28 Nov Determinazione dell’ACN sulla piattaforma digitale per la registrazione dei soggetti NIS
Autori: Lara Maugeri, Antonietta Riccardi
L’Agenzia per la Cybersicurezza Nazionale (ACN), nell’esercizio delle prerogative ad essa attribuite dal decreto legislativo 4 settembre 2024, n. 138, in attuazione della Direttiva (UE) 2022/2555, ha adottato una Determinazione con cui vengono definiti i termini, le modalità e i procedimenti per l’utilizzo della piattaforma digitale deputata alla registrazione e alla gestione dei soggetti rientranti nell’ambito di applicazione della normativa NIS. Tali soggetti, comprensivi di operatori di servizi essenziali e fornitori di servizi digitali, sono assoggettati a specifici obblighi normativi finalizzati al rafforzamento della resilienza e della sicurezza delle reti e dei sistemi informativi a livello nazionale ed europeo.
La piattaforma digitale, accessibile attraverso il Portale ACN, assume un ruolo centrale nell’impianto normativo delineato, configurandosi quale strumento operativo essenziale per consentire ai soggetti NIS l’adempimento degli obblighi imposti dalla disciplina vigente. Tale piattaforma rappresenta, infatti, il mezzo esclusivo mediante il quale i predetti soggetti procedono alla registrazione, al censimento e all’interlocuzione formale con l’Autorità nazionale competente NIS, conformemente alle prescrizioni normative.
In ultimo, la Determinazione, caratterizzata da una strutturazione analitica e dettagliata, non si limita a disciplinare gli aspetti procedurali inerenti alla registrazione, ma si estende a regolamentare i profili relativi alla designazione dei rappresentanti NIS, all’individuazione dei punti di contatto e alla determinazione delle modalità di verifica e aggiornamento delle informazioni fornite dai soggetti obbligati, garantendo in tal modo un assetto procedurale organico e funzionale al perseguimento delle finalità di sicurezza informatica sancite dal Decreto legislativo di riferimento.
L’impianto normativo delineato, articolato in 15 disposizioni, delinea un quadro di accountability e trasparenza volto a rafforzare l’intera architettura nazionale di cybersicurezza, in conformità ai principi cardine del diritto europeo, quali la tracciabilità delle operazioni, la sicurezza degli strumenti e la responsabilizzazione degli attori coinvolti. Attraverso l’analisi dei contenuti della Determinazione, il presente contributo si prefigge di illustrare il ruolo della piattaforma digitale quale elemento cardinale per l’attuazione della disciplina NIS, approfondendone le implicazioni giuridiche e operative nel contesto dell’ordinamento nazionale e unionale.
Definizioni, modalità di accesso e designazione punto di contatto
L’articolo 1 della, rubricato “Definizioni”, stabilisce un elenco dettagliato di termini tecnici e giuridici indispensabili per garantire un’interpretazione uniforme e coerente delle disposizioni normative. Tale articolo, di natura propedeutica, ha lo scopo di circoscrivere con precisione i concetti essenziali utilizzati nel testo normativo, fornendo una base terminologica chiara e univoca. Tra le definizioni rilevanti si annoverano quelle relative alla piattaforma digitale, ai Servizi NIS, ai soggetti obbligati e agli attori istituzionali coinvolti. Tale operazione preliminare risponde all’esigenza di evitare ambiguità interpretative e di assicurare una corretta applicazione del quadro normativo, in linea con i principi di certezza del diritto e trasparenza procedurale.
Il successivo articolo della Determinazione, emanata dall’Agenzia per la Cybersicurezza Nazionale, stabilisce i termini, le modalità e i procedimenti relativi all’utilizzo e all’accesso al Portale ACN, disciplinando altresì le ulteriori informazioni che i soggetti NIS devono fornire all’Autorità nazionale competente NIS.
