Data protection

AGID ha pubblicato la Piattaforma digitale sulla quale i soggetti obbligati dovranno accreditarsi.

Premesso che la Direttiva UE 2022/2555 – NIS 2 ha introdotto le seguenti novità:

  • Ampliamento dell’ambito soggettivo di applicazione della disciplina
  • Distinzione tra «soggetti essenziali» e «soggetti importanti» con l’adozione di un criterio dimensionale e di criticità dei servizi erogati per la loro individuazione
  • Razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria
  • Adozione di un approccio «multirischio» (C79)
  • Regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite ai CSIRT nazionale
  • Implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala

Considerato che il decreto attuativo[1] della Direttiva sopra citata si caratterizza per i seguenti aspetti:

  • Definisce una Strategia Nazionale di Cybersicurezza con obiettivi strategici e priorità per la sicurezza informatica.
  • Integra un quadro di gestione delle crisi informatiche nell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza a livello nazionale
  • Conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) quale Autorità nazionale competente NIS, definendone i poteri per l’implementazione e l’attuazione del decreto.
  • Istituisce le Autorità di settore NIS chiamate a collaborare con l’ACN, supportandone la funzione di Autorità Nazional Competente NIS e di Punto di Contatto Unico NIS.
  • Stabilisce i criteri per l’individuazione dei soggetti (pubblici e privati) tenuti a rispettare gli obblighi in materia di sicurezza informatica, in base alla loro rilevanza per l’economia e la società, e alle dimensioni delle loro operazioni.
  •  Definisce i criteri per identificare i soggetti a cui si applica il decreto e definisce i relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica

Ai sensi dell’articolo 7, comma 6, e dell’articolo 40, comma 5, lettera b), del decreto legislativo 4 settembre 2024, n. 138, con determinazione dell’Agenzia per la cybersicurezza nazionale, sentito il Tavolo per l’attuazione della disciplina NIS, sono stabiliti i termini, le modalità nonché i procedimenti di utilizzo e accesso alla piattaforma digitale di cui all’articolo 7 e le eventuali ulteriori informazioni che i soggetti devono fornire ai sensi dello stesso articolo, nonché i termini, le modalità e i procedimenti di designazione dei rappresentanti di cui all’articolo 5, comma 3, del medesimo decreto legislativo;

Si comunica che L’Agenzia per la Cybersicurezza Nazionale ha pubblicato la Determina del Direttore Generale che definisce i termini e le modalità di utilizzo della piattaforma digitale per la registrazione dei soggetti NIS 2.

Per “soggetto NIS” si intende un soggetto pubblico o privato che rientra nell’ambito di applicazione del decreto NIS.

Trattasi della “Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 7, comma 6, e all’articolo 40, comma 5, lettera b), del decreto legislativo 4 settembre 2024, n. 138, recante termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimenti di designazione dei rappresentanti NIS nell’Unione.”

Con l’espressione “piattaforma digitale”, si intende la piattaforma digitale di cui all’articolo 7, comma 1, del decreto NIS[2], accessibile tramite il Portale ACN per l’erogazione dei Servizi NIS;



Di seguito si riportano i punti salienti della determina:
– Obbligo di registrazione: l’ente/azienda, in qualità di soggetto NIS, deve registrarsi a partire dal 1° dicembre 2024 ed entro il 28 febbraio 2025 tramite il Portale ACN. (cfr. art. 6[3])
– Ruolo del Punto di Contatto: l’ente/azienda dovrà nominare un punto di contatto, responsabile delle comunicazioni con l’ACN della gestione degli adempimenti; ai sensi dell’art. 4, comma 7,[4]La designazione del punto di contatto da parte dei soggetti di cui all’articolo 1, comma 1, della legge 28 giugno 2024, n. 90, che rientrano nell’ambito di applicazione del decreto NIS, può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza di cui all’articolo 8, comma 2, della medesima legge.[5]”  (cfr. art. 4)
– Procedure di verifica e controllo: Il sistema prevede meccanismi di censimento, convalida e verifiche per garantire la coerenza e l’accuratezza delle informazioni trasmesse. (artt. 6, 6, 8 e 11)
– Responsabilità e sanzioni: Gli organi di amministrazione e quelli direttivi dei soggetti NIS sono responsabili di eventuali violazioni, inclusa la mancata registrazione. (cfr. art. 2, comma 3[6])

