cybersicurezza

NIS2, registrarsi al portale ACN: chi deve farlo e come

Home Sicurezza digitale
Indirizzo copiato

Dal primo dicembre 2024 è partito l’obbligo di iscrizione sul Portale ACN per i soggetti NIS. Entro febbraio 2025 le organizzazioni dovranno completare l’iter con credenziali SPID e dati dettagliati, pena pesanti sanzioni.

Pubblicato il 16 dic 2024
Paola Zanellati

Responsabile Protezione dei Dati – DPO Consulente Privacy

sicurezza digitale (1)

Da dicembre 2024, imprese e pubbliche amministrazioni entreranno in una nuova fase di controllo e protezione digitale. L’obiettivo è semplice ma cruciale: creare una rete nazionale resiliente contro i rischi informatici, censendo e monitorando le infrastrutture critiche. Non si tratta solo di un adempimento burocratico, ma di un passaggio fondamentale per difendere l’economia, i servizi pubblici e i cittadini dalle minacce sempre più sofisticate del cybercrime.

Regolamento ACN per infrastrutture digitali e cloud: cosa fare per diventare fornitori della PA

Le organizzazioni incluse nel perimetro di sicurezza nazionale dovranno compiere un percorso chiaro e strutturato: registrarsi su un portale dedicato, fornire informazioni dettagliate e nominare un proprio punto di contatto. Un processo che richiederà precisione, consapevolezza e una visione strategica della sicurezza informatica.

Vediamone i passaggi.

La determinazione del Direttore Generale dell’ACN

La Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), emanata il 26 novembre 2024, stabilisce le regole operative per l’utilizzo del Portale digitale ACN.

Questa piattaforma è il mezzo attraverso cui i soggetti inclusi nel perimetro di applicazione del decreto legislativo 4 settembre 2024, n. 138 (che recepisce la Direttiva (UE) 2022/2555, nota come Decreto NIS) devono adempiere agli obblighi di registrazione e agli ulteriori adempimenti previsti dalla normativa.

Registrazione sulla piattaforma NIS: un passaggio cruciale per la cybersecurity

In vigore dal primo dicembre 2024, la Determinazione funge da strumento pratico per dare attuazione alle disposizioni contenute negli articoli 7 e 40, comma 5, lettera b), del decreto legislativo n. 138/2024. La normativa impone a soggetti pubblici e privati identificati come soggetti NIS, e appartenenti alle categorie definite negli allegati I, II, III e IV del decreto, di completare la registrazione o aggiornare le informazioni già fornite tramite il Portale ACN entro la scadenza del 28 febbraio 2025.

Attraverso questa Determinazione, l’ACN ha introdotto un manuale operativo sui termini, le modalità e le procedure per l’uso della piattaforma.

La registrazione sulla piattaforma NIS rappresenta un passaggio cruciale per l’applicazione del D. Lgs. 138/2024 al fine di garantire un livello uniforme ed elevato di sicurezza cibernetica all’interno dell’Unione Europea.

L’obiettivo principale della piattaforma

Come indicato all’Articolo 7 del Decreto NIS, la piattaforma funge da mezzo operativo per la raccolta, verifica e gestione delle informazioni necessarie da parte dell’Autorità Nazionale, garantendo così il rispetto degli obblighi normativi da parte degli operatori coinvolti.

L’obiettivo principale della piattaforma è rafforzare il sistema nazionale di sicurezza cibernetica, agevolando un’interazione efficace tra i soggetti interessati e l’Agenzia per la Cybersicurezza Nazionale. Questo approccio mira a garantire trasparenza nei procedimenti amministrativi e a promuovere una maggiore responsabilità attraverso un controllo rigoroso delle informazioni comunicate.

Sanzioni

È importante sottolineare che omissioni, errori o imprecisioni nella registrazione sulla piattaforma possono comportare pesanti sanzioni, come stabilito dall’Articolo 38 del Decreto. Pertanto, è fondamentale che le organizzazioni, sia pubbliche sia private, avviino tempestivamente il processo di registrazione, rispettando le modalità e le scadenze previste per assicurare la piena conformità alla normativa.

Nominare di un punto di contatto

Un elemento centrale introdotto dalla Determinazione è l’obbligo per ogni soggetto NIS di nominare un punto di contatto, figura chiave incaricata di assicurare l’attuazione delle disposizioni previste dal Decreto NIS. Ai sensi dell’articolo 4 della Determinazione, il punto di contatto deve svolgere le seguenti funzioni:

  • gestire le relazioni con l’ACN e garantire l’applicazione corretta delle norme del Decreto NIS.
  • essere una persona fisica designata dal soggetto NIS, con possibilità che tale ruolo sia ricoperto dal rappresentante legale, da uno dei procuratori generali, o da un dipendente designato tramite delega dal rappresentante legale stesso.
  • nel caso di pubbliche amministrazioni, le funzioni possono essere attribuite a un dipendente di un’altra amministrazione inclusa nel perimetro del Decreto NIS, previa delega del rappresentante legale dell’ente interessato.

