inviarci un messaggio:

Chi siamo

Oikos è una società di consulenza e formazione che opera nei settori Sicurezza e Igiene sul Lavoro, Sistemi di gestione, Ambiente, Sicurezza Alimentare, Privacy.

+39 0521291590 (Parma)
+39 0523484036 (Piacenza)
info@oikos-scrl.it
Scrivici su Whatsapp Parma : Strada Cavagnari 12/a 43126 (PR) Piacenza : Via Gregorio Fontana 14 29121 (PC)

Le Nostre Certificazioni

certiquality

Copyright 2024 © OIKOS SCRL – P. IVA 01665860340

Privacy Policy | Cookie Policy | Condizioni di vendita