[1] DECRETO LEGISLATIVO 4 settembre 2024, n. 138 Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148. (24G00155) (GU Serie Generale n.230 del 01-10-2024)

[2] Art. 7 Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti 

  1. Dal 1° gennaio al 28 febbraio di ogni anno successivo alla  data di entrata  in  vigore  del  presente  decreto,  i  soggetti  di  cui all’articolo 3, si registrano o aggiornano la  propria  registrazione sulla piattaforma digitale resa disponibile dall’Autorita’  nazionale competente NIS ai fini dello svolgimento  delle  funzioni  attribuite all’Agenzia per  la  cybersicurezza  nazionale  anche  ai  sensi  del presente decreto. A tal fine, tali soggetti forniscono  o  aggiornano almeno le informazioni seguenti:

    a) la ragione sociale;

    b) l’indirizzo e i recapiti aggiornati,  compresi  gli  indirizzi e-mail e i numeri di telefono;

    c) la designazione di un punto di contatto,  indicando  il  ruolo presso il soggetto e i recapiti aggiornati,  compresi  gli  indirizzi e-mail e i numeri di telefono;  

    d)  ove  applicabile,  i  pertinenti  settori,   sottosettori   e tipologie di soggetto di cui agli allegati I, II, III e IV;

  2. Entro il 31 marzo di ogni anno successivo alla data  di  entrata in vigore del presente decreto, l’Autorita’ nazionale competente NIS, redige, secondo  le  modalita’  di  cui  all’articolo  40,  comma  5, l’elenco dei soggetti essenziali e  dei  soggetti  importanti,  sulla base delle registrazioni di cui al comma 1 e delle decisioni adottate ai sensi degli articoli 3, 4, e 6.

  3. Tramite la piattaforma digitale di cui al comma  1,  l’Autorita’ nazionale competente NIS comunica ai soggetti registrati  di  cui  al comma 2:

    a)  l’inserimento   nell’elenco   dei   soggetti   essenziali   o importanti;

    b)  la  permanenza  nell’elenco   dei   soggetti   essenziali   o importanti;

    c) l’espunzione dall’elenco dei soggetti.

  4. Dal 15 aprile al 31 maggio di ogni anno successivo alla data  di entrata in  vigore  del  presente  decreto,  tramite  la  piattaforma digitale di cui  al  comma  1,  i  soggetti  che  hanno  ricevuto  la comunicazione di cui al comma  3,  lettere  a)  e  b),  forniscono  o aggiornano almeno le informazioni seguenti:

    a) lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilita’ del soggetto;

    b) ove applicabile, l’elenco degli Stati membri in cui forniscono servizi  che  rientrano  nell’ambito  di  applicazione  del  presente decreto;

    c) i responsabili di cui all’articolo 38, comma 5,  indicando  il ruolo presso il soggetto e i loro recapiti aggiornati,  compresi  gli indirizzi e-mail e i numeri di telefono;

    d) un sostituto del punto di contatto di cui al comma 1,  lettera c), indicando il ruolo presso il soggetto e  i  recapiti  aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.

  5. I fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di  primo  livello,  i  fornitori  di servizi di registrazione dei nomi di dominio, i fornitori di  servizi di cloud  computing,  i  fornitori  di  servizi  di  data  center,  i fornitori di reti di distribuzione  dei  contenuti,  i  fornitori  di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonche’ i fornitori di mercati online,  i  fornitori  di  motori  di  ricerca online e i fornitori di piattaforme  di  social  network,  forniscono all’Autorita’ nazionale competente NIS, secondo le modalita’  di  cui al comma 4, anche:

    a) l’indirizzo della sede  principale  e  delle  altre  sedi  del soggetto nell’Unione europea;

    b) se non e’ stabilito  nell’Unione  europea,  l’indirizzo  della sede del suo  rappresentante  ai  sensi  dell’articolo  5,  comma  3, unitamente ai dati di contatto  aggiornati,  compresi  gli  indirizzi e-mail e i numeri di telefono.

