27Il decreto legislativo 138/2024 ha recepito in Italia la Direttiva UE NIS2 (Network and Information Systems Directive), introducendo importanti novità per la sicurezza informatica di aziende e pubbliche amministrazioni.
Se la tua organizzazione rientra tra i soggetti elencati negli Allegati I e II, hai l’obbligo di registrarti sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025. Se sei un fornitore di un’organizzazione essenziale o importante, anche se non direttamente obbligato, potresti essere coinvolto indirettamente.
Ecco una panoramica dettagliata.
Chi ha l’obbligo di registrarsi?
La registrazione è obbligatoria – entro il 28 febbraio 2025 – per le entità classificate come “essenziali” o “importanti” secondo la NIS2, tra cui:
- Aziende in settori strategici: energia, spazio, trasporti, sanità, finanza, telecomunicazioni, gestione di acqua potabile, acque reflue e rifiuti, servizi postali, produzione e distribuzione di sostanze chimiche e alimenti, fabbricazione di macchinari, mezzi di trasporto e prodotti elettronici, attività di ricerca, e altri.
- Fornitori di infrastrutture IT critiche e piattaforme digitali essenziali.
- Pubblica Amministrazione.
Il ruolo della supply chain e i suoi obblighi indiretti.
Anche se la tua azienda non rientra direttamente tra i soggetti obbligati, se fornisci beni, servizi o supporto tecnologico a entità NIS2, potresti essere coinvolto indirettamente tramite:
- Obblighi contrattuali: accordi specifici con i tuoi clienti NIS2.
- Valutazione del rischio: analisi delle tue pratiche di sicurezza per mitigare i rischi per la supply chain.
- Linee guida e regolamenti futuri: possibili nuove normative che impatteranno anche sui fornitori.
Infatti, le entità NIS2 “essenziali” e “importanti” devono:
- Garantire la conformità della propria supply chain: assicurandosi che i fornitori rispettino i requisiti di sicurezza.
- Monitorare e ridurre i rischi derivanti dai fornitori: inclusi quelli legati a vulnerabilità tecniche, gestionali o operative.
Di conseguenza, potresti essere soggetto a:
- Audit di sicurezza: condotti dai tuoi clienti NIS2.
- Clausole contrattuali stringenti: che impongono specifici standard di sicurezza informatica.
- Richieste di adeguamento: per adottare standard di sicurezza più elevati.
Come registrarsi sul portale ACN.
La registrazione si divide in tre fasi:
- Censimento del punto di contatto: devi designare un responsabile per le comunicazioni con l’ACN (dipendente o consulente delegato) che:
- Si autentica sul portale con SPID.
- Carica il documento che ne autorizza l’operato.
- Inserisce dati personali e di contatto (nome, codice fiscale, PEC, telefono, ecc.).
- Associazione del punto di contatto al soggetto NIS2: il punto di contatto associa la propria utenza all’ente o all’azienda tramite codice fiscale (o codice IPA per la PA), con successiva verifica e convalida.
- Compilazione della dichiarazione NIS2: dovrai fornire informazioni dettagliate sull’ente, tra cui:
- appartenenza a gruppi aziendali;
- codici ATECO;
- normative UE applicabili;
- dati su fatturato, bilancio e numero di dipendenti.
L’Agenzia per la Cybersicurezza Nazionale ha realizzato un video tutorial per guidarti passo passo: https://lnkd.in/dnMj8E9B
L’importanza dell’adeguamento.
La registrazione e il rispetto degli obblighi NIS2 sono fondamentali per la sicurezza informatica. Adottare elevate misure di sicurezza non solo ti permette di continuare a collaborare con i soggetti essenziali, ma protegge la tua attività da incidenti o violazioni che potrebbero danneggiare la tua reputazione, portare a sospensioni del punto di contatto, rescissioni contrattuali con richieste di danni e sanzioni da parte delle autorità.
Il nostro supporto.
Noi di Efuture possiamo aiutarti a capire se la normativa riguarda anche te e affiancarti nel percorso di compliance.
Scrivi una mail a [email protected] o chiama il 039 94 51 118 per avere maggiori informazioni e chiarire ogni dubbio.