Dal 18 ottobre 2024 è in vigore decreto legislativo n. 138 del 2024 che ha recepito in Italia la direttiva (UE) 2022/2555, la cosiddetta Direttiva NIS 2 in materia di cybersicurezza all’interno dell’Unione europea.
Il decreto legislativo n.138 (clicca qui) descrive sia i destinatari, sia gli obblighi di cybersicurezza, quali quelli di formazione e di indirizzo degli organi di amministrazione e direttivi, di risk management, anche nella catena di approvvigionamento, e di segnalazione degli incidenti di sicurezza che abbiano un impatto “significativo” sulla fornitura dei servizi.
Il decreto NIS richiede ad alcune categorie di imprese la registrazione sulla piattaforma digitale tramite il Portale dell’Agenzia per la Cybersicurezza Nazionale (il Portale ACN – clicca qui), secondo le indicazioni fornite dalla stessa Agenzia.
Tra le imprese che si devono registrare entro il 28 febbraio 2025 , sono incluse le aziende di produzione (non riguarda gli allevamenti), di trasformazione e distribuzione di alimenti che rientrano nelle PMI e Grandi Imprese, quindi tutte quelle imprese con più di 50 persone occupate e fatturato annuo superiore a 10 milioni. Di seguito si riporta il link per accedere alla sezione di registrazione del portale ACN – clicca qui.
Le Imprese dovranno registrarsi entro il 28 febbraio p.v. sulla piattaforma digitale messa a disposizione dall’ACN, tramite una persona fisica designata (il Punto di Contatto), che può essere il rappresentante legale, un procuratore generale o un dipendente delegato dal rappresentante legale, ovvero nei gruppi di società, un dipendente di un’altra impresa del gruppo soggetta al Decreto NIS.
I Punti di Contatto devono:
- autenticarsi sul Portale ACN tramite le proprie credenziali personali del Sistema Pubblico di Identità Digitale (SPID);
- associare la loro utenza con il soggetto che li ha designati, sottoposta a convalida dal Soggetto NIS;
- compilare la dichiarazione per il Soggetto NIS designante ai fini della sua registrazione, indicando, tra il resto, le normative settoriali dell’Unione Europe citate negli Allegati I e II del Decreto NIS per definire la tipologia di soggetto indicato al quale il soggetto è riconducibile.
L’ACN effettuerà delle verifiche di coerenza delle informazioni fornite a campione. Sulla base delle informazioni trasmesse l’ACN comunica l’inserimento, o meno, dei soggetti registrati nell’elenco dei Soggetti NIS entro metà aprile 2025, distinti tra soggetti “essenziali” e “importanti”. Da questa distinzione dipende l’applicabilità più o meno ampia degli obblighi del Decreto NIS.
Si precisa che la mancata registrazione sarà considerata una violazione soggetta a sanzioni amministrative pecuniarie in base al fatturato annuo su scala mondiale.
La violazione degli obblighi del Decreto NIS può comportare la responsabilità personale degli amministratori e degli organi direttivi e la possibilità di applicare loro la sanzione amministrativa accessoria della temporanea incapacità a svolgere funzioni dirigenziali.
Per opportuna conoscenza si rimanda alle FAQ del portale ACN raggiungibile facilmente cliccando qui.