  6. L’Autorita’ nazionale  competente  NIS  stabilisce,  secondo  le modalita’ di cui all’articolo 40, comma 5, i termini, le modalita’  e i procedimenti di utilizzo e accesso alla piattaforma digitale di cui al comma 1, indicando altresi’ eventuali ulteriori informazioni che i soggetti devono fornire ai sensi dei commi 1 e 4, nonche’ i  termini, le modalita’ e i procedimenti di designazione dei  rappresentanti  di cui all’articolo 5, comma 3.

  7. I soggetti che hanno ricevuto la comunicazione di cui  al  comma 3, lettere a) e b),  notificano  all’Autorita’  nazionale  competente NIS, tramite la piattaforma digitale di cui  al  comma  1,  qualsiasi modifica delle informazioni trasmesse ai sensi del presente  articolo tempestivamente e, in ogni caso, entro quattordici giorni dalla  data della modifica.

[3] Articolo 6 (Censimento degli utenti)

1. A partire dal 1° dicembre 2024 ed entro il 28 febbraio 2025, i punti di contatto si autenticano sul Portale ACN tramite le proprie credenziali personali del Sistema Pubblico di Identità Digitale (SPID).

2. Gli utenti completano la propria anagrafica fornendo le informazioni seguenti, se non già condivise tramite SPID: a) nome e cognome;

b) luogo e data di nascita;

c) codice fiscale;

d) cittadinanza;

e) Paese di residenza e, ove richiesto, di domicilio;

f) indirizzo della sede prevalente di servizio, aziendale o professionale;

g) indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, aziendale o professionale;

h) ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, nonché di servizio, aziendale o professionale;

i) numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o professionale;

j) ove disponibile, un numero alternativo di telefono, preferibilmente individuale di servizio, aziendale o professionale.

3. Qualora, ai sensi della normativa vigente, un utente non possa disporre di credenziali SPID, può autenticarsi con credenziali personali. La procedura per la richiesta delle credenziali personali è pubblicata nella sezione dedicata del sito web. Tali utenti forniscono un codice di identificazione nazionale in luogo del codice fiscale di cui al comma 2, lettera c).

[4] Articolo 4 (Punto di contatto)

(omissis)

7. La designazione del punto di contatto da parte dei soggetti di cui all’articolo 1, comma 1, della legge 28 giugno 2024, n. 90, che rientrano nell’ambito di applicazione del decreto NIS, può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza di cui all’articolo 8, comma 2, della medesima legge.

[5] Art. 8 Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza

(omissis)

 2. Presso le strutture di cui al comma 1 opera il referente per la cybersicurezza, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza. Qualora i soggetti di cui all’articolo 1, comma 1, non dispongano di personale dipendente fornito di tali requisiti, possono conferire l’incarico di referente per la cybersicurezza a un dipendente di una pubblica amministrazione, previa autorizzazione di quest’ultima ai sensi dell’articolo 53 del decreto legislativo 30 marzo 2001, n. 165, nell’ambito delle risorse disponibili a legislazione vigente. Il referente per la cybersicurezza svolge anche la funzione di punto di contatto unico dell’amministrazione con l’Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative settoriali in materia di cybersicurezza cui è soggetta la medesima amministrazione. A tale fine, il nominativo del referente per la cybersicurezza è comunicato all’Agenzia per la cybersicurezza nazionale.

[6] Articolo 2 (Oggetto, ambito di applicazione e finalità)

(omissis)

3. Ai sensi dell’articolo 23, comma 1, lettera b), del decreto NIS, gli organi di amministrazione e gli organi direttivi dei soggetti NIS sovrintendono alla registrazione, comunicazione o aggiornamento delle informazioni di cui all’articolo 7, comma 1, del medesimo decreto e sono responsabili delle eventuali violazioni.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

sperimentazioni cliniche
trattamento dei dati personali

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

CYBERSECURITY
CYBERSECURITY: favorire la sua consapevolezza per gestirne i rischi. Il tool fornito da ACN per le amministrazioni pubbliche.
10 Maggio 2025
Sistemi AI
Obbligo in capo ai fornitori ed agli utilizzatori di sistemi di IA di garantire un livello sufficiente di alfabetizzazione dei propri dipendenti e di coloro che utilizzano i sistemi per loro conto.
27 Marzo 2025
La protezione dei dati. Diritto fondamentale dell'uomo
La protezione dei dati. Diritto fondamentale dell’uomo.
6 Aprile 2021

Start typing and press Enter to search