Il provvedimento in esame si prefigge di definire, in primo luogo, le modalità di designazione del punto di contatto, figura designata dai soggetti NIS per interfacciarsi con l’Autorità nazionale competente. A tal fine, vengono previsti il procedimento per il censimento di tale punto di contatto, quale utente autorizzato ad accedere al Portale ACN, e quello per l’associazione dell’utenza del medesimo punto di contatto al soggetto designante, con lo scopo di assicurare la conformità delle interazioni effettuate attraverso il Portale. Viene altresì regolato il procedimento per la registrazione dei soggetti NIS tramite il Servizio NIS/Registrazione, essenziale per l’adempimento degli obblighi previsti dall’articolo 7 del decreto legislativo n.138/2024.
L’articolo prosegue attribuendo agli organi di amministrazione e agli organi direttivi dei soggetti NIS la responsabilità di sovrintendere alla registrazione, comunicazione e aggiornamento delle informazioni richieste dalla normativa. Tale obbligo si fonda sull’articolo 23, comma 1, lettera b), del decreto legislativo n. 138 del 2024, e la mancata osservanza è punita ai sensi dell’articolo 38 del medesimo decreto, come ribadito dal quarto comma. La previsione evidenzia la rilevanza del rispetto delle modalità procedurali indicate, che costituiscono condizione imprescindibile per la legittimità della registrazione e per il corretto adempimento degli obblighi imposti dalla disciplina.
Infine, l’articolo dispone che la Determinazione sia soggetta ad aggiornamento entro il 31 marzo 2025, garantendo un allineamento normativo continuo con eventuali esigenze di adeguamento o sviluppo emerse durante l’attuazione delle disposizioni. Tale previsione testimonia l’attenzione dell’Agenzia per la Cybersicurezza Nazionale verso una regolamentazione dinamica e conforme all’evoluzione delle necessità operative e legislative.
Termini di utilizzo del Portale
I termini di utilizzo del Portale ACN e dei Servizi NIS, vengono regolati in modo puntuale dall’articolo 3, individuando gli obblighi gravanti sui soggetti coinvolti e i criteri per l’interazione con l’Autorità nazionale competente NIS.
Viene anzitutto sancito l’obbligo per i soggetti di interagire con l’Autorità nazionale competente NIS esclusivamente attraverso i Servizi NIS o la sezione dedicata nell’area NIS del sito web istituzionale. Solo in presenza di indicazioni esplicite da parte dell’Autorità, o in circostanze di forza maggiore, possono essere adottate modalità alternative, purché nel rispetto di quanto previsto dal decreto legislativo n. 138 del 2024. Tale impostazione garantisce un tracciamento puntuale delle comunicazioni e un canale univoco per la trasmissione delle informazioni.
L’istruttoria delle Autorità competenti è prioritariamente fondata sulle informazioni fornite tramite i Servizi NIS. Laddove sia richiesto un aggiornamento, gli utenti sono tenuti a operare tempestivamente, conformemente alle indicazioni ricevute e nei termini stabiliti dalla normativa. Inoltre, gli stessi utenti devono verificare l’accuratezza delle informazioni visualizzate o ricevute tramite il Portale ACN, segnalando eventuali incongruenze mediante i canali predisposti a tal fine.
Di rilievo è il richiamo alla responsabilità penale in caso di dichiarazioni mendaci o atti falsi, ai sensi dell’articolo 76 del decreto del Presidente della Repubblica n. 445 del 2000. Tale disposizione, pur richiamando principi consolidati del diritto amministrativo e penale, sottolinea la rilevanza delle dichiarazioni rese nell’ambito dei procedimenti regolati dalla Determinazione.
La disciplina prevede che eventuali malfunzionamenti o comportamenti inattesi del Portale ACN siano segnalati attraverso canali specifici, al fine di preservare la funzionalità degli strumenti digitali e garantire il tempestivo intervento dell’Autorità nazionale competente NIS. L’utilizzo esclusivo di questi canali rafforza il controllo sulle operazioni e favorisce la standardizzazione dei processi.
