La Direttiva NIS2 (Direttiva UE 2022/2555), recepita in Italia dal D.Lgs. n. 138/2024, introduce nuove regole per garantire un elevato livello di cybersicurezza. Le organizzazioni considerate “essenziali” o “importanti”, che operano in settori critici, devono registrarsi sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025. Questa mini-guida è pensata per aiutare le aziende a completare la procedura di registrazione NIS2 sul portale dell’ACN, chiarendo gli aspetti più tecnici e dissipando eventuali dubbi.
Indice
Chi deve registrarsi?
In linea generale, la registrazione è obbligatoria per:
- Soggetti essenziali e importanti: imprese che operano nei settori critici definiti negli allegati del D.Lgs. 138/2024.
- Imprese collegate: aziende che influenzano o supportano direttamente la sicurezza cibernetica dei soggetti essenziali e importanti.
- Pubbliche amministrazioni: incluse quelle di grandi dimensioni o strategiche (e.g., comuni con oltre 100.000 abitanti).
Sul piano operativo, tuttavia, sottolineiamo che la procedura (che può essere iniziata alla pagina https://portale.acn.gov.it/login) dev’essere completata da una persona fisica con adeguati poteri. L’accesso al portale di registrazione avviene tramite SPID o CIE. Si consiglia che sia una persona con adeguati poteri di rappresentanza a occuparsene direttamente, vale a dire un legale rappresentante o altro procuratore generale coerentemente con quanto risulti dall’iscrizione nel registro delle imprese. Sotto questo profilo, la procedura effettuerà dei controlli incrociati per comprendere se la persona che si autentica sia autorizzata. In alternativa, è possibile delegare un altro soggetto, caricando nel portale la relativa delega (ecco il Modello suggerito di Delega del Punto di contatto) opportunamente compilata..
I due passaggi della procedura
Per i più frettolosi, attenzione a non interrompere a metà la registrazione alla NIS 2. La procedura sul portale ACN si svolge in due fasi principali:
- Iscrizione iniziale: la persona autenticata accede al portale e si associa a una determinata azienda. Questo primo passaggio è rapido, ma assicuratevi di monitorare la casella email inserita per non perdere comunicazioni importanti legate all’avanzamento della procedura.
- Conferma e compilazione: Dopo la ricezione di un’email di conferma, si accede nuovamente al portale per completare la dichiarazione richiesta. Questo passaggio includerà l’inserimento di dati specifici relativi all’azienda e ai settori di attività.
Chiarimenti sulle Normative UE
Durante la registrazione, il portale richiede di indicare l’applicazione di ulteriori normative europee, spesso identificate solo dai riferimenti legislativi.
La mancanza di spiegazioni o chiarimenti sugli ambiti di applicazione delle diverse Direttive e Regolamenti citati, potrebbe fare sollevare dei dubbi, o costringere a imbarcarsi in una complicata ricerca. Il consiglio pratico è quello di identificare le normative rilevanti in base al settore di appartenenza dell’organizzazione, poiché nell’elenco sono riportate sostanzialmente normative applicabili a settori molto specifici. Nessuno stupore, quindi, se doveste concludere che non siete assoggettati ad alcuna. Per comodità, ecco riportato di seguito un elenco che chiarisce i principali ambiti.
| Ambito | Normative |
| Mercato interno dell’energia elettrica | |
| Promozione dell’uso dell’energia da fonti rinnovabili | |
| Livello minimo di scorte di petrolio greggio e/o di prodotti petroliferi | |
| Sicurezza dell’aviazione civile | |
| Diritti aeroportuali | |
| Rete transeuropea dei trasporti | |
| Principi generali per l’istituzione del cielo unico europeo | |
| Spazio ferroviario europeo unico | |
| Sicurezza delle navi e degli impianti portuali e dei porti | |
| Monitoraggio del traffico navale e d’informazione | |
| Servizi di informazione sul traffico in tempo reale | |
| Sistemi di trasporto intelligenti nel settore del trasporto stradale | |
| Requisiti prudenziali per gli enti creditizi | |
| Mercati degli strumenti finanziari | |
| Strumenti derivati OTC, controparti centrali e repertori di dati sulle negoziazioni | |
| Diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera | |
| Gravi minacce per la salute a carattere transfrontaliero | |
| Codice comunitario relativo ai medicinali per uso umano | |
| Classificazione statistica delle attività economiche NACE | |
| Preparazione e gestione crisi in relazione ai medicinali e ai dispositivi medici | |
| Qualità delle acque destinate al consumo umano | |
| Trattamento delle acque reflue urbane | |
| Servizi postali comunitari | |
| Gestione e trattamento dei rifiuti | |
| Registrazione, valutazione, autorizzazione e restrizione delle sostanze chimiche | |
| Legislazione e sicurezza alimentare | |
| Resilienza operativa digitale per il settore finanziario |
Cosa si intende per “società collegate”?
