L’Agenzia Nazionale per la cybersicurezza Nazionale (ACN) ha diramato un comunicato con il quale informa di uno slittamento del termine per registrarsi sulla Piattaforma NIS2, originariamente previsto per il giorno 28 Febbraio 2025, da parte dei soggetti ricadenti nel campo di applicazione dell’omologa Direttiva.
In buona sostanza, viene accordato un “periodo di grazia”, per chi non abbia ancora completato la registrazione ma abbia ultimato almeno il primo step del censimento: la registrazione in questi casi potrà essere terminata entro lunedì 10 Marzo 2025, precisando che non ci saranno ulteriori proroghe. Come noto, si tratta di una Normativa Europea (2022/2555), recepita in Italia lo scorso ottobre, che ha definito una serie di nuove regole, volte a garantire un livello elevato di protezione delle reti e dei sistemi informativi, per contrastare i rischi cibernetici che minacciano il funzionamento efficace dell’economia e della società.
Il perimetro dei soggetti interessati è abbastanza ampio e determinato tendenzialmente in base ad un duplice criterio: limite dimensionale e settore di attività.
In applicazione del primo criterio, in generale, la norma si rivolge principalmente alle imprese che possano definirsi di medie dimensioni, secondo i criteri europei (Raccomandazione 2003/361/CE), vale a dire con almeno 50 unità lavorative ed un fatturato o bilancio annuo totale superiore a 10 milioni di euro, con l’avvertenza che, in caso di gruppi di imprese, il conteggio deve essere effettuato prendendo in considerazione anche i dati proporzionati delle imprese associate e collegate.
In base al secondo criterio, l’attività esercitata deve rientrare fra quelle menzionati negli Allegati I e II del Decreto (vedi link https://www.acn.gov.it/portale/nis/ambito#application)
Ci sono, poi, alcuni ambiti che ricadono all’interno del nuovo Decreto prescindendo dalla soglia dimensionale, come i fornitori di servizi di comunicazione elettronica accessibili al pubblico e di registrazione dei nomi di dominio ed altri soggetti identificati come “critici” dall’Agenzia Nazionale per la cybersicurezza per l’essenzialità del servizio svolto o per l’impatto che potrebbe avere una perturbazione del servizio erogato su sicurezza, incolumità, salute pubblica.
L’individuazione dei soggetti tenuti all’applicazione della normativa è tutt’altro che semplice ed intuitiva e l’Autorità competente ha prodotto nell’ultimo mese FAQ su FAQ per cercare di mettere a fuoco le varie e complesse casistiche. La mancata registrazione è una violazione sanzionata in via pecuniaria amministrativa con un importo fino al massimo di 0.1% del fatturato annuo del soggetto.
Gli Uffici Sedar CNA Servizi sono a disposizione per ogni ulteriore informazione in merito.