Le informazioni visualizzate o ricevute tramite il Portale ACN e i Servizi NIS sono soggette a una politica di condivisione che limita la divulgazione agli originatori, ai destinatari e alle loro organizzazioni, con l’estensione alle terze parti e ai clienti solo nei limiti dello stretto necessario. Viene così applicato il principio del “need-to-know”, secondo cui la condivisione dei dati è subordinata alla loro effettiva rilevanza per lo svolgimento delle attività. Tale principio costituisce un fondamento essenziale per la tutela della riservatezza e la protezione delle informazioni sensibili, assicurando che i dati trattati siano adeguatamente protetti e non siano utilizzati al di fuori dello scopo per cui sono stati condivisi.
La figura del punto di contatto
Con l’Articolo 4 del provvedimento in oggetto, viene individuata e disciplinata la figura del punto di contatto, assegnandole un ruolo importante nell’ambito dell’attuazione delle disposizioni previste dal decreto NIS. Il punto di contatto è designato dal soggetto NIS quale persona fisica incaricata di interloquire con l’Autorità nazionale competente NIS, accedere al Portale ACN e ai Servizi NIS, nonché curare la registrazione prevista dall’articolo 7 del decreto legislativo n. 138 del 2024.
Al co. 2 del medesimo articolo viene esplicitato che le funzioni del punto di contatto possono essere attribuite al rappresentante legale del soggetto NIS, a uno dei procuratori generali oppure a un dipendente del soggetto stesso delegato dal rappresentante legale. Qualora, nell’espletamento dei propri compiti, il punto di contatto si avvalga di personale esterno, resta comunque vincolato al rispetto delle disposizioni dell’articolo in esame. Viene così sancita una responsabilità integrale del soggetto designato nel garantire la corretta esecuzione delle attività previste dal decreto.
Qualora il soggetto faccia parte di un gruppo di imprese, le funzioni di punto di contatto possono essere assegnate a un dipendente di un’altra impresa dello stesso gruppo, purché questa ricada nell’ambito di applicazione del decreto NIS e sia delegata dal rappresentante legale del soggetto interessato. Analogamente, se il soggetto NIS è una pubblica amministrazione, tali funzioni possono essere esercitate da un dipendente di un’altra amministrazione pubblica, a condizione che questa rientri nell’ambito di applicazione del medesimo decreto e sia stata debitamente delegata.
Il punto di contatto, inoltre, deve riferire direttamente al vertice gerarchico del soggetto NIS, nonché agli organi di amministrazione e direttivi, nell’ambito delle attività previste dal decreto legislativo. Tale previsione si configura come garanzia di un controllo interno efficace e di una comunicazione fluida tra il soggetto e le strutture competenti.
Resta fermo, in ogni caso, il principio della responsabilità oggettiva degli organi di amministrazione e direttivi del soggetto NIS ai sensi dell’articolo 23 del decreto legislativo n. 138 del 2024. Parallelamente, è prevista la responsabilità personale delle persone fisiche per le violazioni individuate dall’articolo 38 dello stesso decreto.
Infine, la designazione del punto di contatto può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza previsto dalla legge 28 giugno 2024, n. 90, a condizione che i soggetti rientrino nell’ambito di applicazione del decreto NIS. Tale disposizione evidenzia una sinergia normativa tra gli adempimenti del decreto legislativo n. 138 e quelli previsti dalla disciplina generale in materia di cybersicurezza, favorendo una gestione integrata degli obblighi imposti ai soggetti NIS.
Designazione del rappresentante NIS in Italia
L’Articolo 5 della Determinazione disciplina il procedimento di designazione del rappresentante NIS in Italia, individuando gli obblighi specifici gravanti sui soggetti NIS di cui all’articolo 5, comma 1, lettera b), del decreto legislativo n. 138 del 2024. I soggetti interessati (che ricordiamo essere i fornitori di servizi di sistema dei nomi di dominio DNS, i registri dei nomi di dominio di primo livello, i soggetti che forniscono servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online o di piattaforme di servizi di social network, che sono sottoposti la giurisdizione dello Stato membro in cui hanno lo stabilimento principale nell’Unione), sono tenuti a trasmettere, entro il termine perentorio del 1° gennaio 2025, al domicilio digitale dell’Agenzia per la Cybersicurezza Nazionale, la documentazione richiesta, così come specificata nella sezione dedicata del sito web istituzionale dell’Agenzia. Con le stesse modalità, devono inoltre comunicare il proprio domicilio digitale, al fine di agevolare e garantire le successive interlocuzioni con l’Autorità nazionale competente NIS.
