Da dicembre 2024, un nuovo capitolo nella protezione digitale delle infrastrutture critiche italiane prende il via. Imprese e pubbliche amministrazioni sono chiamate a un adempimento fondamentale: registrarsi sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale (ACN). Questo processo, sancito dal Decreto Legislativo 4 settembre 2024, n. 138 (che recepisce la Direttiva (UE) 2022/2555, nota come Decreto NIS), mira a creare una rete nazionale resiliente contro i rischi informatici, censendo e monitorando le infrastrutture critiche. L'obiettivo è semplice ma cruciale: difendere l'economia, i servizi pubblici e i cittadini dalle minacce sempre più sofisticate del cybercrime.
La Determinazione del Direttore Generale dell’ACN: Fondamento Operativo
Il 26 novembre 2024, la Determinazione del Direttore Generale dell’ACN ha stabilito le regole operative per l'utilizzo del Portale digitale ACN. Questa piattaforma è il mezzo attraverso cui i soggetti inclusi nel perimetro di applicazione del Decreto NIS devono adempiere agli obblighi di registrazione e agli ulteriori adempimenti previsti dalla normativa. In vigore dal primo dicembre 2024, la Determinazione funge da strumento pratico per dare attuazione alle disposizioni contenute negli articoli 7 e 40, comma 5, lettera b), del decreto legislativo n. 138/2024.
La normativa impone a soggetti pubblici e privati identificati come soggetti NIS, e appartenenti alle categorie definite negli allegati I, II, III e IV del decreto, di completare la registrazione o aggiornare le informazioni già fornite tramite il Portale ACN entro la scadenza del 28 febbraio 2025. Attraverso questa Determinazione, l'ACN ha introdotto un manuale operativo sui termini, le modalità e le procedure per l'uso della piattaforma.
Registrazione sulla Piattaforma NIS: Un Passaggio Cruciale per la Cybersecurity
La registrazione sulla piattaforma NIS rappresenta un passaggio cruciale per l'applicazione del D. Lgs. 138/2024 al fine di garantire un livello uniforme ed elevato di sicurezza cibernetica all'interno dell'Unione Europea. Come indicato all'Articolo 7 del Decreto NIS, la piattaforma funge da mezzo operativo per la raccolta, verifica e gestione delle informazioni necessarie da parte dell'Autorità Nazionale, garantendo così il rispetto degli obblighi normativi da parte degli operatori coinvolti.
L'obiettivo principale della piattaforma è rafforzare il sistema nazionale di sicurezza cibernetica, agevolando un'interazione efficace tra i soggetti interessati e l'Agenzia per la Cybersicurezza Nazionale. Questo approccio mira a garantire trasparenza nei procedimenti amministrativi e a promuovere una maggiore responsabilità attraverso un controllo rigoroso delle informazioni comunicate.
Sanzioni per Inadempienze
È importante sottolineare che omissioni, errori o imprecisioni nella registrazione sulla piattaforma possono comportare pesanti sanzioni, come stabilito dall'Articolo 38 del Decreto. Pertanto, è fondamentale che le organizzazioni, sia pubbliche sia private, avviino tempestivamente il processo di registrazione, rispettando le modalità e le scadenze previste per assicurare la piena conformità alla normativa.
Nominare un Punto di Contatto: La Figura Chiave
Un elemento centrale introdotto dalla Determinazione è l'obbligo per ogni soggetto NIS di nominare un punto di contatto, figura chiave incaricata di assicurare l'attuazione delle disposizioni previste dal Decreto NIS. Ai sensi dell'articolo 4 della Determinazione, il punto di contatto deve svolgere le seguenti funzioni:
- Gestire le relazioni con l’ACN e garantire l’applicazione corretta delle norme del Decreto NIS.
- Essere una persona fisica designata dal soggetto NIS, con possibilità che tale ruolo sia ricoperto dal rappresentante legale, da uno dei procuratori generali, o da un dipendente designato tramite delega dal rappresentante legale stesso.
- Nel caso di pubbliche amministrazioni, le funzioni possono essere attribuite a un dipendente di un’altra amministrazione inclusa nel perimetro del Decreto NIS, previa delega del rappresentante legale dell’ente interessato.
