La NIS2 e il ruolo rivestito dal Punto di Contatto.

La figura del Punto di Contatto (di seguito, anche: “PdC”) viene disciplinata dal legislatore comunitario, attraverso la Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del Regolamento (UE) n. 910/2014 e della Direttiva (UE) 2018/1972 e che abroga la Direttiva (UE) 2016/1148, svariate volte.

Il Decreto Legislativo 4 settembre 2024 n. 138 (di seguito “Decreto NIS 2”) ha recepito il Decreto NIS 2, sia ai fini della registrazione sulla piattaforma digitale resa disponibile dall’ACN, che per la designazione di un punto di contatto.

L’Art. 7 rubricato “Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti” dispone che dal 1° gennaio al 28 febbraio di ogni anno successivo alla  data di entrata  in  vigore  del  presente  decreto,  i  soggetti  di  cui all’articolo 3, si registrano o aggiornano la  propria  registrazione sulla piattaforma digitale resa disponibile dall’Autorita’ nazionale competente NIS ai fini dello svolgimento  delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale anche ai sensi del presente decreto.

A tal fine, tali soggetti forniscono o aggiornano almeno le informazioni seguenti:

    a) la ragione sociale;

    b) l’indirizzo e i recapiti aggiornati,  compresi  gli  indirizzi e-mail e i numeri di telefono;

    c) la designazione di un punto di contatto,  indicando:

c.1 il  ruolo presso il soggetto

c.2 i recapiti aggiornati,  compresi  gli  indirizzi e-mail e i numeri di telefono;

Dal 15 aprile al 31 maggio di ogni anno successivo alla data  di entrata in  vigore  del  presente  decreto,  tramite  la  piattaforma digitale di cui  al  comma  1,  i  soggetti  che  hanno    ricevuto  la comunicazione di cui al comma  3,  lettere  a)  e  b)[1],  forniscono  o aggiornano (per quanto di stretto interesse in questa sede) le seguenti informazioni:

Chi può essere nominato in qualità di Punto di Contatto

Premesso che, il referente aziendale per la cybersicurezza svolge anche la funzione di punto di contatto unico dell’ente o dell’azienda con l’Agenzia nazionale per la Cybersicurezza, alla luce della Determinazione dell’ACN, le funzioni di punto di contatto possono essere svolte:

  • dal rappresentante legale del soggetto NIS,
  • da uno dei procuratori generali del soggetto NIS
  • da un dipendente del soggetto NIS delegato dal rappresentante legale del soggetto medesimo.”

Pertanto, il Punto di contatto è il rappresentante legale o un suo procuratore generale oppure un dipendente delegato del soggetto.

In quest’ultimo caso, nel corso della registrazione, il punto di contatto dovrà caricare il titolo giuridico che lo delega a operare per conto del soggetto nel contesto NIS. Come titolo giuridico è sufficiente una delega del rappresentante legale che può essere ad-hoc (modello suggerito) o anche una delega pre-esistente più ampia.

Per le pubbliche amministrazioni è possibile designare quale punto di contatto il dipendente di un’altra pubblica amministrazione che rientra nell’ambito di applicazione del decreto NIS.

Analogamente, i soggetti che fanno parte di un gruppo di imprese possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Il punto di contatto ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso, a partire dalla registrazione, e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS.

Quali sono le informazioni necessarie per la registrazione?

La registrazione si compone di tre fasi: il censimento del punto di contatto, la sua associazione al soggetto NIS e la compilazione della dichiarazione.

  1. Per la fase di censimento del punto di contatto, sarà necessario verificare o fornire i seguenti dati:
    1. nome e cognome;
    2. luogo e data di nascita;
    3. codice fiscale;
    4. cittadinanza;
    5. Paese di residenza e, ove richiesto, di domicilio;
    6. indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, aziendale o professionale;
    7. ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, nonché di servizio, aziendale o professionale;
    8. numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o professionale;
    9. ove disponibile, un numero alternativo di telefono, preferibilmente individuale di servizio, aziendale o professionale.

