Cybersecurity

Registrazione Portale ACN: Guida completa per soggetti NIS2

foto di Daniele Sorgente
AUTORE: Daniele Sorgente
d.sorgente@studiolegally.com
icona di linkedin

Registrazione Portale ACN NIS2: Guida completa

Tutto ciò che devi sapere per adempiere agli obblighi della Direttiva UE 2022/2555 entro le scadenze previste

Schermata REGISTRAZIONE portale ACN

 

Con l’entrata in vigore del Decreto Legislativo 138/2024, migliaia di aziende italiane devono registrarsi obbligatoriamente sul portale ACN. Questa guida spiega chi è obbligato alla registrazione, fornisce le scadenze dettagliate e indica la procedura passo-passo per la registrazione al portale ACN.

 

Indice dell’articolo

  1. Obblighi di registrazione
  2. Scadenze
  3. Procedura di registrazione
  4. Sanzioni
  5. FAQ tecniche

 

Chi deve registrarsi al portale ACN

È fondamentale che il processo di iscrizione al portale ACN sia gestito da una persona fisica con adeguati poteri di rappresentanza, come un legale rappresentante o un procuratore generale.

La registrazione è obbligatoria per:

  • Soggetti essenziali e importanti: imprese operanti in settori critici definiti negli allegati del D.Lgs. 138/2024. (es. operatori dei settori di energia e trasporti)

  • Imprese collegate: aziende che influenzano o supportano la sicurezza cibernetica dei soggetti essenziali e importanti. (es. fornitori di servizi cloud computing)

  • Pubbliche amministrazioni: Operanti in comuni con oltre 100.000 abitanti.

Cosa si intende con “imprese collegate”?

Il termine “società collegate” si riferisce a imprese che, pur essendo micro o piccole, svolgono attività in settori critici e sono legate a un gruppo di dimensioni superiori. Questa connessione implica che, nonostante le dimensioni ridotte, tali imprese rientrano nel perimetro della direttiva a causa dell’influenza esercitata dal gruppo di appartenenza.

È importante notare che la Direttiva NIS2 estende i suoi obblighi non solo alle grandi imprese, ma anche alle micro e piccole imprese collegate a gruppi più grandi, soprattutto se operano in settori critici. Questa estensione mira a garantire che l’intera catena di fornitura e le infrastrutture critiche siano protette da potenziali minacce cibernetiche, indipendentemente dalle dimensioni individuali delle imprese coinvolte.

Pertanto, le “società collegate” sono quelle imprese che, attraverso legami con gruppi più grandi, assumono un ruolo significativo nella sicurezza delle reti e dei sistemi informativi, rendendo necessaria la loro conformità agli standard stabiliti dalla Direttiva NIS2.

 

Quando è la scadenza per la registrazione ACN?

L’obbligo di registrazione sul portale ACN per i soggetti NIS2 è scattato il 1° dicembre 2024 e deve essere completato entro il 28 febbraio 2025. Il mancato rispetto di questa scadenza può comportare sanzioni significative per le organizzazioni inadempienti.

Tempistiche chiave

  • ▶ 1° dicembre 2024: Apertura portale
  • ▶ 17 gennaio 2025: Scadenza fornitori digitali
  • ▶ 28 febbraio 2025: Termine ultimo generale

 

  • Entro metà maggio 2025 → Le aziende soggette alla normativa devono comunicare le proprie informazioni e aggiornarle tempestivamente (entro 14 giorni in caso di modifiche).
  • Entro gennaio 2026 → Entro 9 mesi dalla notifica di inserimento nell’elenco NIS, devono rispettare gli obblighi di base per la segnalazione degli incidenti.
  • Entro ottobre 2026 → Entro 18 mesi dalla notifica di inserimento nell’elenco NIS, devono adeguarsi agli obblighi minimi di sicurezza informatica.

 

Come fare la registrazione al portale ACN

Dal punto di vista operativo, la procedura di registrazione della tua organizzazione al portale ACN, accessibile tramite questo link, deve essere completata da una persona fisica con i necessari poteri di rappresentanza. L’accesso al portale avviene tramite SPID o CIE e dovrebbe essere gestito direttamente dal legale rappresentante o da un procuratore generale.

In alternativa, è possibile delegare un altro soggetto, caricando la relativa documentazione direttamente sul portale. Il processo di registrazione si articola in tre fasi principali:

 

Fase 1: Censimento del punto di contatto

In questa fase, è necessario fornire i seguenti dati del punto di contatto:

  • Nome e cognome
  • Luogo e data di nascita
  • Codice fiscale
  • Cittadinanza
  • Paese di residenza e, se richiesto, di domicilio
  • Indirizzo email ordinario, preferibilmente individuale e professionale
  • Indirizzo PEC, se disponibile
  • Numero di telefono, preferibilmente individuale e professionale
  • Numero di telefono alternativo, se disponibile

Questi dati sono fondamentali per identificare correttamente il punto di contatto all’interno dell’organizzazione.

