NIS2 la piattaforma di registrazione per l’avvio operativo disponibile dal 1° dicembre
Keypass s.r.l.
Il tuo partner informatico, integriamo sistemi, garantiamo la continuità: il futuro del tuo business senza interruzioni
Tutte le entità pubbliche e private designate come “soggetti NIS” dovranno registrarsi alla piattaforma digitale dedicata.
Sono stati definiti i termini e le modalità d’uso della piattaforma di registrazione NIS2 per l’avvio degli adeguamenti. Ecco cosa c’è da sapere.
La piattaforma digitale sarà resa disponibile da ACN dal primo dicembre 2024
È stata firmata, infatti, il 26 novembre dal Direttore dell’Agenzia per la Cybersecurity Nazionale (ACN) Bruno Frattasi ed è pubblicata dal 27 Novembre sul sito ACN la prima determina attuativa nell’ambito degli obblighi della direttiva NIS2, ovvero, degli obblighi previsti dal decreto legislativo che recepisce la direttiva europea.
La determina riguarda la piattaforma digitale per la registrazione di tutti i soggetti pubblici e privati designati come “soggetti NIS” ai quali corre l’obbligo di registrarsi entro il 28 febbraio 2025.
La registrazione per ogni entità pubblica o privata dovrà avvenire per tramite di una persona fisica designata come “punto di contatto” che avrà la responsabilità di comunicazioni e adempimenti per quell’entità.
Le informazioni inserite saranno verificate per correttezza, convalida e coerenza dalle strutture ACN preposte.
Il percorso attuativo NIS2 a tappe progressive
il percorso attuativo del Decreto legislativo di recepimento della NIS2 è un percorso a tappe progressive. A partire dal processo di registrazione per tramite della nuova piattaforma ACN, importanti sono le indicazioni per la proporzionalità degli obblighi secondo la classificazione dei soggetti “essenziali” e “importanti” (come da categorie della Direttiva NIS2 n.d.r.), così come i dieci ambiti di applicazione delle misure di sicurezza.
Non meno importante è il focus sulle notifiche incidente da fare al CSIRT e le attenzioni contrattuali da riservare ai fornitori per l’attuazione della sicurezza nella catena di approvvigionamento.
I soggetti NIS2
I soggetti a cui sono stati estesi gli obblighi NIS2 afferiscono a oltre 80 tipologie distinti fra servizi essenziali e di servizi importanti (vedi tabella riassuntiva dal sito ACN) relativamente ai settori altamente critici, critici e alle ulteriori tipologie di soggetti citati nella normativa NIS2.
Consigliati da LinkedIn
La distinzione tra i soggetti tiene conto anche del cosiddetto “size cap” ovvero della dimensione aziendale che differenzia fra imprese grandi e medie tenute a registrarsi e le imprese piccole e micro, che sono considerate ‘tecnicamente’ fuori ambito, anche se alcune di queste potrebbero essere identificate dall’Autorità come importanti o essenziali (dipendentemente dal loro status di fornitori verso soggetti che rientrano negli obblighi NIS2 n.d.r.)
Osservazioni sul processo di registrazione
Nel corso di un convegno organizzato da ACN a fine novembre presso l’università “La Sapienza di Roma”, dal titolo “La nuova direttiva NIS per un più alto livello di cybersicurezza del sistema Paese” è stato presentato un quadro complessivo dal quale estraiamo alcune osservazioni sul processo di registrazione.
Grazie alle spiegazioni di Nicolò Rivetti, (Capo Divisione NIS e discipline unionali del Servizio Regolazione ACN n.d.r.) sugli elementi documentali e sulle dichiarazioni della fase di registrazione è stato possibile comprendere, come si renda necessario che il soggetto che opera come “punto di contatto” per l’impresa che si registra, sia delegato dall’impresa su diverse tematiche, ovvero tutte quelle per cui deve presentare documentazione e fare dichiarazioni.
Questo aspetto non è nativamente già risolto per molte tipologie di aziende in cui le deleghe a operare possono non essere complete, potrebbero non essere state formalizzate o addirittura potrebbero non esistere.
Ma è importante sottolineare che alcuni referenti di sicurezza potrebbero essere soggetti a policy di “Segregation of Duties” (SOD) che è in conflitto con la procura di un pool di deleghe estese.
Questo aspetto può essere superato con la sostituzione del delegato punto di contatto dopo la prima fase di registrazione, ma comunque evidenzia l’esigenza di porre più di qualche attenzione da parte dell’impresa nell’affrontare il tema delle deleghe e delle responsabilità nei rapporti con ACN, come parte del delicato tema organizzativo della sicurezza in azienda non sempre debitamente o prontamente affrontato a dovere.
Questo al momento attuale.
Contattaci per approfondimenti su questo tema
Siamo a tua disposizione per comprendere al meglio il tuo contesto e le tue necessità.
Puoi chiederci una assistenza consulenziale gratuita.
Scrivi ora qui su Linkedin un messaggio nella nostra pagina, crediamo nel rapporto e nella relazione personale.