top of page

CYBERSICUREZZA - Registrazione sul portale ACN: chi deve farlo e come

Immagine del redattore: CDSCDS
6 febTempo di lettura: 3 min


Dal primo dicembre 2024 è scattato l’obbligo di iscrizione sul Portale ACN (Agenzia per la Cybersicurezza Nazionale) per i soggetti NIS (Network Information Security) con l’obbiettivo di aumentare il livello di sicurezza delle reti e dei sistemi informativi dei Paesi membri dell’Unione Europea. Entro febbraio 2025 le organizzazioni dovranno completare l’iter con credenziali SPID e dati dettagliati, pena pesanti sanzioni.


Con il decreto legislativo 4 settembre 2024, n. 138 (decreto NIS2 - https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG), l’Italia ha recepito nell’ordinamento nazionale la direttiva (UE) 2022/2555 (direttiva NIS2 - https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555), relativa a misure per un livello comune elevato di sicurezza informatica nell'Unione abrogando la precedente direttiva (UE) 2016/1148 (direttiva NIS1). Rimangono tuttavia fermi gli obblighi in capo agli operatori di servizi essenziali (OSE) e ai fornitori di servizi digitali (FSD).

La normativa impone a soggetti pubblici e privati identificati come soggetti NIS, e appartenenti alle categorie definite negli allegati I, II, III e IV del D.Lgs. 138/2024, di completare la registrazione o aggiornare le informazioni già fornite tramite il Portale ACN (https://www.acn.gov.it/portale/nis) entro il 28 febbraio 2025. Nell’allegato I del decreto sono elencati i ‘settori ad alta criticità’, nell’allegato II gli ‘altri settori critici’, nell’allegato III le categorie di pubbliche amministrazioni e nell’allegato IV le ‘ulteriori tipologie di soggetti’ a cui si applica il decreto.

In particolare, ricadono nell’ambito di applicazione del decreto NIS2 i soggetti pubblici e privati che, ai sensi dell’articolo 3 del D.Lgs. 138/2024, soddisfano i seguenti criteri:

  • appartengono alle tipologie di cui agli allegati I e II e superano i massimali per le piccole imprese (ossia sono almeno medie imprese) ai sensi dell'articolo 2, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE relativa alla definizione delle microimprese, piccole e medie imprese;

  • indipendentemente dalle loro dimensioni (ovvero anche micro e piccole imprese) sono:

    • identificati come soggetti critici ai sensi del d.lgs. 134/2024 che recepisce la Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 (Direttiva CER – Resilience of Critical Entities);

    • fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico (allegato I);

    • prestatori di servizi fiduciari (allegato I);

    • gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio (allegato I);

    • fornitori di servizi di registrazione dei nomi di dominio (allegato II);

    • pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III;

    • imprese associate o collegate ad un soggetto essenziale o importante che soddisfano almeno uno dei seguenti criteri:

      • adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;

      • detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;

      • effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;

      • forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.


L’obiettivo principale della piattaforma è rafforzare il sistema nazionale di sicurezza cibernetica, agevolando un’interazione efficace tra i soggetti interessati e l’Agenzia per la Cybersicurezza Nazionale. Questo approccio mira a garantire trasparenza nei procedimenti amministrativi e a promuovere una maggiore responsabilità attraverso un controllo rigoroso delle informazioni comunicate.


È importante sottolineare che omissioni, errori o imprecisioni nella registrazione sulla piattaforma possono comportare pesanti sanzioni, come stabilito dall’Articolo 38 del D.Lgs. 138/2024. Pertanto, è fondamentale che le organizzazioni, sia pubbliche sia private, avviino tempestivamente il processo di registrazione, rispettando le modalità e le scadenze previste per assicurare la piena conformità alla normativa.


La procedura di registrazione si articola in tre passaggi principali, ciascuno con obiettivi specifici e requisiti dettagliati:

1.      Censimento degli utenti

2.      Associazione del punto di contatto al soggetto NIS

3.      La convalida da parte del soggetto NIS


La registrazione sulla piattaforma NIS culmina con la creazione dell’elenco ufficiale dei soggetti NIS da parte dell’Autorità Nazionale Competente. Questo elenco rappresenta uno strumento chiave per il monitoraggio e la gestione dei soggetti che operano all’interno del perimetro di cybersicurezza nazionale.


La CDS, in collaborazione con i suoi partner, è in grado di offrire una consulenza organizzativa necessaria all'ottemperamento di tutti gli adempimenti richiesti dalla normativa e resta a disposizione per ogni ulteriore chiarimento in merito.

 
 
 

Comentarios

bottom of page