La registrazione sulla piattaforma NIS costituisce un tassello fondamentale nell’attuazione del Decreto NIS (D. Lgs. 138/2024), adottato per recepire la Direttiva (UE) 2022/2555 e garantire un livello uniforme ed elevato di cybersicurezza all’interno dell’Unione Europea.
A partire dal 1° dicembre 2024, i soggetti pubblici e privati rientranti nell’ambito di applicazione della normativa saranno tenuti a utilizzare la piattaforma digitale, accessibile mediante il Portale ACN, quale unico strumento per adempiere agli obblighi di censimento e registrazione.
Come espressamente previsto dall’Articolo 7 del Decreto NIS, la piattaforma rappresenta il veicolo operativo attraverso cui l’Autorità nazionale competente NIS raccoglie, verifica e gestisce le informazioni essenziali per assicurare la conformità normativa dei soggetti coinvolti.
Entro il termine perentorio del 28 febbraio 2025, ciascun soggetto sarà chiamato a completare il processo di registrazione mediante il Servizio NIS/Registrazione, assicurando l’accuratezza e l’aggiornamento delle informazioni fornite.
La finalità principale della registrazione sulla piattaforma NIS risiede nel rafforzamento del sistema nazionale di cybersicurezza, promuovendo un’interazione efficiente tra i soggetti NIS e l’Agenzia per la Cybersicurezza Nazionale. Questo meccanismo è progettato per garantire non solo la trasparenza delle procedure amministrative, ma anche la responsabilità dei soggetti coinvolti, attraverso un controllo stringente delle informazioni trasmesse.
È di particolare rilievo osservare che la mancata o inesatta registrazione sulla piattaforma potrebbe determinare conseguenze sanzionatorie significative, ai sensi dell’Articolo 38 del Decreto NIS. Ne discende, pertanto, l’esigenza per gli operatori economici e pubbliche amministrazioni di avviare senza indugio il processo di registrazione sulla piattaforma NIS, rispettando le tempistiche e le modalità prescritte dalla normativa, in un’ottica di compliance.
Termini di uso del Portale ACN e dei Servizi NIS nella registrazione sulla piattaforma NIS
I termini e le modalità di utilizzo del Portale ACN per la registrazione sulla piattaforma NIS sono disciplinati dall’Articolo 3 della Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale. Questo articolo stabilisce che le comunicazioni tra i soggetti NIS e l’Autorità nazionale competente NIS, inclusi il censimento, l’associazione e la registrazione, devono avvenire esclusivamente tramite i Servizi NIS o attraverso la sezione dedicata nell’area NIS del sito web istituzionale dell’Agenzia. Eventuali deroghe a tale obbligo possono essere ammesse solo per espressa indicazione dell’Autorità o in casi di forza maggiore.
Il rispetto dei termini previsti per la registrazione sulla piattaforma NIS è essenziale. I soggetti interessati devono aggiornare tempestivamente le informazioni trasmesse tramite il Portale ACN, seguendo le indicazioni fornite dall’Autorità nazionale competente. Tali aggiornamenti, oltre a essere obbligatori, sono soggetti a verifiche di accuratezza, poiché eventuali incongruenze o errori possono compromettere la validità della registrazione stessa.
L’Articolo 3 impone inoltre agli utenti l’onere di verificare la correttezza delle informazioni visualizzate o ricevute tramite i Servizi NIS. In caso di discrepanze, è previsto l’obbligo di segnalazione immediata attraverso i canali ufficiali del Portale ACN. Il rilascio di dichiarazioni mendaci o la trasmissione di dati non conformi alla realtà costituiscono reato ai sensi dell’articolo 76 del D.P.R. n. 445/2000, comportando responsabilità penale.
Infine, l’Articolo 3 regola la gestione delle informazioni condivise tramite il Portale e i Servizi NIS, imponendo il principio del need-to-know. Tale principio limita la divulgazione dei dati ai soli destinatari autorizzati e alle terze parti strettamente necessarie, garantendo così la sicurezza e la riservatezza delle comunicazioni. Questo quadro normativo rende la registrazione sulla piattaforma NIS un processo non solo amministrativo, ma anche centrale per la tutela della sicurezza cibernetica.
Il ruolo del punto di contatto nella registrazione sulla piattaforma NIS
Il punto di contatto assolve a una funzione essenziale nel processo di registrazione sulla piattaforma NIS, come delineato dall’Articolo 4 della Determinazione. Questa figura, designata dal soggetto NIS, agisce quale intermediario tra il soggetto stesso e l’Autorità nazionale competente NIS, curando l’attuazione delle disposizioni previste dal Decreto NIS.
