La scadenza per la registrazione all’Agenzia per la Cybersicurezza Nazionale (ACN) è ormai imminente. Il termine ultimo per la registrazione in conformità alla direttiva NIS2 scade tra 48 ore. Le aziende soggette all’obbligo devono completare la procedura entro il 28 Febbraio 2025, pena sanzioni significative.

La direttiva NIS2, entrata in vigore a livello europeo, impone requisiti stringenti di sicurezza informatica a numerose realtà, individuate in due categorie principali: entità essenziali ed entità importanti. Queste aziende, operanti in settori ritenuti critici per la sicurezza nazionale e comunitaria, devono garantire un adeguato livello di protezione dei propri sistemi e servizi digitali.

Chi è obbligato alla registrazione ACN

La registrazione ad ACN è richiesta a tutte le aziende che rientrano nei settori regolamentati dalla NIS2 (Allegati I, II, III e IV del DECRETO LEGISLATIVO 4 settembre 2024, n. 138), a condizione che superino determinate soglie dimensionali (salvo alcune eccezioni).

Le entità essenziali includono aziende di settori strategici come energia, trasporti, sanità, acqua potabile e acque reflue, infrastrutture digitali e gestione servizi ICT, banche e mercati finanziari e aziende operanti nel settore “spazio”. Per queste realtà, il quadro normativo prevede controlli più rigorosi e obblighi di compliance stringenti.

Le entità importanti, invece, comprendono aziende di servizi postali, gestione rifiuti, produzione chimica e manifatturiera, alcuni fornitori di servizi digitali e enti di ricerca. Anche per queste organizzazioni è richiesto un adeguamento alla normativa, sebbene con modalità di controllo meno invasive.

Sono coinvolte negli obblighi anche le amministrazioni centrali e locali, nonché altri soggetti pubblici.

L’obbligo di registrazione scatta per tutte le aziende dei suddetti settori che superano i seguenti requisiti dimensionali:

• Entità essenziali: più di 250 dipendenti e/o un fatturato annuo superiore a 50 milioni di euro.
• Entità importanti: più di 50 dipendenti e/o un fatturato annuo superiore a 10 milioni di euro.

Esistono, tuttavia, alcune eccezioni. Anche aziende di dimensioni più contenute possono essere obbligate a registrarsi se operano in settori ad alta rilevanza strategica, forniscono servizi digitali di supporto a infrastrutture critiche o sono individuate direttamente dall’ACN come entità chiave per la cybersicurezza nazionale.

Le conseguenze della mancata registrazione

Non rispettare l’obbligo di registrazione non è un’opzione priva di conseguenze. La direttiva NIS2 prevede sanzioni economiche rilevanti per chi non si adegua nei tempi previsti.

Per le entità essenziali, la sanzione può arrivare fino allo 0,1% del fatturato annuo globale dell’azienda.
Per le entità importanti, la multa può raggiungere lo 0,07% del fatturato annuo globale.
Nel caso della pubblica amministrazione, le sanzioni possono variare da un minimo di 10.000 euro a un massimo di 50.000 euro.

Oltre alle sanzioni pecuniarie, la mancata registrazione può comportare limitazioni operative e un aumento delle responsabilità in caso di incidente informatico. La normativa prevede infatti che le aziende iscritte adottino specifiche misure di sicurezza e protocolli di gestione del rischio, con l’obiettivo di prevenire e mitigare eventuali attacchi informatici.

Come completare la registrazione

La procedura di registrazione deve essere effettuata tramite il portale dedicato di ACN. Il primo passo consiste nella designazione di un punto di contatto (POC), ovvero un referente aziendale responsabile della comunicazione con ACN. Questa figura può coincidere con il legale rappresentante dell’azienda o con un dipendente delegato.

L’accesso alla piattaforma avviene tramite autenticazione SPID e richiede la compilazione di una serie di documenti, tra cui:

• Dati identificativi del POC (nome, cognome, codice fiscale, email, telefono) e delega firmata dal legale rappresentante nel caso i due ruoli non coincidano.
• Informazioni relative all’azienda (codice fiscale, informazioni presenti in visura camerale, bilancio, numero di dipendenti, codici ATECO, ecc.).
• Dichiarazione NIS, in cui l’azienda deve fornire dettagli sulla propria struttura organizzativa, le tipologie di servizi erogati e l’autovalutazione dell’impatto in caso di incidente di sicurezza.

Con la scadenza ormai imminente, è fondamentale non rimandare ulteriormente. Le aziende che non hanno ancora completato la procedura devono agire immediatamente per evitare sanzioni e garantire la continuità operativa in conformità alla normativa vigente.

La registrazione rappresenta solo il primo passo. Le scadenze previste sono:

• Entro febbraio 2025: censimento e registrazione dei soggetti
• Entro marzo 2025: adozione dell’elenco dei soggetti NIS
• Entro aprile 2025: notifica ai soggetti NIS (PEC ai soggetti inseriti nelle liste ufficiali)
• Entro aprile 2025: elaborazione e adozione obblighi di base (come l’implementazione di una procedura per il contatto con le autorità CSIRT)
• A partire da gennaio 2026: obbligo di notifica di base
• Entro aprile 2026: elaborazione e adozione del modello di 
  categorizzazione delle attività e dei servizi
• Entro aprile 2026: elaborazione e adozione degli
  obblighi a lungo termine
• Entro settembre 2026: completa implementazione
  delle misure di sicurezza di base.

Per supporto nella registrazione e nell’adeguamento alla direttiva NIS2, è possibile contattare il nostro team di esperti: CONTATTACI!