Nonostante il punto di contatto svolga un ruolo operativo nella gestione degli adempimenti, la responsabilità finale per il rispetto delle disposizioni resta in capo agli organi direttivi e amministrativi del soggetto NIS. Eventuali inadempimenti o violazioni delle norme possono comportare sanzioni ai sensi degli articoli 23 e 38 del decreto legislativo n. 138/2024, sottolineando la necessità di un approccio rigoroso e responsabile nell’individuazione e gestione di tale figura.

Scadenza dei termini per la registrazione

Da qualche giorno precisamente dal 1° dicembre 2024, i soggetti identificati come appartenenti al perimetro del Decreto NIS sono invitati ad avviare il processo di registrazione obbligatoria sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN) che deve essere completato entro il termine tassativo del 28 febbraio 2025. L’accesso alla piattaforma avviene tramite credenziali personali del Sistema Pubblico di Identità Digitale (SPID) o, in alternativa, con altre credenziali specificamente autorizzate dall’ACN.

Le tre fasi del processo di registrazione al portale

La procedura di registrazione si articola in tre passaggi principali, ciascuno con obiettivi specifici e requisiti dettagliati:

Censimento degli utenti

Questa fase rappresenta il primo step per l’accesso alla piattaforma. Il punto di contatto designato deve autenticarsi utilizzando le proprie credenziali personali (SPID o equivalente) e fornire una serie di dati identificativi. L’ACN utilizza queste informazioni per verificare l’identità dell’utente e garantirne l’idoneità a rappresentare il soggetto NIS.

Durante il censimento, gli utenti devono fornire informazioni anagrafiche specifiche, a meno che non siano già state trasmesse tramite SPID. Tra i dati richiesti vi sono:

  • Nome e cognome.
  • Codice fiscale.
  • Cittadinanza.
  • Indirizzo di residenza.
  • Contatti elettronici e telefonici.

Questi dati devono essere completi e accurati per garantire una corretta associazione tra l’utente e il soggetto NIS designante, evitando errori che potrebbero compromettere l’accesso ai Servizi NIS o ritardare il processo.

Per coloro che non dispongono di credenziali SPID, è prevista una procedura alternativa di autenticazione, descritta nella sezione dedicata del sito web dell’ACN. In questi casi, l’utente deve fornire un codice di identificazione nazionale in sostituzione del codice fiscale, rispettando le normative vigenti. Questa opzione è disponibile solo in situazioni eccezionali.

L’Articolo 6 sottolinea la rilevanza di questa fase iniziale del processo di registrazione. Il censimento non solo abilita gli utenti all’accesso ai Servizi NIS, ma costituisce la base per l’associazione formale tra l’utente e il soggetto NIS. Un’informazione incompleta o inaccurata può invalidare la registrazione, causando ritardi operativi o, in alcuni casi, sanzioni.

Associazione del punto di contatto al soggetto NIS

Dopo l’autenticazione iniziale, il sistema verifica la corrispondenza tra il punto di contatto e il soggetto NIS che rappresenta. Questa associazione è fondamentale per accertare che il punto di contatto abbia l’autorità necessaria per agire in nome e per conto del soggetto. La verifica può includere la validazione di documenti ufficiali o deleghe fornite dal rappresentante legale del soggetto NIS.

La procedura di associazione dell’utenza del punto di contatto al soggetto NIS, disciplinata dall’Articolo 7 della Determinazione, rappresenta la fase finale della registrazione sulla piattaforma NIS. Questo passaggio è fondamentale per garantire che ogni punto di contatto sia correttamente collegato al soggetto designante, assicurando la validità delle operazioni svolte tramite il Portale ACN

Il punto di contatto, una volta censito sul Portale ACN, deve associare la propria utenza al soggetto NIS utilizzando: il codice fiscale del soggetto NIS, oppure il codice dell’Indice dei Domicili Digitali delle Pubbliche Amministrazioni e dei Gestori di Pubblici Servizi (IPA).

Solo i punti di contatto ufficialmente designati e riconosciuti possono essere associati ai soggetti NIS, garantendo così l’integrità e la sicurezza del sistema.
Durante l’associazione, il punto di contatto deve controllare la correttezza delle informazioni visualizzate sul Portale, che includono:

  • La denominazione del soggetto NIS.
  • L’indirizzo della sede legale.
  • Il domicilio digitale.