I compiti attribuiti al Punto di Contatto

Il punto di contatto accede alla piattaforma con l’identità digitale SPID. Una volta effettuato il login, le azioni da compiere sono semplici; all’interno della piattaforma è disponibile anche una guida alla registrazione che spiega, passo dopo passo, le informazioni da inserire.

Il punto di contatto deve, in prima istanza, associarsi all’organizzazione inserendo il codice fiscale o il codice IPA. L’organizzazione riceverà dall’ACN un’e-mail di posta elettronica certificata (PEC) al proprio domicilio digitale, per convalidare il censimento. In seguito, occorre compilare la registrazione con i dati dell’organizzazione relativi al contesto societario, alla caratterizzazione e alle tipologie di soggetto. La procedura si conclude con l’autovalutazione, da parte del punto di contatto, dell’organizzazione come soggetto essenziale, importante o fuori ambito. Prima di inviare i dati, è necessario verificare e confermare tutte le informazioni inserite. Entro aprile 2025, l’Autorità nazionale competente NIS, ovvero ACN, comunicherà al domicilio digitale di tutti i soggetti registrati se rientrano, o meno, nell’elenco dei soggetti NIS.

La registrazione è obbligatoria per le organizzazioni pubbliche o private interessate dalla nuova normativa NIS.

Sul sito dell’ACN sono già disponibili le informazioni relative ai settori e sottosettori inclusi nel mondo NIS, incluse le modalità per determinare se un’organizzazione è “essenziale” o “importante”. Tale distinzione è cruciale, poiché prevede requisiti di compliance diversi, con misure più stringenti per i soggetti essenziali.

Secondo la Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale del 26 novembre 2024, è:

  1. una persona fisica con il compito di:
  2.  curare l’attuazione delle disposizioni della Direttiva NIS 2,
  3. a partire dal Censimento dell’organizzazione sul portale ACN;
  4. accede al portale ACN e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente;
  1. in particolare è responsabile di garantire il reporting ed in particolare il costante flusso informativo verso ACN per le notifiche in caso di evento cyber;
  2. riferisce direttamente al vertice aziendale gerarchico del soggetto, nonché agli organi di amministrazione e direttivi del medesimo, ai fini di quanto previsto dal Decreto NIS 2 e in merito all’adempimento dei propri obblighi in qualità di “Punto di contatto”.

Profili di responsabilità

Pertanto, sebbene la direzione strategica resti responsabile per i profili di non conformità alla norma, la responsabilità si estende anche alle persone fisiche che agiscono in rappresentanza o esercitano un controllo sul soggetto sottoposto alla NIS 2.

Per il Punto di Contatto valgono, quindi, le regole della responsabilità Professionale, che si declinano nei seguenti ambiti:

Responsabilità penale. Sorge quando ci sia violazione di ordini o divieti espressamente previsti dal codice penale o da altre leggi dello Stato; conseguenza di tale violazione o divieto è l’emersione della fattispecie di un reato.

Responsabilità civile, che consiste nella copertura delle perdite patrimoniali subite da terzi in conseguenza di errori od omissioni nell’esercizio delle attività svolte dal professionista o da società che svolgono servizi professionali.

Responsabilità disciplinare/ordinistico-disciplinare che scatta a seguito di atti compiuti in violazione di diritti.

Pertanto, l’ente o l’azienda possono rivalersi sul Punto di Contatto; la cui persona va garantita assegnandogli risorse, consentendogli di interagire con i vertici aziendali; individuandola tra un dirigente o un alto funzionario.

È auspicabile che non ci sia sovrapposizione tra il ruolo di Amministratore di Sistema (AdS) ed il PdC, anche perché questi deve avere una specifica competenza in materia di gestione del rischio e di compliance; skills non richiesti all’AdS.

Una volta designato e inserito/registrato il PdC sulla Piattaforma ACN, l’ente o l’azienda potrà modificare la nomina individuando un altro soggetto; anche se in un’ottica che miri a garantire la continuità (attesi anche gli investimenti dovuti per la formazione  e l’aggiornamento del Punto di Contatto) si suggerisce di individuare e nominare un PdC garantendogli una finestra temporale che copra diversi anni.