Nonostante il punto di contatto svolga un ruolo operativo nella gestione degli adempimenti, la responsabilità finale per il rispetto delle disposizioni resta in capo agli organi direttivi e amministrativi del soggetto NIS. Eventuali inadempimenti o violazioni delle norme possono comportare sanzioni ai sensi degli articoli 23 e 38 del decreto legislativo n. 138/2024, sottolineando la necessità di un approccio rigoroso e responsabile nell’individuazione e gestione di tale figura.
Scadenza dei Termini per la Registrazione: Un Invito all'Azione
Dal 1° dicembre 2024, i soggetti identificati come appartenenti al perimetro del Decreto NIS sono invitati ad avviare il processo di registrazione obbligatoria sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN), che deve essere completato entro il termine tassativo del 28 febbraio 2025. L’accesso alla piattaforma avviene tramite credenziali personali del Sistema Pubblico di Identità Digitale (SPID) o, in alternativa, con altre credenziali specificamente autorizzate dall’ACN.
Le Tre Fasi del Processo di Registrazione al Portale
La procedura di registrazione si articola in tre passaggi principali, ciascuno con obiettivi specifici e requisiti dettagliati:
1. Censimento degli Utenti: L'Identificazione Iniziale
Questa fase rappresenta il primo step per l’accesso alla piattaforma. Il punto di contatto designato deve autenticarsi utilizzando le proprie credenziali personali (SPID o equivalente) e fornire una serie di dati identificativi. L’ACN utilizza queste informazioni per verificare l’identità dell’utente e garantirne l’idoneità a rappresentare il soggetto NIS.
Durante il censimento, gli utenti devono fornire informazioni anagrafiche specifiche, a meno che non siano già state trasmesse tramite SPID. Tra i dati richiesti vi sono:
- Nome e cognome.
- Codice fiscale.
- Cittadinanza.
- Indirizzo di residenza.
- Contatti elettronici e telefonici.
Questi dati devono essere completi e accurati per garantire una corretta associazione tra l’utente e il soggetto NIS designante, evitando errori che potrebbero compromettere l’accesso ai Servizi NIS o ritardare il processo. Per coloro che non dispongono di credenziali SPID, è prevista una procedura alternativa di autenticazione, descritta nella sezione dedicata del sito web dell’ACN. In questi casi, l’utente deve fornire un codice di identificazione nazionale in sostituzione del codice fiscale, rispettando le normative vigenti. Questa opzione è disponibile solo in situazioni eccezionali.
L’Articolo 6 sottolinea la rilevanza di questa fase iniziale del processo di registrazione. Il censimento non solo abilita gli utenti all’accesso ai Servizi NIS, ma costituisce la base per l’associazione formale tra l’utente e il soggetto NIS. Un’informazione incompleta o inaccurata può invalidare la registrazione, causando ritardi operativi o, in alcuni casi, sanzioni.
2. Associazione del Punto di Contatto al Soggetto NIS: La Connessione Ufficiale
Dopo l’autenticazione iniziale, il sistema verifica la corrispondenza tra il punto di contatto e il soggetto NIS che rappresenta. Questa associazione è fondamentale per accertare che il punto di contatto abbia l’autorità necessaria per agire in nome e per conto del soggetto. La verifica può includere la validazione di documenti ufficiali o deleghe fornite dal rappresentante legale del soggetto NIS.
La procedura di associazione dell’utenza del punto di contatto al soggetto NIS, disciplinata dall’Articolo 7 della Determinazione, rappresenta una fase critica per garantire che ogni punto di contatto sia correttamente collegato al soggetto designante, assicurando la validità delle operazioni svolte tramite il Portale ACN.
Il punto di contatto, una volta censito sul Portale ACN, deve associare la propria utenza al soggetto NIS utilizzando:
- Il codice fiscale del soggetto NIS.
- Oppure il codice dell’Indice dei Domicili Digitali delle Pubbliche Amministrazioni e dei Gestori di Pubblici Servizi (IPA).
Solo i punti di contatto ufficialmente designati e riconosciuti possono essere associati ai soggetti NIS, garantendo così l’integrità e la sicurezza del sistema.
Durante l’associazione, il punto di contatto deve controllare la correttezza delle informazioni visualizzate sul Portale, che includono:
- La denominazione del soggetto NIS.
- L’indirizzo della sede legale.
- Il domicilio digitale.