L’Autorità nazionale competente NIS, entro un termine di trenta giorni dalla ricezione della documentazione, comunica al domicilio digitale del soggetto l’autorizzazione a procedere al censimento e alla registrazione o, in alternativa, il diniego. Tuttavia, qualora risulti necessario richiedere integrazioni o informazioni supplementari, il termine sopraindicato è sospeso e ricomincia a decorrere dalla data di ricevimento delle integrazioni richieste. Tali integrazioni devono essere trasmesse entro un termine di dieci giorni dalla richiesta dell’Autorità. L’eventuale tardivo riscontro può determinare il rigetto della richiesta di censimento e registrazione.
Il quarto comma dello stesso articolo introduce ulteriori disposizioni relative alla delega delle funzioni di punto di contatto, nel rispetto delle indicazioni fornite dall’articolo 4, comma 2. Qualora il rappresentante NIS sia una persona fisica, è possibile delegare a quest’ultimo tali funzioni. Nel caso in cui il rappresentante NIS sia una persona giuridica, le medesime funzioni possono essere delegate al rappresentante legale, a uno dei procuratori generali o a un dipendente della persona giuridica stessa. Tale previsione garantisce flessibilità operativa e una chiara identificazione dei soggetti responsabili, nel rispetto delle normative applicabili.
L’articolo, nel suo complesso, delinea un iter procedurale che unisce rigore normativo e adattabilità, assicurando al contempo che le attività di designazione e registrazione avvengano in modo trasparente, tempestivo e conforme agli obblighi di legge.
Censimento degli utenti
Il processo di censimento degli utenti viene disciplinato dall’articolo 6 della Determinazione in esame, individuando le modalità e i termini entro cui i punti di contatto devono procedere alla propria autenticazione e all’inserimento delle informazioni richieste per l’accesso al Portale ACN e ai relativi Servizi NIS.
A partire dal 1° dicembre 2024 e fino al 28 febbraio 2025, i punti di contatto sono tenuti ad autenticarsi mediante le proprie credenziali personali rilasciate dal Sistema Pubblico di Identità Digitale (SPID). Tale meccanismo di autenticazione assicura non solo la sicurezza del sistema ma anche l’identificazione univoca degli utenti autorizzati a interagire con il Portale.
I punti di contatto devono completare la propria anagrafica fornendo le informazioni specificate al comma 2 del medesimo articolo. In particolare, sono richiesti dati di identificazione personale, quali nome, cognome, luogo e data di nascita, codice fiscale e cittadinanza. Inoltre, devono essere comunicati il Paese di residenza e, laddove necessario, di domicilio, l’indirizzo della sede prevalente di servizio, un indirizzo di posta elettronica ordinaria e, ove disponibile, un indirizzo di posta elettronica certificata. Devono essere forniti anche recapiti telefonici, sia principali sia alternativi, con preferenza per quelli individuali e di servizio.
Il comma 3 contempla una deroga per gli utenti che, ai sensi della normativa vigente, non siano in grado di disporre delle credenziali SPID. In tali casi, l’autenticazione avviene tramite credenziali personali, secondo una procedura appositamente descritta nella sezione dedicata del sito web dell’Agenzia per la Cybersicurezza Nazionale. Gli utenti interessati devono fornire un codice di identificazione nazionale in luogo del codice fiscale, così come richiesto al comma 2, lettera c.
Il successivo articolo 7 del provvedimento de quo regola il processo di associazione dell’utenza del punto di contatto al soggetto NIS.
Gli utenti, previamente censiti sul Portale ACN in qualità di punti di contatto, sono tenuti a effettuare l’associazione della propria utenza con il soggetto designante. Tale operazione avviene mediante l’inserimento del codice fiscale del soggetto stesso o del codice identificativo presente nell’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA). Si stabilisce che solo le utenze dei punti di contatto possano essere associate ai soggetti.
