Mancano pochi giorni al 28 febbraio, termine ultimo per la registrazione sul Portale ACN (Agenzia per la Cybersicurezza Nazionale) da parte dei soggetti che rientrano nel campo di applicazione del Decreto legislativo del 04/09/2024 n. 138 – o decreto Nis.

Diversi sono i settori e sottosettori di business coinvolti nello specifico adempimento e un ritardo o, peggio, la mancata registrazione potrebbe essere sanzionata con un’ammenda che può aggirarsi fino a un massimo dello 0,07 – 0,1% del fatturato annuo.

Per evitare questa multa le aziende dovrebbero valutare attentamente la propria posizione rispetto al Decreto NIS e, se necessario, procedere tempestivamente alla registrazione.

Chi sono i soggetti NIS che devono obbligatoriamente registrarsi sul portale ACN entro il 28/02/2025?

Per determinare se un’organizzazione pubblica o privata debba registrarsi, come primo criterio occorre definire con precisione il perimetro di applicazione del Decreto Nis, i cui requisiti sono elencati nell’art. 3 del Decreto stesso.

In particolare, rientrano nell’ambito di applicazione tutti quei soggetti che si ritrovano tra i settori di business presenti:

  • negli allegati I e II del Decreto NIS: soggetti pubblici e privati appartenenti alle tipologie elencate negli allegati I (settori altamente critici) e II (altri settori critici) che superano i massimali per le piccole imprese (ovvero sono almeno medie imprese) ai sensi dell’art. 2, paragrafo 2, dell’allegato alla Raccomandazione 2003/361/CE. Per dettagli sui settori e sottosettori definiti dagli articoli, scarica il pdf “Dettaglio Ambiti di applicazione”;

Dettaglio Ambiti di applicazione_PDF

  • nell’allegato III: Pubbliche amministrazioni quali Amministrazioni centrali, regionali, locali e di altro tipo;

  • nell’allegato IV: ulteriori tipologie quali Soggetti che forniscono servizi di trasporto pubblico locale, Istituti di istruzione che svolgono attività di ricerca, Soggetti che svolgono attività di interesse culturale, Società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175.

Inoltre, tra i Soggetti critici, indipendentemente dalle dimensioni – ovvero anche micro e piccole imprese –, rientrano tutti quei soggetti identificati come critici ai sensi del D.lgs. 134/2024 (Decreto legislativo che recepisce la Direttiva CER), i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, i prestatori di servizi fiduciari, i gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema o di registrazione dei nomi di dominio.

Rientrano tra i soggetti critici anche le imprese associate o collegate a un soggetto essenziale o importante, se soddisfano almeno uno dei seguenti criteri:

  • adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;

  • detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
  • effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
  • forniscono servizi delle tecnologie dell’informazione e della comunicazione o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Al fine di determinare la riconducibilità alle tipologie di soggetto di cui agli allegati I e II, è necessario tenere in considerazione le attività e/o i servizi che l’organizzazione svolge/eroga effettivamente allo stato attuale in relazione alla registrazione.

Chi sono i Soggetti Essenziali e Importanti?

Dopo aver definito il perimetro di applicazione del Decreto NIS, è fondamentale che ciascun soggetto valuti la propria appartenenza a una delle due categorie previste: Essenziali o Importanti.

Tale classificazione, definita dall’articolo 6 del Decreto NIS, è basata sul livello di criticità intrinseca dei settori e delle tipologie di soggetti rispetto al rischio informatico.

La distinzione tra Soggetti Essenziali e Importanti è cruciale per l’applicazione proporzionata degli obblighi previsti dal Decreto NIS e per l’esercizio dei poteri di vigilanza, ispettivi e sanzionatori dell’ACN (Agenzia per la Cybersicurezza Nazionale).

Sono considerati soggetti Essenziali:

  • i soggetti di cui all’allegato I che superano i massimali per le medie imprese, come definiti all’art. 2, par. 1, dell’allegato alla Raccomandazione 2003/361/CE.

  • indipendentemente dalle dimensioni, i soggetti identificati come critici ai sensi del D.lgs. del 04/09/2024, n. 134 di recepimento della Direttiva (UE) 2022/2557 (Direttiva CER);
  • i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico di cui all’art. 3, c. 1, lettera b) del Decreto NIS, che sono considerati almeno medie imprese ai sensi dell’art. 2 dell’allegato alla Raccomandazione 2003/361/CE;
  • indipendentemente dalle dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio di cui all’art. 3, c. 5, lettere c) e d) del Decreto NIS;
  • indipendentemente dalle dimensioni, le pubbliche amministrazioni centrali di cui all’allegato III, lettera a;
  • i soggetti eventualmente individuati dall’Autorità competente NIS, previa specifica notifica di identificazione.
Tutti gli altri soggetti che rientrano nell’ambito di applicazione del Decreto NIS e che non sono classificati come Essenziali sono considerati Importanti.

Come possiamo aiutarti

Soluzioni, in collaborazione con Moti-F e T-Consulting, ha sviluppato un apposito servizio integrato Cybergo per offrire supporto alle aziende nell’individuare la propria posizione rispetto al Decreto Nis e, in caso di rientro nel campo di applicazione, accompagnare il Soggetto obbligato nella compilazione della dichiarazione per la registrazione al Portale ACN e per i successivi adempimenti.

Vuoi sapere se la tua azienda rientra tra i soggetti NIS?

Compila il modulo per fissare una riunione in videoconferenza con i nostri consulenti per ogni eventuale chiarimento e approfondimento in merito allo specifico adempimento in vista della scadenza di fine febbraio 2025.

Ricorda di prestare il consenso per essere sempre aggiornato sulle novità normative e ricevere gli inviti ai nostri eventi gratuiti!

    (*) per i campi contrassegnati da * la compilazione è obbligatoria.

    Ho letto l’Informativa sulla Privacy e la Privacy Policy e autorizzo il trattamento dei miei dati personali per le finalità descritte al paragrafo “Esecuzione di attività richieste dall’interessato” dell’Informativa
    [la mancata autorizzazione al trattamento comporta l’impossibilità di svolgere le attività richieste]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione di documentazione tecnico-informativa” dell’Informativa
    [il mancato consenso impedisce l’invio di documentazione tecnica e di contenuti di aggiornamento tecnico]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione iniziative di informazione tecnica, pubblicitaria e promozionale” dell’Informativa
    [il mancato consenso impedisce l’aggiornamento in merito ai nostri servizi, l’invito a nostri eventi gratuiti e la partecipazione a nostre iniziative a condizioni riservate]