Il 18 ottobre scorso è entrato in vigore il D. Lgs. 138/2024 – che ha dato attuazione alla Direttiva Europea NIS 2 – finalizzato a garantire un livello elevato di cybersecurity in ambito nazionale.  

Diversi sono gli adempimenti richiesti dalla nuova normativa, da attuarsi secondo uno specifico calendario che ne regola le scadenze. Primo tra tutti la registrazione al Portale dei Servizi messo a disposizione dall’Agenzia per la Cybersicurezza Nazionale (“ACN”).

Il primo termine per la registrazione al Portale era fissato per il 17 gennaio 2025 e interessava un numero ristretto di soggetti (fornitori di servizi di sistema dei nomi di dominio, gestori di registri dei nomi di dominio di primo livello, fornitori di servizi di registrazione dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione della normativa).

Il 28 febbraio 2025, scadenza ormai prossima, sarà invece il turno della registrazione al Portale da parte di tutti gli altri soggetti inclusi nell’ambito di applicazione della normativa.

Come procedere con la registrazione?

I soggetti interessati dovranno accedere al Portale dei Servizi dell’ACN raggiungibile al seguente link: https://portale.acn.gov.it/login. La registrazione si articola in tre fasi:

  • censimento del Punto di Contatto

Consiste nel registrare al Portale la persona fisica individuata dal soggetto NIS ed incaricata da quest’ultimo di curare l’attuazione della normativa. Tale ruolo potrà essere ricoperto dal rappresentante legale, da uno dei procuratori generali indicati all’interno del Registro delle Imprese o da un dipendente. In tale ultimo caso è importante che il soggetto venga espressamente nominato e delegato, posto che nel corso della registrazione sarà necessario darne prova.

  • associazione del Punto di Contatto al soggetto NIS

Una volta inseriti i dati del Punto di Contatto, quest’ultimo dovrà procedere con l’associazione al soggetto NIS a cui appartiene mediante l’indicazione del codice fiscale (o, se si tratta di un soggetto pubblico, del codice IPA). Tale operazione verrà effettuata automaticamente dal Portale, che andrà ad associare al codice fiscale indicato e presente nel registro delle imprese (oppure al codice IPA inserito nella Banca dati dei domicili digitali delle Pubbliche Amministrazioni e dei Gestori di Pubblici Servizi), la denominazione dell’ente.

  • compilazione della “dichiarazione NIS”

Il Punto di Contatto compilerà, infine, la “dichiarazione NIS” in cui dovranno essere inseriti una serie di dati relativi al soggetto che rappresenta (appartenenza ad un gruppo di imprese, codice ATECO, fatturato, totale di bilancio, numero di dipendenti effettivi, settore di appartenenza, ecc.). Il Portale, tenuto conto della dimensione, del settore e della tipologia del soggetto, elaborerà e renderà disponibile l’esito dell’analisi delle informazioni rese, definendo se si tratta di soggetto essenziale, importante o fuori ambito.

Potrebbe, però, accadere che la predetta procedura non vada a buon fine. Infatti, se l’ente non è presente nella banca dati del Registro delle Imprese (si pensi, ad esempio, ad un ente ecclesiastico civilmente riconosciuto), l’associazione del Punto di Contatto al soggetto NIS mediante la ricerca del codice fiscale di quest’ultimo non potrà dare esito positivo. Ciò, in quanto il Portale acquisisce le informazioni dalla consultazione automatica del Registro delle imprese.

Come fare, quindi, in questo caso?

Il rappresentante legale oppure uno dei procuratori generali dell’ente dovrà inviare una PEC all’indirizzo acn@pec.acn.gov.it con oggetto “Portale dei Servizi – Richiesta di censimento organizzazione – Denominazione organizzazione” e allegare il modulo – scaricabile al link https://acn.gov.it/portale – compilato e firmato digitalmente dal rappresentante legale oppure da uno dei procuratori generali.

La PEC dovrà essere inviata dalla casella del soggetto NIS oppure, nel caso in cui il soggetto NIS non disponga di una PEC, da quella del richiedente o di un rappresentante. Qualora, infine, non siano disponibili caselle PEC sarà comunque possibile trasmettere la richiesta tramite l’indirizzo di posta elettronica ordinaria istituzionale del soggetto NIS. L’ACN provvederà, poi, a notificare l’avvenuto censimento o l’eventuale diniego motivato.

Una volta ricevuta la comunicazione circa l’avvenuto censimento, l’ente potrà procedere con la registrazione al Portale dei Servizi dell’ACN, procedendo come sopra illustrato.  

Cosa succede dopo la registrazione?

La registrazione è fondamentale per consentire all’ACN di censire i soggetti operanti nei settori vigilati e costituirne il relativo elenco. Entro la metà del mese di aprile 2025, sulla base delle informazioni ricevute, l’ACN comunicherà ai soggetti registrati l’inserimento o meno nell’elenco dei soggetti NIS, distinguendoli tra soggetti “essenziali” e soggetti “importanti”.

Quali sono le sanzioni per la mancata registrazione?

La mancata registrazione al portale può comportare una sanzione amministrativa pecuniaria di importo fino ad un massimo dello 0,1% per i soggetti “essenziali” (e fino ad un massimo dello 0,07% per i soggetti “importanti”) del fatturato annuo su scala mondiale dell’esercizio precedente.