Tutto pronto per la formazione dell’elenco dei soggetti NIS?
Nell’ambito della prima fase attuativa del decreto legislativo 4 settembre 2024, n. 138, recante attuazione della Direttiva (UE) 2022/2555 (c.d. Direttiva NIS 2), l’Agenzia per la Cybersicurezza Nazionale ha avviato in questi giorni l’invio delle comunicazioni formali di inserimento nell’elenco dei soggetti NIS a favore delle organizzazioni che hanno completato la procedura di registrazione nei termini previsti.
Tale attività si inserisce in un percorso più ampio di definizione del perimetro applicativo della normativa nazionale in materia di cybersicurezza, ed è volta a notificare ufficialmente ai soggetti interessati la loro riconducibilità all’ambito soggettivo delineato dagli articoli 3 e 7 del decreto.
La comunicazione viene trasmessa tramite posta elettronica certificata e si fonda su una Determinazione del Direttore Generale dell’Agenzia, che ha accolto (o eventualmente modificato) le valutazioni preliminari rilasciate in fase di registrazione, anche previa consultazione con l’Autorità di settore competente.
L’inserimento nell’elenco dei soggetti NIS comporta per l’organizzazione l’obbligo di conformarsi a un articolato regime di adempimenti, tra cui l’adozione di misure tecniche e organizzative di sicurezza, la notifica degli incidenti e l’aggiornamento costante delle informazioni registrate presso il portale dei servizi ACN.
Sotto il profilo sostanziale, l’effetto principale della comunicazione consiste nell’attribuzione della qualifica di soggetto “essenziale” o “importante”, con l’ulteriore conseguenza dell’assoggettamento a vigilanza, ispezioni e responsabilità specifiche.
Tuttavia, la natura amministrativa del procedimento e il carattere unilaterale del provvedimento consentono alle organizzazioni di attivare, entro termini determinati, importanti strumenti di tutela dei propri interessi, soprattutto qualora sussistano dubbi o contestazioni circa la correttezza dell’inquadramento operato dall’Autorità. I paragrafi che seguono illustreranno i principali rimedi esperibili da parte dei soggetti destinatari della comunicazione di inserimento nell’elenco dei soggetti NIS.
La registrazione al portale e la fase preliminare dell’inserimento nell’elenco dei soggetti NIS
Ai sensi dell’articolo 7 del decreto legislativo 4 settembre 2024, n. 138, i soggetti pubblici e privati potenzialmente rientranti nell’ambito di applicazione della normativa in materia di cybersicurezza avevano l’onere di provvedere alla propria registrazione tramite l’apposita piattaforma digitale messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale.
Il termine ultimo per la trasmissione della dichiarazione di registrazione era stato fissato al 28 febbraio 2025, come indicato dal combinato disposto degli articoli 7 e 42 del decreto. Tale adempimento si configurava quale presupposto necessario per consentire all’ACN di avviare il procedimento di individuazione dei soggetti “essenziali” e “importanti” da includere nell’elenco dei soggetti NIS, sulla base di criteri normativi e valutazioni tecnico-settoriali.
La procedura di registrazione è avvenuta attraverso il Portale dei Servizi dell’Agenzia, accessibile all’indirizzo portale.acn.gov.it, mediante l’invio telematico di una dichiarazione strutturata secondo un modello predefinito.
All’interno della piattaforma, le organizzazioni hanno avuto modo non soltanto di fornire le informazioni richieste in modo standardizzato, ma anche di compilare un campo libero, espressamente previsto per permettere agli operatori di inserire eventuali elementi informativi integrativi ritenuti utili ai fini della corretta valutazione da parte dell’Autorità.
In particolare, molte organizzazioni hanno utilizzato tale spazio per segnalare circostanze rilevanti ai fini di una potenziale esclusione dall’ambito soggettivo della disciplina, come ad esempio la non appartenenza a settori critici, il mancato superamento delle soglie dimensionali previste o la mancata rilevanza in concreto dell’attività formalmente svolta.