Per ciascun soggetto che intende accedere al Portale ACN e ai Servizi NIS, l’utente è chiamato a verificare la denominazione, l’indirizzo, il domicilio digitale e i recapiti della sede legale del soggetto, così come visualizzati dal Portale. L’utente deve inoltre specificare la propria qualifica rispetto al soggetto, indicando se agisce in qualità di rappresentante legale, procuratore generale o delegato dal rappresentante legale. Nei casi in cui il soggetto di riferimento sia diverso da quello NIS, deve essere fornito il codice fiscale del soggetto di cui è dipendente, insieme alla descrizione del ruolo svolto presso il medesimo.
Particolare rilievo assume la previsione per cui, laddove l’utente sia delegato dal rappresentante legale del soggetto, è necessario che tale delega venga inserita nel Portale ACN. In tale dichiarazione, l’utente attesta che la delega conferisce l’autorizzazione ad accedere al Portale e ai Servizi NIS per conto del soggetto designante.
Il completamento del processo di associazione è subordinato a una convalida espressa da parte del soggetto designante. Tale convalida si manifesta tramite l’accettazione della richiesta inviata al domicilio digitale del soggetto. Solo a seguito di questa fase di verifica, l’associazione può considerarsi conclusa, e il soggetto riceve una comunicazione ufficiale che attesta il completamento del processo.
Le modalità operative per la registrazione dei soggetti NIS vengono disciplinate con attenzione dall’articolo 8 della Determinazione, stabilendo i termini per gli utenti designati quali punti di contatto. Questi ultimi, nel periodo compreso tra il 1° dicembre 2024 e il 28 febbraio 2025, sono chiamati a compilare, mediante il Servizio NIS/Registrazione, la dichiarazione per il soggetto designante, assicurando che le informazioni inserite siano esatte e aggiornate.
Il secondo comma prevede una dettagliata articolazione delle informazioni che l’utente deve inserire. Qualora il soggetto non sia un’impresa autonoma, è richiesto che venga indicato se esso appartiene a un gruppo di imprese, specificando eventualmente se ne rappresenta la capogruppo e, in tal caso, fornendo il codice fiscale di quest’ultima. Inoltre, l’utente deve elencare i soggetti NIS collegati al soggetto designante, qualora soddisfino i criteri previsti dall’articolo 3, comma 10, del decreto legislativo n. 138 del 2024, indicando il codice fiscale di tali imprese e precisando quali criteri risultano rispettati.
Ulteriori obblighi informativi includono l’elencazione dei codici ATECO che descrivono l’attività svolta dal soggetto, nonché l’indicazione delle normative settoriali dell’Unione europea, citate negli allegati I e II del decreto NIS, utili a definire le tipologie di soggetti rientranti nell’ambito di applicazione della normativa. L’utente è tenuto anche a riportare i valori di fatturato, bilancio e numero di dipendenti per determinare l’appartenenza del soggetto alla categoria delle medie o grandi imprese, come definito dalla raccomandazione 2003/361/CE, salvo che si tratti di una pubblica amministrazione, per la quale tali dati non sono richiesti.
Al terzo comma viene sottolineato l’obbligo di registrazione per i soggetti NIS, disponendo che l’Autorità nazionale competente informi le imprese che soddisfano i criteri di cui al comma 2, lettera c) (“qualora il soggetto non sia un’impresa autonoma, elenca le imprese collegate che soddisfano nei suoi confronti almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto NIS, indicando il codice fiscale di tali imprese e quale dei criteri è soddisfatto, ai fini della loro identificazione come soggetti NIS ai sensi del medesimo comma”), che nei loro confronti si sono verificati i presupposti previsti dall’articolo 3, comma 10, del decreto legislativo. Ai sensi del comma 4 del medesimo articolo, per le imprese non autonome, il calcolo dei dati economici e organizzativi è regolato dall’articolo 6, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE.