Il punto di contatto è responsabile dell’accesso al Portale ACN e ai Servizi NIS, svolgendo, per conto del soggetto NIS, le attività di registrazione e interazione con l’Autorità. Le sue funzioni possono essere ricoperte dal rappresentante legale del soggetto NIS, da un procuratore generale o da un dipendente specificamente delegato dal rappresentante legale. In casi particolari, queste funzioni possono essere affidate a personale appartenente a un’altra impresa del medesimo gruppo o, nel caso di pubbliche amministrazioni, a un dipendente di altra amministrazione rientrante nell’ambito di applicazione del Decreto NIS.
L’Articolo 4 chiarisce che il punto di contatto riferisce direttamente agli organi di amministrazione e direzione del soggetto NIS, contribuendo così a garantire la conformità normativa e la tempestività degli adempimenti. È altresì previsto che la designazione del punto di contatto possa soddisfare gli obblighi di nomina e comunicazione del referente per la cybersicurezza, come stabilito dall’Articolo 8, comma 2, della Legge n. 90/2024.
Di particolare rilievo è la responsabilità del punto di contatto per le comunicazioni con l’Autorità, che devono essere complete, corrette e conformi alle disposizioni normative. Gli organi di amministrazione del soggetto NIS restano comunque responsabili, ai sensi dell’Articolo 23 del Decreto NIS, delle eventuali violazioni, incluse quelle relative a dichiarazioni mendaci o omissioni di dati, punibili ai sensi dell’Articolo 38 del Decreto NIS.
La centralità del punto di contatto nel processo di registrazione sulla piattaforma NIS evidenzia la necessità di una selezione accurata e di un’attenta pianificazione delle attività delegate a tale figura, che rappresenta il fulcro operativo delle interazioni con l’Autorità nazionale competente.
Censimento degli utenti: primo passo per la registrazione sulla piattaforma NIS
Il processo di censimento degli utenti, disciplinato dall’Articolo 6 della Determinazione del Direttore Generale dell’ACN, costituisce il primo passaggio obbligatorio per accedere al Portale ACN e completare la registrazione sulla piattaforma NIS. Tale procedura, che si svolgerà dal 1° dicembre 2024 al 28 febbraio 2025, richiede agli utenti designati come punti di contatto di autenticarsi mediante le credenziali personali del Sistema Pubblico di Identità Digitale (SPID).
Nel corso del censimento, gli utenti sono tenuti a fornire un set di informazioni anagrafiche specifiche, salvo quelle già condivise attraverso SPID. Tali dati includono, tra gli altri, nome, cognome, codice fiscale, cittadinanza, indirizzo di residenza e recapiti elettronici e telefonici. L’accuratezza e la completezza di queste informazioni sono essenziali per garantire il corretto funzionamento del sistema e per assicurare l’associazione univoca tra l’utente e il soggetto NIS designante.
In casi eccezionali, qualora un utente non disponga di credenziali SPID, è prevista la possibilità di autenticazione mediante credenziali personali alternative, secondo una procedura specifica pubblicata nella sezione dedicata del sito web dell’Agenzia per la Cybersicurezza Nazionale. In tali circostanze, l’utente deve fornire un codice di identificazione nazionale in sostituzione del codice fiscale, in conformità alle normative vigenti.
L’Articolo 6 evidenzia l’importanza di questo passaggio iniziale nel quadro della registrazione sulla piattaforma NIS, poiché il censimento non solo consente agli utenti di accedere ai Servizi NIS, ma rappresenta anche la base per il successivo processo di associazione tra l’utente e il soggetto NIS. La mancanza o l’incompletezza delle informazioni richieste può pregiudicare la validità della registrazione e comportare ritardi o sanzioni.
Il censimento si configura dunque come uno step fondamentale per tutti i soggetti obbligati, chiamati a garantire la massima attenzione e accuratezza nella trasmissione dei dati. Attraverso questa procedura, l’Agenzia per la Cybersicurezza Nazionale intende costruire un sistema di interazione sicuro ed efficace, che favorisca la compliance e rafforzi la resilienza cibernetica nazionale.
Associazione dell’utenza del punto di contatto al soggetto NIS
Il processo di associazione dell’utenza del punto di contatto al soggetto NIS, regolato dall’Articolo 7 della Determinazione, servirà a completare la registrazione sulla piattaforma NIS. Questo procedimento garantisce che ogni punto di contatto sia correttamente associato al soggetto NIS designante, assicurando così la validità delle attività svolte tramite il Portale ACN.