La necessità di avere un PdC che agisce su più annualità trova giustificazione anche nel fatto che il percorso per raggiungere la conformità normativa è lungo e complesso, per cui in termini di efficacia e di efficienza mantenere nel tempo lo stesso professionista, quale PdC, è da ritenere come la decisione giusta.

Le informazioni riguardanti il Punto di Contatto vanno aggiornate almeno annualmente, a meno che la sua sostituzione avvenga prima. Nel corso del primo bimestre dell’anno (mesi di gennaio e febbraio).

Quindi, sulla scorta di quanto sin qui argomentato, se in fase di prima registrazione del nominativo del PdC, l’ente o l’azienda ha nominato un PdC per “tamponare” la situazione, successivamente, cioè a decorrere dall’anno successivo la direzione strategica avrà tutto il tempo per scegliere la professionalità più consona a rivestire tale ruolo.

Le scadenze principali per gli enti e le aziende soggette alla NIS 2

  • Entro metà maggio 2025, trasmissione e aggiornamento, tempestivo (comunque non oltre 14 giorni dalla modifica) delle informazioni dei soggetti NIS (articolo 7, commi 4, 5 e 7)[2].
  •  Entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di notifica di incidente.
  •  Entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di sicurezza informatica.

[1]   3. Tramite la piattaforma digitale di cui al comma  1,  l’Autorita’ nazionale competente NIS comunica ai soggetti registrati  di  cui  al comma 2:

    a)  l’inserimento   nell’elenco   dei   soggetti   essenziali   o importanti;

    b)  la  permanenza  nell’elenco   dei   soggetti   essenziali   o importanti;

[2] Art. 7  Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti

 (omissis)

.   4. Dal 15 aprile al 31 maggio di ogni anno successivo alla data  di entrata in  vigore  del  presente  decreto,  tramite  la  piattaforma digitale di cui  al  comma  1,  i  soggetti  che  hanno  ricevuto  la comunicazione di cui al comma  3,  lettere  a)  e  b),  forniscono  o aggiornano almeno le informazioni seguenti:      a) lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilita’ del soggetto;      b) ove applicabile, l’elenco degli Stati membri in cui forniscono servizi  che  rientrano  nell’ambito  di  applicazione  del  presente decreto;  c) i responsabili di cui all’articolo 38, comma 5,  indicando  il ruolo presso il soggetto e i loro recapiti aggiornati,  compresi  gli indirizzi e-mail e i numeri di telefono;  d) un sostituto del punto di contatto di cui al comma 1,  lettera c), indicando il ruolo presso il soggetto e  i  recapiti  aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.

  5. I fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di  primo  livello,  i  fornitori  di servizi di registrazione dei nomi di dominio, i fornitori di  servizi di cloud  computing,  i  fornitori  di  servizi  di  data  center,  i fornitori di reti di distribuzione  dei  contenuti,  i  fornitori  di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonche’ i fornitori di mercati online,  i  fornitori  di  motori  di  ricerca online e i fornitori di piattaforme  di  social  network,  forniscono all’Autorita’ nazionale competente NIS, secondo le modalita’  di  cui al comma 4, anche:      a) l’indirizzo della sede  principale  e  delle  altre  sedi  del soggetto nell’Unione europea;      b) se non e’ stabilito  nell’Unione  europea,  l’indirizzo  della sede del suo  rappresentante  ai  sensi  dell’articolo  5,  comma  3, unitamente ai dati di contatto  aggiornati,  compresi  gli  indirizzi e-mail e i numeri di telefono.    

  7. I soggetti che hanno ricevuto la comunicazione di cui  al  comma 3, lettere a) e b),  notificano  all’Autorita’  nazionale  competente NIS, tramite la piattaforma digitale di cui  al  comma  1,  qualsiasi modifica delle informazioni trasmesse ai sensi del presente  articolo tempestivamente e, in ogni caso, entro quattordici giorni dalla  data della modifica.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Lascia un commento

Your email address will not be published.

Start typing and press Enter to search