La NIS2 e il ruolo rivestito dal Punto di Contatto.
La figura del Punto di Contatto (di seguito, anche: “PdC”) viene disciplinata dal legislatore comunitario, attraverso la Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del Regolamento (UE) n. 910/2014 e della Direttiva (UE) 2018/1972 e che abroga la Direttiva (UE) 2016/1148, svariate volte.
Il Decreto Legislativo 4 settembre 2024 n. 138 (di seguito “Decreto NIS 2”) ha recepito il Decreto NIS 2, sia ai fini della registrazione sulla piattaforma digitale resa disponibile dall’ACN, che per la designazione di un punto di contatto.
L’Art. 7 rubricato “Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti” dispone che dal 1° gennaio al 28 febbraio di ogni anno successivo alla data di entrata in vigore del presente decreto, i soggetti di cui all’articolo 3, si registrano o aggiornano la propria registrazione sulla piattaforma digitale resa disponibile dall’Autorita’ nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale anche ai sensi del presente decreto.
A tal fine, tali soggetti forniscono o aggiornano almeno le informazioni seguenti:
a) la ragione sociale;
b) l’indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
c) la designazione di un punto di contatto, indicando:
c.1 il ruolo presso il soggetto
c.2 i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
Dal 15 aprile al 31 maggio di ogni anno successivo alla data di entrata in vigore del presente decreto, tramite la piattaforma digitale di cui al comma 1, i soggetti che hanno ricevuto la comunicazione di cui al comma 3, lettere a) e b)[1], forniscono o aggiornano (per quanto di stretto interesse in questa sede) le seguenti informazioni:
Chi può essere nominato in qualità di Punto di Contatto
Premesso che, il referente aziendale per la cybersicurezza svolge anche la funzione di punto di contatto unico dell’ente o dell’azienda con l’Agenzia nazionale per la Cybersicurezza, alla luce della Determinazione dell’ACN, le funzioni di punto di contatto possono essere svolte:
- dal rappresentante legale del soggetto NIS,
- da uno dei procuratori generali del soggetto NIS
- da un dipendente del soggetto NIS delegato dal rappresentante legale del soggetto medesimo.”
Pertanto, il Punto di contatto è il rappresentante legale o un suo procuratore generale oppure un dipendente delegato del soggetto.
In quest’ultimo caso, nel corso della registrazione, il punto di contatto dovrà caricare il titolo giuridico che lo delega a operare per conto del soggetto nel contesto NIS. Come titolo giuridico è sufficiente una delega del rappresentante legale che può essere ad-hoc (modello suggerito) o anche una delega pre-esistente più ampia.
Per le pubbliche amministrazioni è possibile designare quale punto di contatto il dipendente di un’altra pubblica amministrazione che rientra nell’ambito di applicazione del decreto NIS.
Analogamente, i soggetti che fanno parte di un gruppo di imprese possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.
Il punto di contatto ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso, a partire dalla registrazione, e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS.
Quali sono le informazioni necessarie per la registrazione?
La registrazione si compone di tre fasi: il censimento del punto di contatto, la sua associazione al soggetto NIS e la compilazione della dichiarazione.
- Per la fase di censimento del punto di contatto, sarà necessario verificare o fornire i seguenti dati:
- nome e cognome;
- luogo e data di nascita;
- codice fiscale;
- cittadinanza;
- Paese di residenza e, ove richiesto, di domicilio;
- indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, aziendale o professionale;
- ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, nonché di servizio, aziendale o professionale;
- numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o professionale;
- ove disponibile, un numero alternativo di telefono, preferibilmente individuale di servizio, aziendale o professionale.
I compiti attribuiti al Punto di Contatto
Il punto di contatto accede alla piattaforma con l’identità digitale SPID. Una volta effettuato il login, le azioni da compiere sono semplici; all’interno della piattaforma è disponibile anche una guida alla registrazione che spiega, passo dopo passo, le informazioni da inserire.
Il punto di contatto deve, in prima istanza, associarsi all’organizzazione inserendo il codice fiscale o il codice IPA. L’organizzazione riceverà dall’ACN un’e-mail di posta elettronica certificata (PEC) al proprio domicilio digitale, per convalidare il censimento. In seguito, occorre compilare la registrazione con i dati dell’organizzazione relativi al contesto societario, alla caratterizzazione e alle tipologie di soggetto. La procedura si conclude con l’autovalutazione, da parte del punto di contatto, dell’organizzazione come soggetto essenziale, importante o fuori ambito. Prima di inviare i dati, è necessario verificare e confermare tutte le informazioni inserite. Entro aprile 2025, l’Autorità nazionale competente NIS, ovvero ACN, comunicherà al domicilio digitale di tutti i soggetti registrati se rientrano, o meno, nell’elenco dei soggetti NIS.
La registrazione è obbligatoria per le organizzazioni pubbliche o private interessate dalla nuova normativa NIS.
Sul sito dell’ACN sono già disponibili le informazioni relative ai settori e sottosettori inclusi nel mondo NIS, incluse le modalità per determinare se un’organizzazione è “essenziale” o “importante”. Tale distinzione è cruciale, poiché prevede requisiti di compliance diversi, con misure più stringenti per i soggetti essenziali.