Il punto di contatto, già censito sul Portale ACN, deve procedere all’associazione della propria utenza utilizzando il codice fiscale del soggetto NIS o il codice dell’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA). Solo le utenze dei punti di contatto, debitamente designate e riconosciute, possono essere associate ai soggetti NIS, a tutela dell’integrità e dell’affidabilità del sistema.
Durante l’associazione, il punto di contatto verifica la correttezza dei dati visualizzati sul Portale, tra cui la denominazione del soggetto, l’indirizzo della sede legale e il domicilio digitale. Inoltre, è tenuto a dichiarare la propria qualifica rispetto al soggetto designante, specificando se è rappresentante legale, procuratore generale o delegato dallo stesso rappresentante legale. Qualora il punto di contatto agisca in qualità di delegato, è obbligato a caricare sul Portale una delega formale, attestante la propria autorizzazione ad accedere ai Servizi NIS per conto del soggetto.
Il completamento dell’associazione richiede la convalida da parte del soggetto NIS, che riceve una notifica al proprio domicilio digitale per approvare la richiesta. Una volta confermato il processo, l’Autorità trasmette una comunicazione ufficiale al domicilio digitale del soggetto, attestando la conclusione positiva dell’associazione.
Registrazione sulla piattaforma NIS: un obbligo per i soggetti NIS
Il momento centrale del processo di registrazione sulla piattaforma NIS è rappresentato dalla compilazione della dichiarazione da parte del punto di contatto, come previsto dall’Articolo 8 della Determinazione. Questa fase, che si svolge sempre dal 1° dicembre 2024 al 28 febbraio 2025, richiede un impegno accurato da parte dei soggetti NIS per garantire la correttezza e la completezza delle informazioni fornite.
Il punto di contatto, accedendo al Servizio NIS/Registrazione tramite il Portale ACN, deve compilare una dichiarazione che includa dati fondamentali riguardanti il soggetto NIS designante. Tra questi, la conferma della natura autonoma o meno del soggetto, l’indicazione di eventuali gruppi di imprese di appartenenza e la descrizione delle attività svolte attraverso i codici ATECO.
È inoltre richiesto di specificare le normative settoriali applicabili, i valori del fatturato, il bilancio e il numero di dipendenti, al fine di determinare l’appartenenza del soggetto alla categoria delle medie o grandi imprese.
Nel caso in cui il soggetto faccia parte di un gruppo di imprese, il punto di contatto deve elencare tutte le imprese collegate che soddisfano i criteri indicati dal Decreto NIS, riportando i codici fiscali e i relativi parametri di collegamento. Questa attività consente all’Autorità nazionale competente NIS di identificare con precisione i soggetti che ricadono sotto la normativa, rafforzando così il controllo del perimetro cibernetico nazionale.
L’Articolo 8 stabilisce che, al termine della compilazione, il sistema effettui una valutazione preliminare automatica delle informazioni inserite. Qualora vengano rilevate incongruenze, il punto di contatto è chiamato a correggere i dati o a fornire ulteriori elementi giustificativi. Una copia della dichiarazione è inviata al domicilio digitale del soggetto, accompagnata dall’avvertenza che potrà essere sottoposta a verifiche successive di coerenza, ai sensi dell’Articolo 11 della Determinazione.
Verifiche di coerenza nella registrazione sulla piattaforma NIS
Le verifiche di coerenza garantiranno l’affidabilità e la correttezza delle informazioni trasmesse nel processo di registrazione sulla piattaforma NIS, come disciplinato dall’Articolo 11 della Determinazione. Tali verifiche, condotte a campione dall’Autorità nazionale competente NIS in collaborazione con le Autorità di settore, assicurano che i dati forniti dai soggetti NIS siano conformi alle disposizioni normative.
Durante il controllo, l’Autorità nazionale competente verifica la coerenza delle dichiarazioni rispetto ai criteri previsti dal Decreto NIS e dai documenti trasmessi. In caso di esito positivo, il soggetto NIS riceve una comunicazione ufficiale tramite il Servizio NIS che conferma la validità della registrazione. Al contrario, un esito negativo non solleva il soggetto dall’obbligo di completare la registrazione, che deve essere nuovamente corretta e presentata.
L’Articolo 11 prevede che l’Autorità nazionale competente comunichi i risultati delle verifiche entro un termine massimo di trenta giorni dalla presentazione della dichiarazione.
Qualora siano necessari approfondimenti particolarmente complessi, il termine può essere prorogato una sola volta per ulteriori venti giorni. Se l’Autorità rileva incongruenze o incompletezze nelle informazioni, invita il soggetto a fornire integrazioni o correzioni entro dieci giorni. Il mancato riscontro entro il termine stabilito può comportare il rigetto della dichiarazione.
