NIS2: sanzioni per chi non si registra entro il 28 febbraio 2025

Con l'obiettivo di armonizzare le misure e gli approcci negli Stati membri per far fronte agli attacchi informatici, la direttiva NIS2, aggiornamento della precedente NIS (Network and Information Security), ha introdotto nuove regole a livello UE in materia di sicurezza informatica.

Recepita in Italia con il D.Lgs. 138/2024, la direttiva prevede quindi, anche per il nostro Paese, una serie di obblighi per le organizzazioni pubbliche e private che operano in settori considerati essenziali, come ad esempio energia, trasporti, sanità e servizi digitali. Queste realtà devono rispettare requisiti che vanno, tra gli altri, dalla governance della sicurezza informatica all'adozione di misure per la gestione dei rischi (inclusa la sicurezza della supply chain), dalla gestione della continuità operativa alla segnalazione degli incidenti. Primo obbligo da rispettare è la registrazione sul portale dedicato fornito da ACN, l'Agenzia per la Cybersicurezza Nazionale, l'autorità competente NIS in Italia. Ma c'è una scadenza da tenere d'occhio: il 28 febbraio 2025 è infatti l'ultimo giorno utile per completare la registrazione obbligatoria, con il rischio di severe sanzioni per chi non rispetterà il termine.

La registrazione sul portale ACN

L'art. 7 D.Lgs. 138/2024 indica che la piattaforma messa a disposizione da ACN funge da mezzo operativo per la raccolta, verifica e gestione delle informazioni necessarie da parte dell'autorità nazionale, garantendo in questo modo il rispetto degli obblighi normativi da parte degli operatori coinvolti e trasparenza nei procedimenti.

Come agire? Prima di registrarsi, occorre designare il cosiddetto “punto di contatto”, ovvero il soggetto chiamato a curare l'attuazione delle disposizioni normative per conto dell'organizzazione, dalla registrazione alle interlocuzioni con l'autorità competente. Il punto di contatto si deve censire autenticandosi al portale ACN attraverso lo SPID personale e si deve associare all'organizzazione inserendo il codice fiscale o il codice IPA (Indice delle Pubbliche Amministrazioni). Durante l'associazione, il punto di contatto deve controllare la correttezza delle informazioni visualizzate sul portale, quali la denominazione del soggetto NIS, indirizzo della sede legale e domicilio digitale. Va inoltre specificata la qualifica del punto di contatto rispetto al soggetto designante e bisogna indicare se lo stesso agisce come rappresentante legale, procuratore generale o delegato dal rappresentante legale. L'ACN utilizza queste informazioni per verificare l'identità dell'utente e garantirne l'idoneità a rappresentare il soggetto NIS. Dati incompleti o poco accurati possono invalidare la registrazione, causando ritardi operativi o persino sanzioni.

L'organizzazione riceverà poi dall'Agenzia per la Cybersicurezza Nazionale una PEC al domicilio digitale per convalidare il censimento, procedura mirata ad assicurare che le attività svolte sul portale ACN siano da parte di figure autorizzate. In questo passaggio, il punto di contatto dovrà compilare una dichiarazione dettagliata con i dati dell'organizzazione relativi al contesto, alla caratterizzazione e alle tipologie di soggetto, nonché effettuare l'autovalutazione dell'organizzazione quale soggetto essenziale, importante o fuori ambito del perimetro di sicurezza. Infine, prima di trasmettere la registrazione, il punto di contatto dovrà ancora una volta verificare e confermare tutte le informazioni inserite. Entro aprile 2025, ACN comunicherà al domicilio digitale di tutti i soggetti registrati se rientrano o meno nell'elenco dei soggetti NIS.

La mancata registrazione

In caso di mancata o tardiva registrazione di cui all'art. 7, si applica la sanzione prevista per la violazione più grave aumentata fino al triplo. Nella fattispecie, per i soggetti essenziali - quindi ad esempio entità che superano i massimali per le medie imprese (ovvero aziende con più di 250 dipendenti, fatturato annuo superiore a 50 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro), fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico, prestatori di servizi fiduciari qualificati - si prevedono sanzioni amministrative pecuniarie fino a un massimo dello  0,1% del totale del fatturato annuo su scala mondiale per l'esercizio precedente del  soggetto.

Per i  soggetti  importanti - ovvero entità che non rientrano nella categoria dei soggetti essenziali, ma operano in determinati settori (ad esempio, fornitori di servizi TIC, settore postale e corrieri, fornitura e gestione dei rifiuti, amministrazioni pubbliche regionali o locali) oppure entità che superano i massimali per le piccole imprese (aziende con più di 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro) – si applicano sanzioni  amministrative pecuniarie fino a un massimo dello 0,07%  del  totale  del  fatturato annuo su scala mondiale per l'esercizio precedente del soggetto.

Per le pubbliche amministrazioni (indicate nell'allegato III, nonché per i soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all'art. 40 c. 4 che sono soggetti essenziali), sono comminate sanzioni amministrative pecuniarie da 10.000 a 50.000 euro.

La clausola di salvaguardia

Da segnalare che, lo scorso 10 febbraio 2025, è stato pubblicato il DPCM n. 221 del 9 dicembre 2024, con il quale si stabiliscono i criteri per l'applicazione della “clausola di salvaguardia”, di cui all'art. 3 c. 4 D.Lgs. 138/2024, che determina quali soggetti sono esentati dagli obblighi della NIS2. Secondo l'art. 3 DPCM, la richiesta di applicazione della clausola di salvaguardia può essere accolta qualora il soggetto dichiari congiuntamente:

- la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate, nel senso che i sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo;

- la totale indipendenza delle proprie attività e servizi NIS da quelli delle imprese collegate, nel senso che le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all'erogazione dei servizi NIS del soggetto medesimo.

Il soggetto che ritiene di rientrare nei criteri di cui all'art. 3  formula la richiesta in sede di registrazione nella piattaforma digitale fornita da ACN. L'autorità nazionale darà riscontro, sempre tramite la piattaforma, con la comunicazione prevista dall'art. 7 del decreto NIS.