Il punto di contatto è inoltre tenuto a dichiarare la propria qualifica rispetto al soggetto designante, specificando se agisce come: rappresentante legale, procuratore generale o delegato dal rappresentante legale. Se il punto di contatto opera in qualità di delegato, è obbligatorio caricare sul Portale una delega formale. Questo documento deve attestare l’autorizzazione concessa dal rappresentante legale per accedere ai Servizi NIS in nome e per conto del soggetto designante.
3. La Convalida da Parte del Soggetto NIS: L'Approvazione Finale
La procedura si conclude con la convalida da parte del soggetto NIS, che riceve una notifica al proprio domicilio digitale per approvare la richiesta. Una volta che il soggetto NIS conferma l’associazione, l’Autorità invia una comunicazione ufficiale al domicilio digitale del soggetto, certificando l’avvenuta conclusione positiva del processo.
Questa procedura è essenziale per stabilire una relazione univoca e verificata tra il punto di contatto e il soggetto NIS, rafforzando la sicurezza e la conformità dell’intero sistema NIS. La corretta esecuzione di questo processo garantisce che le attività sul Portale ACN siano svolte esclusivamente da figure autorizzate.
Una volta completata l’associazione, il punto di contatto procede con la registrazione formale. Durante questa fase, deve compilare una dichiarazione dettagliata che include:
- Informazioni economico-finanziarie: dati relativi a fatturato, bilancio e numero di dipendenti.
- Settori di attività: specificazione dei codici ATECO applicabili.
- Normative di riferimento: indicazione delle leggi settoriali rilevanti.
- Dati organizzativi: ulteriori informazioni che potrebbero essere richieste per il censimento.
Accedendo al Servizio NIS/Registrazione tramite il Portale ACN, il punto di contatto deve compilare una dichiarazione con dati chiave relativi al soggetto NIS, tra cui:
- Identificazione del soggetto: conferma della natura autonoma o di eventuale appartenenza a un gruppo di imprese.
- Codici ATECO: indicazione delle attività svolte.
- Normative settoriali: specificazione delle regolamentazioni applicabili.
- Indicatori economici: dati su fatturato, bilancio e numero di dipendenti, necessari per classificare l’impresa come media o grande.
Se il soggetto appartiene a un gruppo di imprese, il punto di contatto deve elencare le aziende collegate, fornendo codici fiscali e parametri di collegamento, in conformità ai requisiti del Decreto NIS. Questo permette all’Autorità nazionale competente di identificare con precisione i soggetti rientranti nella normativa, rafforzando il controllo del perimetro cibernetico nazionale.
Al termine della compilazione, il sistema effettua una verifica preliminare automatizzata per identificare eventuali incongruenze. Se emergono errori, il punto di contatto deve correggerli o integrare la dichiarazione con ulteriori informazioni giustificative. Una copia della dichiarazione viene inviata al domicilio digitale del soggetto NIS, accompagnata da un avviso sull’eventualità di verifiche future, come previsto dall’Articolo 11.
Verifiche di Coerenza e Comunicazioni dall’Autorità
L’Articolo 11 disciplina le verifiche di coerenza, volte a garantire l’affidabilità e la correttezza delle informazioni fornite dai soggetti NIS. Questi controlli, condotti dall’Autorità nazionale competente NIS in collaborazione con le Autorità di settore, verificano la conformità delle dichiarazioni ai criteri previsti dal Decreto NIS.
L’Autorità nazionale competente è tenuta a comunicare l’esito delle verifiche entro 30 giorni dalla presentazione della dichiarazione. Tuttavia, in caso di approfondimenti complessi, questo termine può essere esteso una sola volta per ulteriori 20 giorni. Se vengono riscontrate incongruenze o incompletezze, il soggetto NIS ha 10 giorni di tempo per inviare le correzioni o integrazioni richieste. Il mancato rispetto di questo termine può comportare il rigetto della dichiarazione.
Le verifiche di coerenza sottolineano l’importanza di un’accurata compilazione della dichiarazione. Errori, informazioni incomplete o dichiarazioni mendaci possono:
- Invalidare temporaneamente la registrazione.
- Esporre il soggetto a responsabilità legali, come stabilito dall’Articolo 76 del D.P.R. n. 445/2000.
Questo evidenzia la necessità di un’attenzione scrupolosa e di un approccio responsabile da parte dei punti di contatto e degli organi amministrativi dei soggetti NIS, al fine di garantire la conformità e il rispetto delle disposizioni normative.