Il rigore delle verifiche di coerenza evidenzia l’importanza di un’accurata compilazione della dichiarazione durante il processo di registrazione sulla piattaforma NIS. Qualunque errore o dichiarazione mendace, oltre a invalidare temporaneamente la registrazione, potrebbe esporre il soggetto a responsabilità ai sensi dell’Articolo 76 del D.P.R. n. 445/2000. Questo sottolinea l’esigenza di una gestione attenta e responsabile da parte dei punti di contatto e degli organi amministrativi dei soggetti NIS.
Elaborazione dell’elenco dei soggetti NIS: fase conclusiva della registrazione sulla piattaforma NIS
La registrazione sulla piattaforma NIS culmina con l’elaborazione dell’elenco ufficiale dei soggetti NIS da parte dell’Autorità nazionale competente NIS, come stabilito dall’Articolo 12 della Determinazione. Questo elenco rappresenta uno strumento fondamentale per il monitoraggio e la gestione dei soggetti che operano all’interno del perimetro cibernetico nazionale.
L’elenco è costituito sulla base delle informazioni trasmesse dai soggetti durante il processo di registrazione e sottoposte alle verifiche di coerenza previste dall’Articolo 11. Tale procedimento, definito come fase endoprocedimentale, assicura che i soggetti NIS siano identificati in modo preciso e conforme ai criteri stabiliti dal Decreto NIS. Al completamento del processo, l’Autorità comunica ai soggetti l’inserimento, o meno, nell’elenco ufficiale, trasmettendo una notifica al domicilio digitale del punto di contatto.
Ai soggetti inseriti nell’elenco è inoltre assegnato un codice identificativo univoco, sia per il soggetto sia per il punto di contatto. Questo codice facilita le interlocuzioni con l’Autorità nazionale competente, rendendo più efficienti le comunicazioni e garantendo una gestione sicura e strutturata delle informazioni.
L’elaborazione dell’elenco non si limita a un semplice adempimento amministrativo, ma costituisce un passo strategico per rafforzare la sicurezza cibernetica nazionale. Attraverso l’identificazione e la registrazione dei soggetti NIS, l’Agenzia per la Cybersicurezza Nazionale è in grado di monitorare in modo sistematico le infrastrutture critiche e di assicurare la resilienza dei servizi essenziali.
L’Articolo 12 sottolinea inoltre il valore del codice identificativo univoco, che non solo garantisce un riconoscimento certo del soggetto nell’ambito della piattaforma, ma contribuisce anche a migliorare la tracciabilità e la trasparenza delle comunicazioni. Questo processo consolida il ruolo della piattaforma NIS come strumento essenziale per la gestione della cybersicurezza, rendendo l’elenco dei soggetti NIS un elemento cardine del sistema.
Conclusioni sulla registrazione sulla piattaforma NIS di ACN
La registrazione sulla piattaforma NIS costituisce un adempimento essenziale per i soggetti pubblici e privati che rientrano nell’ambito di applicazione del Decreto NIS. Questo processo, articolato in fasi ben definite e supportato dalla regolamentazione della Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, non solo garantisce la conformità normativa, ma rappresenta anche un pilastro fondamentale per la resilienza e la sicurezza cibernetica a livello nazionale ed europeo.
Il percorso di registrazione, che inizia con il censimento e si conclude con l’inclusione nell’elenco ufficiale dei soggetti NIS, richiede un’attenta pianificazione e una gestione accurata da parte dei soggetti obbligati. Per assicurare il rispetto delle scadenze previste e la correttezza delle informazioni da inserire, gli operatori possono avvalersi di un supporto legale qualificato.
Lo Studio Legale D’Agostino, grazie alla consolidata esperienza in materia di cybersicurezza e corporate compliance, offre un’assistenza personalizzata per accompagnare imprese e pubbliche amministrazioni nel rispetto degli obblighi previsti dal Decreto NIS. In particolare, siamo a disposizione per supportare i soggetti obbligati nella gestione dell’intero processo di registrazione sulla piattaforma NIS, garantendo un’assistenza completa che include l’identificazione dei requisiti, la verifica delle informazioni e la gestione delle interlocuzioni con l’Agenzia per la Cybersicurezza Nazionale.
Per ulteriori informazioni o per richiedere una consulenza dedicata per la registrazione sulla piattaforma NIS, invitiamo imprese e amministrazioni a contattarci, senza impegno.
Scarica qui la Determina del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale del 26 novembre 2024 in tema di registrazione sulla piattaforma NIS.