In questi giorni l’Agenzia per la Cybersicurezza Nazionale (ACN) sta notificando a tutti i soggetti – che si erano precedentemente registrati al portale dei servizi entro i termini previsti dal D. Lgs. 138/2024 di attuazione della Direttiva NIS2 (di seguito “Decreto”) – le decisioni adottate riguardo all’inclusione o esclusione dei singoli soggetti nell’elenco di coloro che rientrano nell’ambito di applicazione del Decreto.
A partire dalla ricezione di tale comunicazione e fino al prossimo 31 maggio, i soggetti interessati dovranno aggiornare o integrare le informazioni previste dall’art. 7, commi 4 e 5, del Decreto, accedendo alla propria area riservata nel portale. In particolare, sarà necessario indicare nell’apposita sezione:
- lo spazio di indirizzamento IP pubblico e i nomi di dominio attualmente utilizzati o nella disponibilità del soggetto;
- ove rilevante, l’elenco degli Stati membri in cui vengono forniti servizi rientranti nell’ambito di applicazione del Decreto;
- i responsabili di cui all’art. 38, comma 5, del Decreto, specificando il ruolo ricoperto all’interno del soggetto, insieme ai recapiti aggiornati, inclusi indirizzi e-mail e numeri telefonici;
- un sostituto del punto di contatto, con indicazione del ruolo ricoperto e dei relativi contatti aggiornati, compresi indirizzi e-mail e numeri di telefono;
- l’indirizzo della sede principale e delle eventuali altre sedi all’interno dell’Unione europea;
- se il soggetto non ha sede nell’Unione europea, l’indirizzo della sede del proprio rappresentante designato ai sensi dell’art. 5, comma 3, del Decreto, insieme ai dati di contatto aggiornati, comprensivi di e-mail e numeri telefonici.
Si precisa che le informazioni indicate ai punti e) ed f) devono essere comunicate esclusivamente da: i) fornitori di servizi di sistema dei nomi di dominio, ii) gestori di registri dei nomi di dominio di primo livello, iii) fornitori di servizi di registrazione dei nomi di dominio, iv) fornitori di servizi di cloud computing, v) fornitori di servizi di data center, vi) fornitori di reti di distribuzione dei contenuti, vii) fornitori di servizi gestiti, viii) fornitori di servizi di sicurezza gestiti, ix) fornitori di mercati online, x) fornitori di motori di ricerca online, e xi) fornitori di piattaforme di social network.
Inoltre, lo scorso 15 aprile l’ACN ha pubblicato la Determinazione n. 164179, che definisce le modalità e i requisiti tecnici di base per adempiere agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del Decreto, relativi alle misure di cybersecurity e alla gestione degli incidenti significativi.
La Determinazione riveste particolare importanza, poiché attraverso i suoi allegati tecnici – differenziati in base alla classificazione dei soggetti come essenziali o importanti – vengono dettagliate le misure di sicurezza da adottare e le tipologie di incidenti che devono essere oggetto di notifica.
