Efuture's World

27Il decreto legislativo 138/2024 ha recepito in Italia la Direttiva UE NIS2 (Network and Information Systems Directive), introducendo importanti novità per la sicurezza informatica di aziende e pubbliche amministrazioni

Se la tua organizzazione rientra tra i soggetti elencati negli Allegati I e II, hai l’obbligo di registrarti sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025. Se sei un fornitore di un’organizzazione essenziale o importante, anche se non direttamente obbligato, potresti essere coinvolto indirettamente. 

Ecco una panoramica dettagliata.

Chi ha l’obbligo di registrarsi?

La registrazione è obbligatoria – entro il 28 febbraio 2025 – per le entità classificate come “essenziali” o “importanti” secondo la NIS2, tra cui:

  • Aziende in settori strategici: energia, spazio, trasporti, sanità, finanza, telecomunicazioni, gestione di acqua potabile, acque reflue e rifiuti, servizi postali, produzione e distribuzione di sostanze chimiche e alimenti, fabbricazione di macchinari, mezzi di trasporto e prodotti elettronici, attività di ricerca, e altri.
  • Fornitori di infrastrutture IT critiche e piattaforme digitali essenziali.
  • Pubblica Amministrazione.

Il ruolo della supply chain e i suoi obblighi indiretti.

Anche se la tua azienda non rientra direttamente tra i soggetti obbligati, se fornisci beni, servizi o supporto tecnologico a entità NIS2, potresti essere coinvolto indirettamente tramite:

  • Obblighi contrattuali: accordi specifici con i tuoi clienti NIS2.
  • Valutazione del rischio: analisi delle tue pratiche di sicurezza per mitigare i rischi per la supply chain.
  • Linee guida e regolamenti futuri: possibili nuove normative che impatteranno anche sui fornitori.

Infatti, le entità NIS2 “essenziali” e “importanti” devono:

  • Garantire la conformità della propria supply chain: assicurandosi che i fornitori rispettino i requisiti di sicurezza.
  • Monitorare e ridurre i rischi derivanti dai fornitori: inclusi quelli legati a vulnerabilità tecniche, gestionali o operative.

Di conseguenza, potresti essere soggetto a:

  • Audit di sicurezza: condotti dai tuoi clienti NIS2.
  • Clausole contrattuali stringenti: che impongono specifici standard di sicurezza informatica.
  • Richieste di adeguamento: per adottare standard di sicurezza più elevati.

Come registrarsi sul portale ACN.

La registrazione si divide in tre fasi:

  1. Censimento del punto di contatto: devi designare un responsabile per le comunicazioni con l’ACN (dipendente o consulente delegato) che:
    • Si autentica sul portale con SPID.
    • Carica il documento che ne autorizza l’operato.
    • Inserisce dati personali e di contatto (nome, codice fiscale, PEC, telefono, ecc.).
  2. Associazione del punto di contatto al soggetto NIS2: il punto di contatto associa la propria utenza all’ente o all’azienda tramite codice fiscale (o codice IPA per la PA), con successiva verifica e convalida.
  3. Compilazione della dichiarazione NIS2: dovrai fornire informazioni dettagliate sull’ente, tra cui:
    • appartenenza a gruppi aziendali;
    • codici ATECO;
    • normative UE applicabili;
    • dati su fatturato, bilancio e numero di dipendenti.

L’Agenzia per la Cybersicurezza Nazionale ha realizzato un video tutorial per guidarti passo passo: https://lnkd.in/dnMj8E9B

L’importanza dell’adeguamento.

La registrazione e il rispetto degli obblighi NIS2 sono fondamentali per la sicurezza informatica. Adottare elevate misure di sicurezza non solo ti permette di continuare a collaborare con i soggetti essenziali, ma protegge la tua attività da incidenti o violazioni che potrebbero danneggiare la tua reputazione, portare a sospensioni del punto di contatto, rescissioni contrattuali con richieste di danni e sanzioni da parte delle autorità.

Il nostro supporto. 

Noi di Efuture possiamo aiutarti a capire se la normativa riguarda anche te e affiancarti nel percorso di compliance. 

Scrivi una mail a [email protected] o chiama il 039 94 51 118 per avere maggiori informazioni e chiarire ogni dubbio.