Esito positivo: il soggetto NIS riceve una notifica ufficiale che attesta la validità della registrazione.Esito negativo: il soggetto deve correggere e ripresentare la dichiarazione, continuando a essere obbligato al completamento del processo di registrazione.
La Creazione dell’Elenco Ufficiale dei Soggetti NIS
La registrazione sulla piattaforma NIS culmina con la creazione dell’elenco ufficiale dei soggetti NIS da parte dell’Autorità Nazionale Competente, come previsto dall’Articolo 12 della Determinazione. Questo elenco rappresenta uno strumento chiave per il monitoraggio e la gestione dei soggetti che operano all’interno del perimetro di cybersicurezza nazionale.
L’elenco è compilato utilizzando le informazioni fornite dai soggetti durante la registrazione, che vengono sottoposte alle verifiche di coerenza descritte nell’Articolo 11. Questa fase, definita come endoprocedimentale, garantisce che solo i soggetti NIS conformi ai requisiti del Decreto NIS vengano identificati e registrati. Al termine del processo, l’Autorità comunica al punto di contatto l’esito dell’inserimento o dell’esclusione dall’elenco ufficiale.
Chi Rientra nel Perimetro del Decreto NIS?
Il D. Lgs. n. 138/2024 (Decreto NIS) definisce un perimetro operativo ampio, che include soggetti pubblici e privati operanti in settori considerati critici o essenziali. L'allegato I del decreto elenca i settori altamente critici, mentre l'allegato IV specifica ulteriori tipologie di soggetti identificati a seguito di valutazione governativa.
Tra i soggetti inclusi figurano:
- Pubbliche amministrazioni centrali.
- Società in house, società partecipate e società a controllo pubblico.
- Operatori di servizi essenziali identificati ai sensi di precedenti normative.
- Soggetti identificati come critici ai sensi di normative specifiche sulla sicurezza cibernetica.
La distinzione tra soggetti "essenziali" e "importanti" si basa sul livello di criticità intrinseca dei settori e sulla tipologia di attività svolta in relazione al rischio informatico, ai sensi dell'articolo 6 del decreto NIS.
È importante notare che, in linea generale, le organizzazioni che non superano i massimali per le categorie delle micro e piccole imprese, secondo la Raccomandazione 2003/361 CE, non rientrano nell'ambito di applicazione del decreto, salvo specifiche eccezioni. Tuttavia, l'Autorità nazionale competente NIS, su proposta delle Autorità di settore, può individuare anche piccole e micro-imprese come soggetti importanti o essenziali se operano in settori o svolgono attività riconducibili agli allegati del decreto.
Le organizzazioni che superano i massimali per le piccole imprese (riconducibili alle categorie delle medie e grandi imprese) e che svolgono attività pertinenti agli allegati I, II, III e IV rientrano nell'ambito di applicazione del decreto.
Per quanto riguarda le organizzazioni di diritto estero (inclusi quelle di altri Stati membri UE), il decreto NIS si applica se sono stabilite in Italia e soddisfano i criteri dimensionali e di tipologia di attività. La giurisdizione nazionale si applica generalmente se l'organizzazione è stabilita sul territorio nazionale. Eccezioni riguardano fornitori di reti pubbliche di comunicazione elettronica, servizi di comunicazione elettronica accessibili al pubblico e organizzazioni che erogano servizi inerentemente transfrontalieri.
Le associazioni datoriali, territoriali o di settore non rientrano automaticamente nell'ambito di applicazione, a meno che non eroghino servizi riconducibili a tipologie di soggetti specifici (es. fornitori di servizi cloud, gestiti TIC) e soddisfino i criteri dimensionali.
La Clausola di Salvaguardia e le Deroghe
La clausola di salvaguardia, prevista dall'articolo 3, comma 4, del decreto NIS e disciplinata da apposito DPCM, consente di richiedere una deroga se il soggetto ritiene che l'inclusione nel perimetro non sia proporzionata, tenendo conto dell'indipendenza dalle imprese associate o collegate. I criteri per l'applicazione di tale clausola sono definiti nel DPCM del 9 dicembre 2024.
