NIS 2: obbligo di nomina del punto di contatto entro il 31 maggio 2025

Premesso che:

– la direttiva (UE) 2022/2555 disciplina le misure per un livello comune elevato di cybersicurezza dell’Unione e modifica il regolamento Ue n. 910/2014 e la direttiva Ue 2018/1972, abrogando nel contempo la direttiva Ue 2016/1148; essa risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’Ue. Le principali novità introdotte sono: l’ampliamento dell’ambito soggettivo di applicazione della disciplina; la distinzione tra “soggetti essenziali” e “soggetti importanti” con l’adozione di un criterio dimensionale per la loro individuazione; la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria; l’adozione di un approccio “multirischio”; la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali; l’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala;

– la legge n. 90 del 28 giugno 2024 introduce nuove disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. La legge mira a rafforzare la resilienza cibernetica del Paese, potenziando gli strumenti di prevenzione e contrasto alle minacce, in coerenza con gli standard dettati dalla Direttiva Ue 2022/2555 (c.d. ‘Direttiva NIS 2’);

– il decreto legislativo 4 settembre 2024 n.138, pubblicato in GURI in data 01/10/2024, recepisce la Direttiva Ue 2022/2555; il decreto 138/2024, tra l’altro, conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) quale Autorità Nazionale Competente NIS, definendone i poteri per l’implementazione e l’attuazione del decreto medesimo; istituisce le Autorità di settore NIS chiamate a collaborare con l’ACN, supportandone la funzione di Autorità Nazionale Competente NIS e di Punto di Contatto Unico NIS; stabilisce i criteri per l’individuazione dei soggetti (pubblici e privati) tenuti a rispettare gli obblighi in materia di sicurezza informatica; definisce i criteri per identificare i soggetti a cui si applica il decreto e definisce i relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica.

– la Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale (di cui all’articolo 7, comma 6, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, recante termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimento di designazione dei rappresentanti NIS sul territorio nazionale), che si applica a decorrere dal 15 aprile 2025, dispone:

– all’Articolo 5 (Sostituto punto di contatto): 1. Il sostituto punto di contatto è una persona fisica, distinta dal punto di contatto, designato con le medesime modalità di quest’ultimo ai sensi dell’articolo 4 a cui si applicano le previsioni del citato articolo. 2. Il sostituto punto di contatto supporta il punto di contatto nell’esercizio delle proprie funzioni, può interloquire direttamente con l’Autorità nazionale competente NIS e può effettuare sulla piattaforma digitale le medesime azioni del punto di contatto, ad eccezione della registrazione di cui all’articolo 7 del decreto NIS. 3. Il sostituto punto di contatto è designato entro il 31 maggio dell’anno in cui il soggetto NIS ha ricevuto comunicazione di inserimento nell’elenco dei soggetti NIS.

– all’Articolo 8 (Associazione dell’utenza del punto di contatto e del sostituto al soggetto NIS): 1. Il punto di contatto, censito sul Portale ACN, effettua l’associazione della sua utenza con il soggetto che lo ha designato attraverso la digitazione del suo codice fiscale o del codice dell’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi (IPA).

2. L’utente: a) verifica la denominazione nonché l’indirizzo, il domicilio digitale e i recapiti della sede legale del soggetto visualizzati dal Portale ACN; b) indica se è:

1) rappresentante legale del soggetto;

2) procuratore generale del soggetto;

3) delegato dal rappresentante legale del soggetto;

c) indica il codice fiscale dell’organizzazione di cui è dipendente qualora diverso dal soggetto al quale si sta associando;

d) indica il ruolo svolto presso il soggetto.

3. Nel caso di cui al comma 2, lettera b), numero 3, l’utente inserisce sul Portale ACN la delega rilasciata a suo nome dal soggetto NIS, dichiarando che la stessa lo autorizza ad accedere al Portale ACN stesso e ai Servizi NIS per conto del medesimo soggetto.

4. L’associazione dell’utenza del punto di contatto è sottoposta alla convalida del soggetto NIS, secondo la procedura telematica indicata nella richiesta inviata al domicilio digitale di quest’ultimo.

5. Al termine del processo di censimento e associazione, il soggetto riceve al suo domicilio digitale la comunicazione di conclusione del processo stesso.

6. La convalida dell’associazione dell’utenza del punto di contatto ad un soggetto NIS determina la dissociazione, se presente, dell’utenza del punto di contatto precedentemente associata. 7. Il sostituto punto di contatto effettua, su invito del punto di contatto, l’associazione con le medesime modalità del punto di contatto di cui al presente articolo.

Di conseguenza i soggetti tenuti a tale adempimento devono rispettare gli obblighi di adozione delle misure di gestione dei rischi per la sicurezza informatica proporzionate al livello di rischio a cui sono esposti, tra cui la notifica all’Autorità nazionale competente NIS (Autorità Nazionale per la Cybersicurezza – ACN) gli incidenti significanti che hanno un impatto sui servizi forniti; la registrazione sulla piattaforma digitale dell’ACN, fornendo informazioni dettagliate sulle loro attività e sui loro sistemi;

Preso atto che:

il decreto NIS2, stabilisce che entro il 31 maggio 2025, i punti di contatto dei soggetti essenziali e importanti devono trasmettere all’Agenzia per la cybersicurezza nazionale (ACN) le informazioni richieste dall’art. 7, commi 4 e 5, del d.lgs. 138/2024, utilizzando esclusivamente il Portale dei Servizi. In particolare, il comma 4 prevede, per quanto di stretto interesse in questa sede, che sia comunicato all’Agenzia per la cybersicurezza nazionale la seguente informazione aggiuntiva:

il sostituto del punto di contatto;

Il sostituto è una persona fisica distinta dal punto di contatto, designata per supportarne l’attività e garantire la continuità operativa nei rapporti con l’Autorità nazionale competente NIS. Può interagire direttamente con l’ACNe operare sulla piattaforma digitale dell’Agenzia, con le stesse funzionalità attribuite al punto di contatto, ad eccezione dell’attività di registrazione iniziale prevista dallo stesso art. 7.

Le funzioni di punto di contatto, così come quelle del sostituto, possono essere attribuite:

al rappresentante legale del soggetto NIS;
a un dipendente formalmente delegato dal legale rappresentante.

È quindi essenziale che la persona designata sia adeguatamente formata, reperibile e consapevole delle responsabilità connesse al ruolo.

Obblighi in capo agli enti ed alle imprese soggette alla NIS2

Individuare un soggetto interno all’organizzazione che abbia la formazione idonea a svolgere le funzioni del punto di contatto sostitutivo.
Provvedere alla nomina formale del punto di contatto sostitutivo.
Effettuare la comunicazione all’Agenzia per la cybersicurezza nazionale degli estremi della persona fisica nominata punto di contatto sostitutivo.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Obbligo di nomina del punto di contatto entro il 31 maggio 2025

About Author / Davide De Luca

Gli elementi essenziali da richiamare nei contratti ICT: pubblicato il Decreto

Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale

Lascia un commento Annulla risposta