NIS2: Guida Pratica alla Registrazione sul Sito ACN entro il 28 Febbraio

Cos’è la NIS2 e quali sono le novità principali

La NIS2 (Network and Information Security Directive 2) è la nuova direttiva europea sulla sicurezza delle reti e dei sistemi informativi, che estende e rafforza la precedente normativa NIS (Direttiva UE 2016/1148). Il suo obiettivo principale è:

• Aumentare il livello di sicurezza informatica in tutta l’Unione Europea.
• Ampliare l’elenco dei settori e delle tipologie di imprese soggette agli obblighi di cyber-protezione.
• Favorire la collaborazione e la condivisione di informazioni tra gli Stati Membri.

Con l’entrata in vigore della NIS2, gli Stati Membri sono chiamati a recepirla all’interno del proprio ordinamento. In Italia, i compiti di coordinamento, monitoraggio e vigilanza sono in capo all’ACN, istituita per rafforzare la strategia nazionale di cybersicurezza.

Quali aziende sono coinvolte dalla registrazione entro il 28/2  

La nuova direttiva europea identifica una serie di operatori essenziali e di servizi critici che devono conformarsi a specifici obblighi di sicurezza. Tra questi rientrano, a titolo esemplificativo:

• Settore energia e trasporti (es. fornitori di energia elettrica, imprese di trasporto ferroviario, aereo, marittimo).
• Settore bancario e infrastrutture di mercato finanziario.
• Sanità (ospedali, cliniche, laboratori di analisi, fornitori di servizi sanitari essenziali).
• Fornitori di servizi cloud, data center e servizi digitali.
• Pubblica Amministrazione, in determinate circostanze.

Ogni Paese, in base alle indicazioni europee, stabilisce criteri e soglie per identificare esattamente quali organizzazioni rientrino negli obblighi della NIS2. 

L’ACN, agendo come autorità competente in Italia, ha predisposto una procedura di registrazione rivolta alle imprese (o enti) che:

1. Ricadono nei settori coperti dalla direttiva.
2. Hanno dimensioni e importanza tali da essere considerate “essenziali” o “importanti” per il funzionamento del Paese.
3. Non si erano già registrate o non avevano comunicato i propri dati in ambito NIS in passato.

La scadenza del 28 febbraio è stata fissata come termine ultimo per eseguire questa comunicazione, al fine di costruire un database aggiornato di soggetti da monitorare e supportare in ambito sicurezza informatica.

Come procedere alla registrazione sul sito ACN

Registrarsi è un passaggio relativamente semplice, ma è importante seguire con attenzione tutti i passaggi indicati per evitare ritardi o incomprensioni. Di seguito una breve guida:

1. Verificare l’obbligo di registrazione
   • Prima di tutto, occorre consultare la documentazione ufficiale sul sito di ACN (o sul portale dedicato NIS) per capire se la propria azienda rientra tra quelle obbligate (qui trovate l'elenco).
   • In caso di dubbi, è consigliabile rivolgersi a un consulente legale o informatico specializzato.
2. Accedere al portale di ACN
   • Sul sito ufficiale dell’Agenzia per la Cybersicurezza Nazionale esiste un’area riservata o un form di registrazione.
   • Se non si dispone delle credenziali, è possibile crearle seguendo la procedura guidata.
3. Inserire i dati richiesti
   • Dati societari (ragione sociale, Partita IVA, sede legale, contatti di riferimento).
   • Settore di attività e informazioni su eventuali servizi critici o essenziali.
   • Eventuali certificazioni o standard di sicurezza adottati (ad esempio ISO 27001).
4. Inviare la comunicazione
   • Una volta completata la compilazione, il sistema genera un documento (o una notifica) che attesta l’avvenuta registrazione.
   • Conservare la ricevuta per eventuali controlli futuri.
5. Tenere aggiornate le informazioni
   • La registrazione non è un adempimento “una tantum”: in caso di cambiamenti significativi (cambi di sede, modifiche societarie, variazione dei servizi offerti), è necessario aggiornare i propri dati entro i termini stabiliti.

Cosa succede in caso di mancata registrazione

La mancata registrazione entro il 28 febbraio può comportare una serie di conseguenze per le organizzazioni inadempienti:

• Sanzioni amministrative: la normativa NIS2 prevede che gli Stati Membri applichino sanzioni efficaci, proporzionate e dissuasive in caso di violazione degli obblighi di sicurezza e notifica. In Italia, il d.lgs. 138/2024 ha previsto all'articolo 38 le sanzioni per la mancata registrazione o aggiornamento (commi 10 a) e 11 a) e b)). In particolare la sanzione varia tra lo 0,07% ed il 0,1% del fatturato su scala mondiale (a seconda del tipo di soggetto: rispettivamente importante o essenziale).
• Controlli più stringenti: l’ACN potrebbe predisporre verifiche e audit sui soggetti che non risultano in regola con la procedura di registrazione.
• Responsabilità civile e penale: qualora il mancato adempimento contribuisca o aggravi un incidente di sicurezza, l’organizzazione potrebbe essere chiamata a rispondere di danni provocati a terzi.

Pertanto, adempiere correttamente all’obbligo di registrazione non solo evita possibili sanzioni, ma è anche un’importante opportunità per dimostrare la propria attenzione alla sicurezza informatica e alla compliance normativa.

Concludendo

La registrazione entro il 28 febbraio sul sito ACN rappresenta uno dei primi e fondamentali passi verso l’adeguamento alla nuova direttiva NIS2 in Italia. È un adempimento cruciale per quelle realtà che operano in settori essenziali o critici, chiamate a garantire standard più elevati di sicurezza informatica a tutela di servizi vitali per la collettività.

Consigliamo alle aziende interessate di:

1. Verificare con urgenza la propria posizione rispetto ai requisiti.
2. Affidarsi a consulenti specializzati in materia di sicurezza informatica e normativa NIS/DORA.
3. Completare la procedura di registrazione entro i termini previsti, curando la correttezza dei dati inseriti.

In un contesto sempre più interconnesso e soggetto a minacce cyber, la prevenzione e la conformità normativa non devono essere viste come semplici obblighi burocratici, ma come fattori abilitanti che migliorano la resilienza e la competitività delle imprese sul mercato.