L'Agenzia per la Cybersecurity Nazionale (ACN) ha pubblicato la prima determina attuativa nell’ambito degli obblighi della direttiva NIS2, ovvero, degli obblighi previsti dal decreto legislativo   4 settembre 2024, n. 138 che recepisce la direttiva europea.

Dal primo dicembre 2024, i soggetti pubblici e privati che hanno l'obbligo di registrarsi potranno provvedere accedendo alla sito web istituzionale dell’Agenzia per la cybersicurezza nazionale (acn.gov.it).

 Ricordiamo che tra i c.d. "soggetti Nis"obbligati alla registrazione rientrano i soggetti che: 

-appartengono alle tipologie di cui agli allegati I e II e superano i massimali per le piccole imprese (ossia sono almeno medie imprese) ai sensi dell'articolo 2, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE;

-indipendentemente dalle loro dimensioni (ovvero anche micro e piccole imprese) sono:

o   identificati come soggetti critici ai sensi del d.lgs. 134/2024 che recepisce la Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 (Direttiva CER – Resilience of Critical Entities);

o   fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico (allegato I);

o   prestatori di servizi fiduciari (allegato I);

o   gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio (allegato I);

o   fornitori di servizi di registrazione dei nomi di dominio (allegato II);

o   pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III;

o   imprese associate o collegate ad un soggetto essenziale o importante che soddisfano almeno uno dei seguenti criteri:

?       adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;

?       detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;

?       effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;

?       forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Tali soggetti dovranno riconoscersi in base ai suddetti criteri, autoidentificarsi e manifestarsi all’Autorità nazionale competente NIS attraverso l’apposita registrazione sulla piattaforma digitale messa a disposizione da ACN (articolo 7, comma 1).

L’obbligo scatta dal 1° gennaio al 28 febbraio gia’del 2025, fatta eccezione per i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell'ambito di applicazione del decreto (v. FAQ 1.4), per i quali è previsto l’obbligo di registrazione entro il 17 gennaio 2025.

News archive