Il punto di contatto è inoltre tenuto a dichiarare la propria qualifica rispetto al soggetto designante, specificando se agisce come: rappresentante legale, procuratore generale o delegato dal rappresentante legale.

Se il punto di contatto opera in qualità di delegato, è obbligatorio caricare sul Portale una delega formale. Questo documento deve attestare l’autorizzazione concessa dal rappresentante legale per accedere ai Servizi NIS in nome e per conto del soggetto designante.

La convalida da parte del soggetto NIS

La procedura si conclude con la convalida da parte del soggetto NIS, che riceve una notifica al proprio domicilio digitale per approvare la richiesta. Una volta che il soggetto NIS conferma l’associazione, l’Autorità invia una comunicazione ufficiale al domicilio digitale del soggetto, certificando l’avvenuta conclusione positiva del processo.

Questa procedura è essenziale per stabilire una relazione univoca e verificata tra il punto di contatto e il soggetto NIS, rafforzando la sicurezza e la conformità dell’intero sistema NIS. La corretta esecuzione di questo processo garantisce che le attività sul Portale ACN siano svolte esclusivamente da figure autorizzate.

Una volta completata l’associazione, il punto di contatto procede con la registrazione formale. Durante questa fase, deve compilare una dichiarazione dettagliata che include:

  • Informazioni economico-finanziarie: dati relativi a fatturato, bilancio e numero di dipendenti.
  • Settori di attività: specificazione dei codici ATECO applicabili.
  • Normative di riferimento: indicazione delle leggi settoriali rilevanti.
  • Dati organizzativi: ulteriori informazioni che potrebbero essere richieste per il censimento.

Accedendo al Servizio NIS/Registrazione tramite il Portale ACN, il punto di contatto deve compilare una dichiarazione con dati chiave relativi al soggetto NIS, tra cui:

  • Identificazione del soggetto: conferma della natura autonoma o di eventuale appartenenza a un gruppo di imprese.
  • Codici ATECO: indicazione delle attività svolte.
  • Normative settoriali: specificazione delle regolamentazioni applicabili.
  • Indicatori economici: dati su fatturato, bilancio e numero di dipendenti, necessari per classificare l’impresa come media o grande.

Se il soggetto appartiene a un gruppo di imprese, il punto di contatto deve elencare le aziende collegate, fornendo codici fiscali e parametri di collegamento, in conformità ai requisiti del Decreto NIS. Questo permette all’Autorità nazionale competente di identificare con precisione i soggetti rientranti nella normativa, rafforzando il controllo del perimetro cibernetico nazionale.

Al termine della compilazione, il sistema effettua una verifica preliminare automatizzata per identificare eventuali incongruenze. Se emergono errori, il punto di contatto deve correggerli o integrare la dichiarazione con ulteriori informazioni giustificative. Una copia della dichiarazione viene inviata al domicilio digitale del soggetto NIS, accompagnata da un avviso sull’eventualità di verifiche future, come previsto dall’Articolo 11.

L’Articolo 11 disciplina le verifiche di coerenza, volte a garantire l’affidabilità e la correttezza delle informazioni fornite dai soggetti NIS. Questi controlli, condotti dall’Autorità nazionale competente NIS in collaborazione con le Autorità di settore, verificano la conformità delle dichiarazioni ai criteri previsti dal Decreto NIS.

  • Esito positivo: il soggetto NIS riceve una notifica ufficiale che attesta la validità della registrazione.
  • Esito negativo: il soggetto deve correggere e ripresentare la dichiarazione, continuando a essere obbligato al completamento del processo di registrazione.

Comunicazioni dall’Autorità nazionale competente

L’Autorità nazionale competente è tenuta a comunicare l’esito delle verifiche entro 30 giorni dalla presentazione della dichiarazione. Tuttavia, in caso di approfondimenti complessi, questo termine può essere esteso una sola volta per ulteriori 20 giorni. Se vengono riscontrate incongruenze o incompletezze, il soggetto NIS ha 10 giorni di tempo per inviare le correzioni o integrazioni richieste. Il mancato rispetto di questo termine può comportare il rigetto della dichiarazione.

Le verifiche di coerenza sottolineano l’importanza di un’accurata compilazione della dichiarazione. Errori, informazioni incomplete o dichiarazioni mendaci possono:

  • Invalidare temporaneamente la registrazione.
  • Esporre il soggetto a responsabilità legali, come stabilito dall’Articolo 76 del D.P.R. n. 445/2000.

Questo evidenzia la necessità di un’attenzione scrupolosa e di un approccio responsabile da parte dei punti di contatto e degli organi amministrativi dei soggetti NIS, al fine di garantire la conformità e il rispetto delle disposizioni normative.