La Piattaforma ACN e i Servizi di Pagamento Pubblici
Sebbene il focus principale della registrazione NIS sia la cybersicurezza, le informazioni fornite evidenziano anche la crescente digitalizzazione dei servizi pubblici e delle relative modalità di pagamento. Soluzioni come "pagaonline PA" e "JPPA" (acronimo di J-Platform PagoPA) sono progettate per facilitare il dialogo tra Pubblica Amministrazione (PA) e cittadini per i pagamenti.
pagaonline PA: Questa soluzione consente alla PA un dialogo diretto con i cittadini per il pagamento di servizi. Offre la possibilità di creare e consultare le posizioni debitorie attese e collegarle a PagoPA, emettere avvisi di pagamento e verificare lo stato dei pagamenti. Il cittadino può generare e pagare in autonomia posizioni debitorie spontanee a favore dell’Ente. La soluzione, basata sul sistema EasyBridge, si collega a PagoPA e garantisce agli utenti sicurezza, affidabilità, semplicità e flessibilità. Alla PA offre automazione nella riscossione degli incassi, riduzione dei costi e semplificazione.
JPPA: Svolge la funzione di repository dei pagamenti (avvisi emessi) interfacciandosi da un lato al nodo nazionale dei pagamenti AgID e dall’altro raccogliendo le posizioni debitorie generate dai software gestionali in uso presso le PA, o consentendo l’inserimento direttamente da parte cittadini via web quando effettuano pagamenti spontanei (non avvisati). JPPA espone sia servizi di pubblicazione delle posizioni debitorie per la modalità 3, sia servizi a supporto dei pagamenti da portale. Nel primo caso il sistema è alimentato (via web service o manualmente) con posizioni debitorie pagabili in modalità 3 e il sistema si predispone per rispondere ad interrogazioni provenienti dal mondo dei PSP (tabaccherie, ricevitorie SISAL, sportelli bancari, grande distribuzione, sistemi di home banking, …). Nel secondo caso, il portale espone il debito all’utente collegato e ne consente il pagamento sul nodo AGID di Pago PA in modalità 1, replicando sostanzialmente l’esperienza d’uso dei sistemi di e-commerce. In entrambi i casi, la transazione si perfeziona con la ricezione della Ricevuta Telematica di AGID che il servizio reindirizza al soggetto che ha effettuato il pagamento. La soluzione è in grado di coordinare e sincronizzare canali alternativi di pagamento dello stesso debito. Un debito oggetto di avvisatura (es.: bollettazione TARI cartacea) può essere pagato in modalità 1 collegandosi al servizio di Estratto Conto del portale, con blocco del pagamento dello stesso debito in modalità 3. In presenza di forme alternative di pagamento (soluzione unica o rateizzazioni), il sistema inibisce pagamenti non congrui con la struttura del debito. Le funzionalità del servizio coprono l’intero ciclo di vita del pagamento: dal debito al pagamento vero e proprio su PagoPA; dall’incasso alla riconciliazione contabile. La soluzione è in grado di raggiungere i servizi Pago PA con un collegamento diretto (Maggioli è un partner tecnologico Pago PA certificato AGID dal 2016) e di svolgere in automatico la riconciliazione contabile nel contesto Pago PA, recuperando i giornali di cassa mediante la piattaforma Siope+. La funzionalità supportano sia la modalità 1 (da portale dell’ente creditore), sia la modalità 3 (preso il PSP mediante emissione di avvisi di pagamento). Quando la modalità 1 è fruita tramite portali Maggioli è possibile il recupero del debito direttamente dai gestionali, la composizione del carrello dei pagamenti e l’inoltro dello stesso al sistema JPPA.
Inoltre, applicazioni come Soggiornami gestiscono l'imposta di soggiorno, integrandosi con PagoPA per le disposizioni di pagamento (avviso PagoPA, F24, CCP, Bonifico Bancario) e offrendo riconciliazione contabile automatizzata. Questi sistemi, come SPORTELLO DIGITALE, realizzato da Actainfo, rappresentano la frontiera dell'interazione digitale tra PA e cittadini, offrendo accesso tramite SPID, CIE e pagamenti PagoPA, in linea con gli standard europei e le direttive del PNRR.
La rigorosa registrazione sulla piattaforma ACN e l'adozione di sistemi di pagamento digitali efficienti e sicuri vanno di pari passo, contribuendo a un ecosistema nazionale più resiliente, trasparente e protetto.