 

Fase 2: Associazione del punto di contatto al Soggetto NIS2

Dopo il censimento, il punto di contatto deve essere associato al soggetto NIS. Utilizza il codice fiscale (per soggetti pubblici e privati) o il codice IPA (per pubbliche amministrazioni) per collegare il punto di contatto all’organizzazione. Se il punto di contatto non è il rappresentante legale o un procuratore generale registrato nel registro delle imprese, è necessario caricare un titolo giuridico che lo autorizzi ad operare per conto dell’organizzazione.

 

Fase 3: Compilazione della dichiarazione

Nell’ultima fase, si procede alla compilazione della dichiarazione, che richiede:

  • Elenco dei codici ATECO relativi alle attività svolte e ai servizi erogati dall’organizzazione, con particolare riferimento all’ambito di applicazione della Direttiva NIS2.

  • Eventuali normative europee settoriali applicabili all’organizzazione.
  • Tipologie di soggetti a cui l’organizzazione è riconducibile, come specificato negli allegati I, II, III e IV del decreto NIS.

È essenziale assicurarsi che tutte le informazioni fornite siano accurate e complete per garantire la conformità alla normativa vigente.

 

Quali sanzioni sono previste dalla NIS2?

La Direttiva NIS2 introduce un regime sanzionatorio rigoroso per garantire la sicurezza delle reti e dei sistemi informativi. Le sanzioni variano in base alla classificazione dell’entità e alla gravità delle violazioni:

Sanzioni per le entità essenziali:

  • Multe fino a 10 milioni di euro o al 2% del fatturato globale annuo totale dell’esercizio precedente, scegliendo l’importo più elevato.

Sanzioni per le entità importanti:

  • Multe fino a 7 milioni di euro o all’1,4% del fatturato globale annuo totale dell’esercizio precedente, scegliendo l’importo più elevato.

Sanzioni per i dirigenti:

  • La direttiva prevede sanzioni accessorie che possono includere la sospensione temporanea dalle funzioni dirigenziali per i responsabili che non adempiono agli obblighi di sicurezza informatica.

Altre sanzioni:

  • In caso di mancata registrazione, comunicazione o aggiornamento delle informazioni richieste dall’Agenzia per la Cybersicurezza Nazionale (ACN), possono essere comminate sanzioni amministrative pecuniarie fino allo 0,1% del fatturato annuo globale dell’organizzazione.

È fondamentale che le organizzazioni interessate si adeguino tempestivamente agli obblighi previsti dalla Direttiva NIS2 per evitare tali sanzioni e garantire la sicurezza delle proprie infrastrutture digitali.

 

FAQ Registrazione ACN

Chi deve registrarsi al portale ACN?
La registrazione è obbligatoria per soggetti essenziali e importanti operanti in settori critici, imprese collegate che supportano la sicurezza cibernetica e pubbliche amministrazioni di grandi dimensioni o strategiche.
Quando è obbligatoria la registrazione?
L’obbligo di registrazione è iniziato il 1° dicembre 2024 e deve essere completato entro il 28 febbraio 2025.
Devo fare l’autovalutazione per la NIS2?
Oltre ai soggetti essenziali e importanti, anche le imprese collegate e le pubbliche amministrazioni rilevanti devono partecipare al processo di autovalutazione per garantire la sicurezza cibernetica.
Cosa significa la sigla ACN?
ACN è l’Agenzia per la Cybersicurezza Nazionale
Cos’è la clausola di salvaguardia?

La clausola di salvaguardia prevista dalla Direttiva NIS2 consente a determinate imprese di essere esentate dagli obblighi imposti dalla normativa sulla cybersicurezza, a condizione che soddisfino specifici criteri di indipendenza operativa.In particolare, il DPCM 9 dicembre 2024, n. 221, stabilisce che un’impresa può richiedere l’applicazione di questa clausola dichiarando:

– Indipendenza dei sistemi informativi e di rete: i propri sistemi non devono dipendere in alcun modo da quelli delle imprese collegate.
– Indipendenza delle attività e dei servizi: le proprie attività e servizi non devono essere influenzati o supportati dalle imprese collegate.

La richiesta di esenzione deve essere presentata durante la registrazione sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN), che fornirà riscontro attraverso lo stesso canale.

Questa clausola mira a garantire che gli obblighi di cybersicurezza siano proporzionati al reale rischio, evitando oneri eccessivi per imprese che, pur appartenendo a grandi gruppi, operano con un elevato grado di autonomia.

 

Hai bisogno di supporto per la NIS2?

Contattaci ora

Leggi gli altri articoli
Arbitro assicurativo: la nuova figura del 2025
SCOPRI DI PIÙ
Quando l’AI discrimina: il caso Amazon e le nuove regole europee
SCOPRI DI PIÙ
AI e Privacy. Come la sanzione ad OpenAI rivela i costi del GDPR.
SCOPRI DI PIÙ
AI e Privacy. Il GDPR rallenta l’innovazione? Il caso del Garante Privacy Italiano contro ChatGPT.
SCOPRI DI PIÙ
Il contratto d’appalto e le sue tipologie: l’appalto a corpo, l’appalto a misura e l’appalto a computo estimativo
SCOPRI DI PIÙ

Ti serve qualche informazione in più sull'articolo? Scrivici a info@studiolegally.com