Cybersecurity & Privacy

Direttiva NIS 2: Come Registrarsi e Rispettare le Scadenze in Italia

Scritto da Cristiano Pastorello | Feb 10, 2025 2:43:21 PM

La Direttiva NIS 2 introduce nuovi obblighi per la sicurezza delle reti e dei sistemi informativi. Uno degli aspetti fondamentali è la registrazione obbligatoria per le organizzazioni coinvolte. In Italia, la scadenza per completare la registrazione è fissata al 28 febbraio 2025, ma per evitare ritardi è necessario iniziare per tempo.

In questo articolo, vedremo in modo pratico e schematico chi deve registrarsi, quali sono i passaggi da seguire e come ottenere le credenziali necessarie.

 

Chi Deve Registrarsi?

L’obbligo di registrazione riguarda aziende ed enti pubblici o privati che operano in settori "critici", come:
  • Energia
  • Sanità
  • Trasporti
  • Infrastrutture digitali
  • Banche e servizi finanziari
  • Fornitura di acqua potabile e gestione dei rifiuti

Molte, ma non tutte le aziende sono soggette all’obbligo. La Direttiva si applica a quelle che superano i 50 dipendenti e hanno un fatturato o bilancio annuo superiore ai 10 milioni di euro. Ma attenzione: le organizzazioni che non rientrano direttamente negli allegati I e II della Direttiva potrebbero comunque essere notificate dall’Autorità competente e diventare soggette all’obbligo.

Se quello che desideri sono approfondimenti dettagliati con la guida alla registrazione, trovi qui un pdf gratuito da scaricare, con tutti i requisiti e la procedura di registrazione da seguire passo per passo.

 

La Designazione del Punto di Contatto

Un passaggio chiave della registrazione è la designazione del Punto di Contatto, la figura che gestirà l’attuazione del decreto NIS 2 e manterrà i rapporti con l’Agenzia per la Cybersicurezza Nazionale (ACN).

Chi può essere Punto di Contatto?

  • Il rappresentante legale dell’organizzazione
  • Un procuratore generale
  • Un dipendente delegato

Se si opta per un dipendente delegato, sarà necessario caricare un documento giuridico di delega, che può essere una delega specifica o un mandato più ampio.

Le pubbliche amministrazioni possono scegliere come Punto di Contatto un dipendente di un'altra PA rientrante nel decreto. Anche i gruppi di imprese possono designare un dipendente di un’altra azienda del gruppo.

 

Come Effettuare la Registrazione: I Passaggi Essenziali

Per completare la registrazione, bisogna seguire tre fasi:

1.Censimento del Punto di Contatto

  • Nome, cognome, data di nascita
  • Codice fiscale e cittadinanza
  • Indirizzo email e PEC
  • Numero di telefono

2.Associazione del Punto di Contatto al soggetto NIS

  • Codice fiscale dell’azienda/ente
  • Eventuale titolo giuridico di delega

3.Compilazione della Dichiarazione

  • Codici ATECO dell’attività
  • Normative europee applicabili
  • Numero di dipendenti e bilancio
  • Categoria di appartenenza (essenziale, importante, fuori ambito)

 

Accesso al Portale e Credenziali: Attenzione alle Tempistiche!

Per accedere al Portale dei Servizi ACN, il Punto di Contatto deve autenticarsi con:
SPID personale (Sistema Pubblico di Identità Digitale) o con credenziali personali (se non si dispone di SPID).

Scadenza importante: Se servono credenziali personali, è necessario richiederle entro il 20 febbraio 2025 inviando una PEC al portale ACN.


L’ACN verificherà la richiesta e invierà le credenziali o notificherà eventuali problemi.

 

Autovalutazione: Sei Soggetto alla Registrazione?

Prima di registrarsi, le organizzazioni private devono eseguire un’autovalutazione per verificare se rientrano negli obblighi del decreto.

Tre passaggi per l’autovalutazione:

1. Verifica della giurisdizione nazionale

  • L’organizzazione è stabilita in Italia?
  • Opera nel settore delle reti di comunicazione elettronica o fornisce servizi transfrontalieri?

2. Dimensione dell’organizzazione

  • È una micro o piccola impresa (<50 dipendenti, <10 milioni di fatturato)?
  • Se sì, potrebbe essere esente, salvo eccezioni.

3. Tipologia di attività

  • L’azienda opera in un settore critico?
  • Se sì, la registrazione è obbligatoria.

Se ci sono dubbi, l'approccio prudenziale è consigliabile: suggeriamo di registrarsi comunque per evitare problemi futuri.

 

Cosa Succede Dopo la Registrazione?

Una volta registrati, l’Agenzia per la Cybersicurezza Nazionale (ACN) analizzerà i dati forniti e, entro il 31 marzo 2025, notificherà l’esito. Possibili esiti:

  • Soggetto Essenziale
  • Soggetto Importante
  • Non soggetto (o Soggetto Fuori Ambito)

Ad aprile 2025, i soggetti registrati riceveranno una notifica ufficiale con la classificazione assegnata.

 

Preparati per tempo

Per garantire una registrazione senza intoppi, è fondamentale iniziare la procedura il prima possibile. Ecco cosa fare subito:

  1. Verificare se la propria organizzazione è soggetta all’obbligo
  2. Designare il Punto di Contatto
  3. Richiedere le credenziali di accesso al portale se necessario

Hai bisogno di supporto per la registrazione? Scarica la nostra guida gratuita  che trovi qui sotto e segui passo passo la procedura. Se la trovi complicata o hai altri tipi di dubbi da risolvere, prenota qui una Call con Cristiano per avere supporto.

 
Visualizza articolo completo