Un dubbio che sorge facilmente nella compilazione della dichiarazione, è come rispondere alla domanda relativa alla presenza di “società collegate”. In primis, occorrerà indicare se l’impresa fa parte di un gruppo, e, nel caso, fornire il Codice Fiscale della capogruppo. È poi il turno delle società collegate, concetto che tuttavia richiama una definizione normativa non esattamente immediata.
Si consideri che per il D.Lgs. 138/2024 è rilevante identificare le “società collegate a soggetti NIS”, poiché la norma vi si applicherà automaticamente (a prescindere dalla dimensione d’impresa), se tali società collegate hanno un ruolo rilevante per le operazioni di gestione della sicurezza informatica del soggetto NIS. Il caso tipico è quello di un Gruppo d’impresa in cui la gestione delle infrastrutture hardware, software e processi di cybersecurity sono centralizzate su una singola controllata, specializzata in campo tecnico. A prescindere dalla sua dimensione e fatturato, le attività in service svolte all’interno del Gruppo la renderanno un soggetto NIS.
In termini generali, invece, la definizione di società collegata si trova nella Raccomandazione 2003/361/CE, all’articolo 3, par. 3.
Sono “imprese collegate” le imprese tra cui esiste una delle seguenti relazioni:
- un’impresa detiene la maggioranza dei diritti di voto degli azionisti o soci di un’altra impresa
- un’impresa ha il diritto di nominare o revocare la maggioranza dei membri del Consiglio di amministrazione, direzione o sorveglianza di un’altra impresa
- un’impresa ha il diritto di esercitare un’influenza dominante su un’altra impresa in virtù di un contratto concluso con quest’ultima oppure in virtù di una clausola dello statuto di quest’ultima
- un’impresa azionista o socia di un’altra impresa controlla da sola, in virtù di un accordo stipulato con altri azionisti o soci dell’altra impresa, la maggioranza dei diritti di voto degli azionisti o soci di quest’ultima.
Cos’è la clausola di salvaguardia?
L’applicabilità della NIS 2 dipende in larga parte dalla dimensione dell’impresa. Per questo motivo, nel corso della procedura occorrerà fornire dati relativi a fatturato, bilancio e numero di dipendenti effettivi. Per la dichiarazione di tali valori, la raccomandazione richiamata dall’ACN esplicita che i calcoli tengano conto delle imprese associate o collegate.
La clausola di salvaguardia consente però alle imprese di richiedere una deroga al calcolo delle dimensioni aziendali (dipendenti, fatturato e bilancio) tenendo conto del grado di indipendenza dai sistemi informativi e di rete delle imprese collegate.
È pensata quindi per evitare applicazioni sproporzionate delle norme alle organizzazioni che, pur facendo parte di un gruppo, operano in modo indipendente. L’esempio tipico è quello di un’azienda che appartiene a un gruppo, ma non utilizza i sistemi informatici del gruppo. In questa circostanza, l’azienda potrà utilizzare la clausola di salvaguardia per richiedere che la valutazione dimensionale dell’impresa tenga conto solo dei propri parametri aziendali.
Settori e sottosettori economici
Durante la registrazione dell’azienda, bisognerà selezionare uno o più settori di attività, corrispondenti all’elenco di settori critici citati nel Decreto. Si consideri che in questa fase, la procedura terrà conto dei codici ATECO già inseriti per “suggerire” le probabili attività svolte, segnalando possibili dimenticanze o incoerenze nella compilazione.
Il principale suggerimento pratico per l’individuazione delle attività svolte, è quello di consultare anticipatamente e con attenzione direttamente l’allegato I e l’allegato II della norma, dove risultano chiaramente schematizzati e di immediata lettura.
In conclusione, ricordiamo che la registrazione NIS2 sul portale ACN rappresenta un passaggio cruciale per adeguarsi alla normativa e garantire la sicurezza cibernetica nazionale. Le scadenze per completare la registrazione sono il 17 gennaio 2025 per i fornitori di servizi specifici (fornitori di servizi di sistema dei nomi di dominio, gestori di registri dei nomi di dominio di primo livello, fornitori di servizi di registrazione dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network) e il 28 febbraio 2025 per tutti gli altri soggetti.
Con questa guida pratica, speriamo di aver reso più chiaro il processo, aiutando le aziende a evitare errori e a rispettare le scadenze. Per ulteriori informazioni, consultate le FAQ ufficiali dell’ACN.