L’inserimento nell’elenco dei soggetti NIS è dunque l’esito di una valutazione complessa, che si pone a valle di un procedimento amministrativo. I destinatari della comunicazione di ACN potrebbero ritenere necessario attivare i rimedi previsti dall’ordinamento, qualora ritengano che l’attribuzione della qualifica di soggetto NIS non rispecchi correttamente la propria posizione.
Accesso agli atti e diritto alla conoscenza della Determinazione di inserimento nell’elenco dei soggetti NIS
Il primo rimedio esperibile da parte dei soggetti che abbiano ricevuto la comunicazione di inserimento nell’elenco dei soggetti NIS consiste nella proposizione di un’istanza di accesso agli atti, ai sensi degli articoli 22 e seguenti della Legge 7 agosto 1990, n. 241, entro il termine di trenta giorni dalla ricezione della comunicazione trasmessa dall’Agenzia per la Cybersicurezza Nazionale.
L’istanza consente alla persona giuridica interessata di prendere visione e di estrarre copia dei documenti amministrativi che hanno condotto all’inserimento, tra cui in particolare la Determinazione del Direttore Generale dell’ACN che ha formalmente disposto l’iscrizione del soggetto come “essenziale” o “importante” nell’elenco previsto dall’articolo 7, comma 3, lettera a), del decreto legislativo 138/2024.
L’accesso è finalizzato alla conoscenza integrale del procedimento istruttorio, dei presupposti tecnici, dei pareri eventualmente acquisiti e delle valutazioni espresse dall’Autorità di settore, al fine di consentire al soggetto interessato una valutazione consapevole e tempestiva delle possibili iniziative difensive, sia in sede procedimentale che contenziosa.
In particolare, qualora la qualificazione disposta dall’ACN risulti divergente rispetto alla dichiarazione inizialmente resa in fase di registrazione, sarà utile verificare se la rivalutazione sia stata fondata su presupposti e motivazioni giuridicamente fondati.
L’istanza deve essere presentata nelle forme previste per i procedimento di accesso agli atti. Salvo che sia diversamente stabilito, l’amministrazione ha l’obbligo di concludere il procedimento entro trenta giorni, adottando un provvedimento espresso e motivato sull’accoglimento o il rigetto dell’istanza, ai sensi dell’articolo 25 della legge n. 241/1990.
In caso di diniego, espresso o tacito, il soggetto potrà ricorrere al giudice amministrativo secondo quanto previsto dall’articolo 116 del Codice del processo amministrativo, tutelando così il proprio diritto alla trasparenza e al contraddittorio effettivo nell’ambito dell’inserimento nell’elenco dei soggetti NIS.
Memoria integrativa nel procedimento di verifica ex post dell’inserimento nell’elenco dei soggetti NIS
Oltre al rimedio dell’accesso agli atti, le organizzazioni che abbiano ricevuto la comunicazione di inserimento nell’elenco dei soggetti NIS possono esercitare una forma di partecipazione procedimentale diretta mediante la presentazione, entro sessanta giorni dalla ricezione della comunicazione, di una memoria integrativa nell’ambito del procedimento di verifica ex post previsto dalla normativa.
Tale facoltà trova fondamento nel più generale principio di partecipazione procedimentale sancito dall’articolo 10 della Legge n. 241/1990. La memoria integrativa consente al soggetto interessato di apportare nuovi elementi valutativi, chiarimenti documentali o osservazioni giuridiche che possano incidere sulla conferma o sull’eventuale revisione della classificazione operata dall’Agenzia.