La creazione dell’elenco ufficiale dei soggetti NIS

La registrazione sulla piattaforma NIS culmina con la creazione dell’elenco ufficiale dei soggetti NIS da parte dell’Autorità Nazionale Competente, come previsto dall’Articolo 12 della Determinazione. Questo elenco rappresenta uno strumento chiave per il monitoraggio e la gestione dei soggetti che operano all’interno del perimetro di cybersicurezza nazionale.

Come è compilato l’elenco

L’elenco è compilato utilizzando le informazioni fornite dai soggetti durante la registrazione, che vengono sottoposte alle verifiche di coerenza descritte nell’Articolo 11. Questa fase, definita come endoprocedimentale, garantisce che solo i soggetti NIS conformi ai requisiti del Decreto NIS vengano identificati e registrati. Al termine del processo, l’Autorità comunica al punto di contatto l’esito dell’inserimento o dell’esclusione dall’elenco ufficiale, inviando una notifica al domicilio digitale del soggetto.

Ogni soggetto NIS incluso nell’elenco riceve un codice identificativo univoco, attribuito sia al soggetto stesso sia al relativo punto di contatto. Questo codice serve per:

  • facilitare le comunicazioni con l’Autorità Nazionale Competente.
  • garantire una gestione strutturata e sicura delle informazioni.
  • migliorare l’efficienza delle interazioni tra i soggetti e l’Autorità.

L’elaborazione dell’elenco non è un mero adempimento amministrativo, ma un elemento strategico per rafforzare la sicurezza cibernetica del Paese. Grazie alla registrazione e all’identificazione dei soggetti NIS l’Agenzia per la Cybersicurezza Nazionale può monitorare sistematicamente le infrastrutture critiche.

Trasparenza e tracciabilità nelle comunicazioni

Il codice identificativo unico attribuito ai soggetti NIS non solo garantisce una chiara identificazione nell’ambito della piattaforma, ma favorisce anche una maggiore trasparenza e tracciabilità nelle comunicazioni. Questo meccanismo contribuisce a rendere il sistema NIS più efficiente e affidabile, consolidando il ruolo della piattaforma come pilastro per la gestione della cybersicurezza nazionale.

L’elaborazione dell’elenco ufficiale dei soggetti NIS rappresenta un primo passo concreto ed efficace verso la costruzione di una catena salda e coordinata per la gestione della cybersicurezza nazionale. Attraverso la registrazione sulla piattaforma NIS e il monitoraggio sistematico delle infrastrutture critiche, l’Agenzia per la Cybersicurezza Nazionale può consolidare il controllo sul perimetro cibernetico, assicurando la resilienza e la continuità dei servizi essenziali. L’assegnazione di un codice identificativo univoco a ciascun soggetto non solo facilita le comunicazioni e migliora la tracciabilità, ma diventa anche uno strumento essenziale per garantire trasparenza e affidabilità nell’intero processo.

Questo sistema non è un semplice adempimento normativo, ma un tassello strategico per costruire un ecosistema di sicurezza robusto, capace di rispondere alle sfide di un mondo digitale sempre più complesso. La precisione e la completezza delle informazioni fornite durante la registrazione sono fondamentali per assicurare la piena conformità alle normative e prevenire inefficienze o sanzioni. La piattaforma NIS emerge così come un elemento chiave per promuovere la collaborazione tra le organizzazioni pubbliche, private e le istituzioni.

Consolidare il sistema di cybersicurezza nazionale

L’elenco ufficiale dei soggetti NIS diventa il fulcro della protezione delle infrastrutture critiche e dei servizi essenziali, consolidando un sistema di cybersicurezza nazionale che possa proteggere efficacemente da minacce sempre più sofisticate. Questo primo passo segna l’inizio di una strategia integrata che mira a costruire e mantenere una catena solida, fondamentale per garantire la resilienza del Paese nel panorama della sicurezza cibernetica globale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Z
Paola Zanellati
Responsabile Protezione dei Dati – DPO Consulente Privacy
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • videogame culture

    Gothic: un classico del passato da riscoprire

    30 Mag 2024

    di Corrado Cozza

    Condividi

  • lo scenario

    Cybersecurity, siamo tutti coinvolti: un piano d'azione per l'Italia

    06 Dic 2024

    di Maurizio Zacchi

    Condividi

  • gestione della qualità

    ISO 9001:2015/Amd 1:2024: guida pratica alle modifiche per la gestione del cambiamento climatico

    25 Giu 2024

    di Monica Perego

    Condividi

Prossimo

Gothic: un classico del passato da riscoprire

Articolo 1 di 4