La mia azienda ricade in ambito NIS2? Nel caso in cui si avesse ancora questo dubbio, l’Agenzia per la cybersicurezza nazionale ha predisposto un processo di autovalutazione: FAQ. 3.1 Quali organizzazioni devono registrarsi? Nel caso in cui l’impresa fosse collegata, ci si riferisca all’articolo 3 comma 10 della norma.
Registrazione in piattaforma ACN e aggiornamento dati (articolo 7) I soggetti che si riconoscono in uno dei settori/sottosettori/tipologie previsti dalla nuova normativa NIS (v. FAQ 2.1) dovranno registrarsi sulla piattaforma messa a disposizione dall’ACN e comunicare una serie di informazioni tra le quali, ad esempio, la ragione sociale, l’indirizzo e i recapiti aggiornati, la designazione di un punto di contatto indicando il suo ruolo/qualifica presso il soggetto. Ove possibile, i soggetti dovranno anche selezionare uno o più settori/sottosettori in cui operano, tra quelli previsti dagli allegati I, II e III, e la relativa tipologia di soggetto in cui si identificano tra quelle previste dagli allegati I, II, III e IV. I dati raccolti saranno impiegati per costituire l’elenco dei soggetti NIS, entro il 31 marzo 2025 (v. FAQ 3.3), anche al fine di fornire le relative statistiche alla Commissione UE ad aprile 2025.
Se ho la certificazione ISO 27001 sono esente dagli obblighi NIS2, non devo iscrivermi in piattaforma ACN? Nonostante l’azienda sia attiva sul tema della cybersecurity e possegga la certificazione ISO 27001, che mantiene negli audit di sorveglianza e certificazione, essa dovrà rispettare la direttiva cogente, NIS2. Per questo motivo, nel caso in cui l’azienda rientrasse in ambito, dovrà rivedere in modo approfondito e regolare le misure di sicurezza esistenti. Per sintetizzare: la ISO/IEC 27001 definisce i requisiti per stabilire, implementare, mantenere e migliorare un sistema di gestione per la sicurezza delle informazioni ed è uno standard (internazionale) tecnico di carattere volontario. La NIS2 rappresenta un obbligo regolatorio (europeo) cogente.
Chi si registra in piattaforma? In piattaforma si registra il “punto di contatto”, ovvero una persona interna all’azienda (v. FAQ 3.4) , che avrà il compito di curare l’attuazione delle disposizioni della Direttiva NIS 2, partendo dalla registrazione in piattaforma.
L’organizzazione ricadente all’interno del perimetro di applicabilità della norma sulla base dei criteri previsti dal legislatore (Territoriale, Settoriale, Dimensionale, ulteriori criteri previsti dall’art. 3 della norma), ai sensi dell’articolo 7, comma 1, lett. c), del Decreto NIS 2, anche ai fini della registrazione sulla piattaforma digitale resa disponibile dall’ACN, deve designare un “Punto di contatto”. Per la sua definizione si faccia riferimento alla Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale del 26 novembre 2024. Per il punto di contatto, come titolo giuridico, è sufficiente una delega del rappresentante legale che può essere ad-hoc (modello suggerito) o anche una delega pre-esistente più ampia. Per sapere di quali informazioni deve disporre, si faccia riferimento alla FAQ – 3.5 Quali sono le informazioni necessarie per la registrazione? Video tutorial per iscriversi alla piattaforma.