In caso di incongruenze riscontrate durante la compilazione della dichiarazione, l’utente è obbligato a procedere con la correzione delle informazioni erronee o incomplete, oppure a fornire elementi giustificativi per spiegare le discrepanze rilevate. La dichiarazione, una volta completata, è sottoposta a una valutazione preliminare automatizzata, e una copia della stessa è inviata al domicilio digitale del soggetto. L’avvertenza che accompagna tale comunicazione segnala che la dichiarazione potrà essere oggetto di successive verifiche di coerenza, ai sensi dell’articolo 11.
Tutela soggetti NIS
L’Articolo 9 del provvedimento in esame introduce la clausola di salvaguardia, prevedendo un meccanismo volto a tutelare i soggetti NIS nel caso in cui il calcolo effettuato ai sensi dell’Articolo 8, comma 4, non sia ritenuto proporzionato rispetto ai criteri stabiliti dal decreto del Presidente del Consiglio dei Ministri, adottato in attuazione dell’Articolo 40, comma 1, lettera a), del decreto NIS. Tale disposizione consente ai soggetti interessati di richiedere, nel corso della registrazione, l’applicazione della clausola di cui all’Articolo 3, comma 12, del decreto legislativo n. 138 del 2024, assicurando un margine di flessibilità per situazioni che esulano dalle rigidità dei calcoli automatici previsti.
La richiesta di applicazione della clausola di salvaguardia viene avanzata tramite il Servizio NIS/Registrazione, e l’utente deve fornire tutti gli elementi di valutazione pertinenti in relazione ai criteri stabiliti dal decreto del Presidente del Consiglio dei Ministri richiamato. Tali elementi sono trasmessi all’Autorità nazionale competente NIS, che ha il compito di condividere tali informazioni con le Autorità di settore interessate. La condivisione è finalizzata a effettuare le necessarie valutazioni ai sensi dell’Articolo 11, comma 4, lettera c), del decreto legislativo, garantendo così che la decisione sia basata su un’analisi approfondita e multilaterale.
Al termine del procedimento, l’Autorità nazionale competente NIS fornisce riscontro al soggetto tramite una comunicazione inviata ai sensi dell’Articolo 7, comma 3, del decreto NIS. Tale riscontro costituisce l’atto conclusivo del procedimento relativo alla clausola di salvaguardia e chiarisce l’esito della valutazione, con eventuali indicazioni relative all’applicazione dei criteri correttivi richiesti.Inizio modulo.
Individuazione soggetti NIS
Il successivo articolo 10 della Determinazione regola il procedimento di individuazione dei soggetti NIS da parte dell’Autorità nazionale competente, sulla base delle proposte avanzate dalle Autorità di settore ai sensi dell’articolo 3, comma 13, del decreto legislativo n. 138 del 2024. I soggetti che ricevono una notifica di individuazione sono obbligati a procedere al censimento e alla registrazione in conformità con le disposizioni delineate nella Determinazione. Durante la fase di registrazione, tali soggetti sono tenuti a prendere visione degli elementi indicati nella notifica e a confermarne la correttezza.
Le verifiche di coerenza delle informazioni contenute nelle dichiarazioni sono disciplinate dall’articolo 11, prevedendo che esse siano effettuate a campione dall’Autorità nazionale competente NIS, in collaborazione con le Autorità di settore. Tali verifiche, sebbene funzionali all’accertamento della conformità delle informazioni trasmesse, non esimono i soggetti NIS dall’obbligo di osservare i termini d’uso del Portale ACN e dei Servizi NIS, né dalla responsabilità per eventuali dichiarazioni mendaci o omissioni.
L’Autorità nazionale competente NIS è tenuta a fornire riscontro al soggetto NIS entro trenta giorni dalla presentazione della dichiarazione tramite il Servizio NIS/Registrazione. Tuttavia, qualora si rendano necessari approfondimenti complessi per verificare la coerenza delle informazioni fornite, il termine può essere prorogato una sola volta per un massimo di ulteriori venti giorni. In presenza di richieste di integrazioni, modifiche o informazioni aggiuntive, il termine viene sospeso e ricomincia a decorrere dalla data di ricevimento delle integrazioni richieste, che devono essere trasmesse entro dieci giorni dalla richiesta dell’Autorità. Il mancato rispetto di tale termine può comportare il rigetto della dichiarazione.
