In vista del 28 febbraio: adempimenti e obblighi in tema di NIS 2

La nuova direttiva NIS (Network and Information Security), recepita in Italia con il D.Lgs 138/2024, è ormai entrata in vigore dal 16 ottobre 2024.

La direttiva ha l’obiettivo di rafforzare la sicurezza delle reti e dei sistemi informativi, in base a una normativa che introduce previse scadenze e specifici obblighi per le organizzazioni pubbliche e private che operano in settori essenziali.

Gli obblighi per i soggetti NIS

Ai sensi dell’art. 7, comma 1 del d.lgs. 138/2024 (“Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti”), tutti i soggetti NIS, dal primo dicembre al 28 febbraio di ogni anno successivo all’entrata in vigore del decreto, devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale anche ai sensi del presente decreto. A tal fine, tali soggetti forniscono o aggiornano almeno le informazioni seguenti:

a)  la ragione sociale;

b)  l’indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;

c)  la designazione di un punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;

d)  ove applicabile, i pertinenti settori, sottosettori e tipologie di soggetto di cui agli allegati I (“Settori ad alta criticità”), II (“altri settori critici”), III (“Amministrazioni centrali, regionali, locali e di altro tipo”) e IV (“ulteriori tipologie di soggetti”) del d.lgs. 138/2024.

La mancata registrazione entro il 28 febbraio comporta le sanzioni pecuniarie amministrative previste dall’art. 38, commi 10 e 11 del decreto NIS, fino ad un massimo del 0.1% del fatturato.

Dal 15 aprile al 31 maggio di ogni anno successivo all’entrata in vigore del decreto NIS, i soggetti individuati quali soggetti NIS, devono fornire o aggiornare almeno le informazioni seguenti:

a)  lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;

b)  ove applicabile, l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del presente decreto;

c)  i responsabili (ovvero “qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso”, cfr. art. 38, co. 5 del decreto NIS), indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;

d)  un sostituto del punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.

I fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network, forniscono all’Autorità nazionale competente NIS, anche:

a)  l’indirizzo della sede principale e delle altre sedi del soggetto nell’Unione europea;

b)  se non è stabilito nell’Unione europea, l’indirizzo della sede del suo rappresentante, unitamente ai dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.

I soggetti NIS devono notificare all’Autorità nazionale competente NIS, tramite la piattaforma digitale, qualsiasi modifica delle informazioni trasmesse tempestivamente e, in ogni caso, entro quattordici giorni dalla data della modifica.

Infine, i soggetti NIS devono:

• entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempiere agli obblighi di base in materia di notifica di incidente;
• entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempiere agli obblighi di base in materia di sicurezza informatica.

Gli obblighi in materia di misure di sicurezza e notifica di incidente sono definiti mediante delle determinazioni del Direttore generale dell’Agenzia per la cybersicurezza nazionale che dovranno essere adottate entro aprile 2025.

Gli allegati tecnici di queste determinazioni andranno a stabilire i requisiti minimi in termini di misure di sicurezza che i soggetti dovranno realizzare entro ottobre 2026.

Con riferimento, invece, alle notifiche di incidente, nei medesimi allegati tecnici saranno indicate le fattispecie considerate “incidenti significativi” e, pertanto, soggette all’obbligo di notifica di cui all’articolo 25.

Questo articolo ti è stato utile?

Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.