Secondo la Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale del 26 novembre 2024, è:
- una persona fisica con il compito di:
- curare l’attuazione delle disposizioni della Direttiva NIS 2,
- a partire dal Censimento dell’organizzazione sul portale ACN;
- accede al portale ACN e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente;
- in particolare è responsabile di garantire il reporting ed in particolare il costante flusso informativo verso ACN per le notifiche in caso di evento cyber;
- riferisce direttamente al vertice aziendale gerarchico del soggetto, nonché agli organi di amministrazione e direttivi del medesimo, ai fini di quanto previsto dal Decreto NIS 2 e in merito all’adempimento dei propri obblighi in qualità di “Punto di contatto”.
Profili di responsabilità
Pertanto, sebbene la direzione strategica resti responsabile per i profili di non conformità alla norma, la responsabilità si estende anche alle persone fisiche che agiscono in rappresentanza o esercitano un controllo sul soggetto sottoposto alla NIS 2.
Per il Punto di Contatto valgono, quindi, le regole della responsabilità Professionale, che si declinano nei seguenti ambiti:
Responsabilità penale. Sorge quando ci sia violazione di ordini o divieti espressamente previsti dal codice penale o da altre leggi dello Stato; conseguenza di tale violazione o divieto è l’emersione della fattispecie di un reato.
Responsabilità civile, che consiste nella copertura delle perdite patrimoniali subite da terzi in conseguenza di errori od omissioni nell’esercizio delle attività svolte dal professionista o da società che svolgono servizi professionali.
Responsabilità disciplinare/ordinistico-disciplinare che scatta a seguito di atti compiuti in violazione di diritti.
Pertanto, l’ente o l’azienda possono rivalersi sul Punto di Contatto; la cui persona va garantita assegnandogli risorse, consentendogli di interagire con i vertici aziendali; individuandola tra un dirigente o un alto funzionario.
È auspicabile che non ci sia sovrapposizione tra il ruolo di Amministratore di Sistema (AdS) ed il PdC, anche perché questi deve avere una specifica competenza in materia di gestione del rischio e di compliance; skills non richiesti all’AdS.
Una volta designato e inserito/registrato il PdC sulla Piattaforma ACN, l’ente o l’azienda potrà modificare la nomina individuando un altro soggetto; anche se in un’ottica che miri a garantire la continuità (attesi anche gli investimenti dovuti per la formazione e l’aggiornamento del Punto di Contatto) si suggerisce di individuare e nominare un PdC garantendogli una finestra temporale che copra diversi anni.
La necessità di avere un PdC che agisce su più annualità trova giustificazione anche nel fatto che il percorso per raggiungere la conformità normativa è lungo e complesso, per cui in termini di efficacia e di efficienza mantenere nel tempo lo stesso professionista, quale PdC, è da ritenere come la decisione giusta.
Le informazioni riguardanti il Punto di Contatto vanno aggiornate almeno annualmente, a meno che la sua sostituzione avvenga prima. Nel corso del primo bimestre dell’anno (mesi di gennaio e febbraio).
Quindi, sulla scorta di quanto sin qui argomentato, se in fase di prima registrazione del nominativo del PdC, l’ente o l’azienda ha nominato un PdC per “tamponare” la situazione, successivamente, cioè a decorrere dall’anno successivo la direzione strategica avrà tutto il tempo per scegliere la professionalità più consona a rivestire tale ruolo.
Le scadenze principali per gli enti e le aziende soggette alla NIS 2
- Entro metà maggio 2025, trasmissione e aggiornamento, tempestivo (comunque non oltre 14 giorni dalla modifica) delle informazioni dei soggetti NIS (articolo 7, commi 4, 5 e 7)[2].
- Entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di notifica di incidente.
- Entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di sicurezza informatica.
[1] 3. Tramite la piattaforma digitale di cui al comma 1, l’Autorita’ nazionale competente NIS comunica ai soggetti registrati di cui al comma 2:
a) l’inserimento nell’elenco dei soggetti essenziali o importanti;
b) la permanenza nell’elenco dei soggetti essenziali o importanti;
[2] Art. 7 Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti
(omissis)
. 4. Dal 15 aprile al 31 maggio di ogni anno successivo alla data di entrata in vigore del presente decreto, tramite la piattaforma digitale di cui al comma 1, i soggetti che hanno ricevuto la comunicazione di cui al comma 3, lettere a) e b), forniscono o aggiornano almeno le informazioni seguenti: a) lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilita’ del soggetto; b) ove applicabile, l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del presente decreto; c) i responsabili di cui all’articolo 38, comma 5, indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono; d) un sostituto del punto di contatto di cui al comma 1, lettera c), indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.
5. I fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonche’ i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network, forniscono all’Autorita’ nazionale competente NIS, secondo le modalita’ di cui al comma 4, anche: a) l’indirizzo della sede principale e delle altre sedi del soggetto nell’Unione europea; b) se non e’ stabilito nell’Unione europea, l’indirizzo della sede del suo rappresentante ai sensi dell’articolo 5, comma 3, unitamente ai dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.
7. I soggetti che hanno ricevuto la comunicazione di cui al comma 3, lettere a) e b), notificano all’Autorita’ nazionale competente NIS, tramite la piattaforma digitale di cui al comma 1, qualsiasi modifica delle informazioni trasmesse ai sensi del presente articolo tempestivamente e, in ogni caso, entro quattordici giorni dalla data della modifica.