In particolare, la fase di verifica ex post si configura come una prosecuzione del procedimento amministrativo, nel corso della quale l’Agenzia per la Cybersicurezza Nazionale potrà riesaminare le determinazioni assunte alla luce di quanto rappresentato dalla parte. Ciò si rivela particolarmente rilevante nei casi in cui la valutazione inizialmente effettuata in sede di registrazione sia stata modificata senza un contraddittorio anticipato o su presupposti non conosciuti dall’organizzazione.
Di regola, la comunicazione ricevuta da ACN contiene l’indicazione dell’apertura della fase di verifica e invita espressamente le organizzazioni ad attivarsi mediante il Portale dei Servizi, entro il termine perentorio di sessanta giorni. È in tale sede che potrà essere trasmessa la memoria integrativa, corredata da eventuale documentazione tecnica o da pareri giuridici, in grado di dimostrare l’inapplicabilità della disciplina o l’erroneità dell’inquadramento come soggetto “essenziale” o “importante”.
La trasmissione della memoria, pur non sospendendo gli effetti della comunicazione di inserimento nell’elenco dei soggetti NIS, potrà consentire una rivalutazione della posizione dell’Agenzia.
Ricorso al TAR contro la comunicazione di inserimento nell’elenco dei soggetti NIS: termini e presupposti
Nel quadro dei rimedi esperibili da parte delle organizzazioni destinatarie della comunicazione di inserimento nell’elenco dei soggetti NIS, assume particolare rilievo la possibilità di proporre ricorso giurisdizionale dinanzi al Tribunale amministrativo regionale del Lazio, sede di Roma, ai sensi dell’articolo 29 del Codice del processo amministrativo.
Tale ricorso è proponibile entro il termine di sessanta giorni dalla ricezione della comunicazione adottata dall’Agenzia per la Cybersicurezza Nazionale, laddove sussistano fondati motivi di illegittimità del provvedimento impugnato.
Il ricorso al TAR rappresenta un’extrema ratio, e presuppone una prudente valutazione della fondatezza delle censure proponibili, alla luce sia della normativa vigente, sia delle risultanze documentali acquisite, in particolare a seguito di eventuale accesso agli atti.
A titolo esemplificativo, possono rilevare profili di difetto di motivazione, violazione del contraddittorio, errore nei presupposti di fatto, errata applicazione della normativa di settore o insussistenza dei criteri oggettivi di inclusione di cui agli Allegati I-IV del decreto.
È importante sottolineare che, nel sistema delineato dal decreto legislativo 138/2024, la comunicazione di inserimento nell’elenco dei soggetti NIS non costituisce una mera presa d’atto formale, bensì incide in modo significativo sul regime giuridico cui l’organizzazione sarà sottoposta, comportando obblighi di sicurezza, responsabilità, controlli e sanzioni.
Ne deriva la necessità, per il soggetto interessato, di considerare il contenzioso solo qualora si ravvisi un pregiudizio concreto e attuale, fondato su elementi oggettivi e sostenuto da una solida ricostruzione dei fatti e del diritto.
Assistenza legale specializzata nei procedimenti di inserimento nell’elenco dei soggetti NIS
L’inserimento nell’elenco dei soggetti NIS comporta per le organizzazioni interessate una profonda trasformazione nel proprio assetto regolatorio e operativo. L’attribuzione della qualifica di soggetto “essenziale” o “importante” incide direttamente sull’organizzazione interna, imponendo l’adozione di specifiche misure tecniche e organizzative, l’obbligo di notifica degli incidenti e la soggezione a controlli, ispezioni e regimi sanzionatori.
L’attivazione dei rimedi previsti dall’ordinamento – sia nella forma dell’accesso agli atti e della partecipazione procedimentale, sia attraverso un eventuale contenzioso giurisdizionale – richiede una competenza specifica e settoriale. Il nostro Studio offre assistenza qualificata a imprese e pubbliche amministrazioni tenute alla registrazione sul portale dei soggetti NIS; siamo a disposizione per un confronto preliminare sull’inserimento della vostra organizzazione nell’elenco dei soggetti NIS.