Al termine delle verifiche, l’Autorità nazionale competente NIS comunica, tramite i Servizi NIS e al domicilio digitale del soggetto, l’esito della verifica, che può essere positivo o negativo. Tuttavia, un esito negativo non esonera il soggetto NIS dall’obbligo di registrazione previsto dall’articolo 7, comma 1, del decreto legislativo.
L’articolo 12 della Determinazione disciplina l’elaborazione dell’elenco dei soggetti NIS e le relative comunicazioni, ponendo in evidenza il ruolo centrale dell’Autorità nazionale competente NIS nella gestione di tale adempimento, secondo quanto previsto dal decreto legislativo n. 138 del 2024. L’elenco dei soggetti NIS, ai sensi dell’articolo 7, comma 2, del decreto legislativo, viene elaborato dall’Autorità nazionale competente NIS sulla base delle informazioni trasmesse dai soggetti stessi, in conformità con le previsioni contenute in questa Determinazione. Tale elenco rappresenta il risultato del processo di registrazione, il quale include anche le verifiche svolte dalle Autorità di settore, ai sensi dell’articolo 11, comma 4, lettera a), del decreto NIS.
È importante sottolineare che il secondo comma qualifica il processo di registrazione delineato dalla Determinazione come una fase endoprocedimentale del procedimento di costituzione dell’elenco dei soggetti NIS.
Inoltre, l’Autorità nazionale competente NIS comunica ai soggetti registrati l’avvenuto inserimento, o meno, nell’elenco dei soggetti NIS. Tale comunicazione è inviata al domicilio digitale del soggetto interessato. Ai soggetti inseriti nell’elenco, unitamente ai rispettivi punti di contatto, viene attribuito un codice identificativo univoco. Il codice in questione, specifico per ciascun soggetto e per ciascun utente, è finalizzato a facilitare le interlocuzioni future con l’Autorità, assicurando al contempo una gestione efficace e tracciabile delle comunicazioni e degli adempimenti successivi.
Gli articoli finali della Determinazione – 13, 14 e 15 – disciplinano rispettivamente gli aspetti finanziari, la pubblicità e l’entrata in vigore del provvedimento, completando il quadro normativo delineato.
Per quanto concerne le disposizioni finanziarie, si sottolinea che gli oneri derivanti dall’attuazione della presente Determinazione, imputabili all’Autorità nazionale competente NIS e alle Autorità di settore, sono coperti mediante le risorse individuate negli articoli 10 e 11 del decreto legislativo n. 138 del 2024.
L’Articolo 14 disciplina la pubblicità della Determinazione, prevedendo che essa venga pubblicata sul sito web dell’Autorità nazionale competente NIS e sui siti istituzionali delle Autorità di settore. È inoltre stabilita la comunicazione ufficiale del provvedimento mediante pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Infine, viene regola l’entrata in vigore della Determinazione, specificando che, per le fattispecie non espressamente trattate nel testo, si applicano le disposizioni del decreto legislativo n. 138 del 2024. È altresì precisato che la Determinazione trova applicazione a partire dal 1° dicembre 2024.
Conclusioni
La Determinazione dell’Agenzia per la Cybersicurezza Nazionale, esaminata nel suo complesso, emerge come uno strumento normativo strategico che incarna un’attenzione meticolosa agli obblighi procedurali e sostanziali imposti ai soggetti NIS. La piattaforma digitale, cuore pulsante delle interazioni tra tali soggetti e l’Autorità nazionale competente, è strutturata in modo da assicurare precisione nelle registrazioni, tracciabilità delle operazioni e salvaguardia delle informazioni trasmesse.
Attraverso una suddivisione analitica delle disposizioni, il provvedimento fornisce un quadro chiaro e integrato per la gestione delle responsabilità, stabilendo un equilibrio tra rigidità normativa e adattabilità operativa. Tale approccio, permeato da riferimenti ai principi di trasparenza e accountability, dimostra la capacità dell’Agenzia di rispondere efficacemente alle esigenze imposte dal panorama europeo della cybersicurezza.