AS2_2025

Marzo 2025 Automazione e Strumentazione Tecnica 88 CONTROLLO oggettivi. Cosa significa praticamente? Che i soggetti non vengono contattati direttamente dall’autorità competente ma, con un movimento inverso, le aziende e le pubbliche amministra- zioni devono “prendere l’iniziativa” e registrarsi. 2.2 Registrazione Veniamo quindi al primo vero obbligo a cui sono tenuti i soggetti che si identificano nelle categorie sopra citate di enti essenziali o importanti: la registrazione. Come da art.7 del decreto, l’ ACN ha pubblicato un portale mediante il quale i soggetti possono interagire con le autorità competenti. Su questo portale, la piattaforma per la regi- strazione sarà aperta ogni anno dal 1° gennaio al 28 febbraio; per quest’anno l’apertura è stata anticipata al 1° dicembre 2024 per dare tempo a tutti i soggetti di iscriversi in maniera ordinata. Essersi iscritti non significa diventare auto- maticamente soggetti Nis: infatti, nel mese di marzo, l’ACN analizzerà tutte le richieste resti- tuendo la classificazione per ogni domanda: essenziale, importante oppure fuori ambito. Il primo step consiste nell’identificazione del punto di contatto, ovvero della persona fisica, rappresentante legale o delegato, che si occu- perà della registrazione. La procedura è abbastanza semplice e ben documentata sul sito dell’ACN. Per i gruppi di imprese è interessante la pos- sibilità dell’applicazione della clausola di salva-guardia (Art.3 Comma 4 del decreto): nell’ottica della proporzionalità degli obblighi, in caso di gruppo di imprese la clausola per- mette di considerare il perimetro della singola azienda, evitando che venga considerata media impresa (viene disapplicato l’articolo 6, para- grafo 2, della raccomandazione 2003/361/CE). Si consideri un gruppo formato da due aziende, ognuna con 40 dipendenti. Secondo la racco- mandazione andrebbero considerate nella loro interezza e sarebbero catalogate come media impresa. Applicando la clausola di salvaguar- dia, al contrario, possono essere valutate in modo distinto, quindi piccole imprese e non rientranti nel perimetro Nis. Alla fine della procedura, il portale forni- sce una valutazione preliminare (importante, essenziale o fuori ambito) che sarà poi confer- mata o meno dalla valutazione ufficiale di cui i risultati nel mese di aprile. E quali altri obblighi ci sono? 2.3 L’obbligo di notifica Da aprile in poi l’ANC lavorerà sulle determine per identificare gli obblighi di base da soddi- sfare in base alla proporzionalità, differenziando i requisiti ad esempio tra soggetti importanti ed essenziali. Di sicuro il prossimo obbligo scatterà da gennaio 2026 e sarà legato alla notifica degli incidenti significativi, definiti in base alla potenzialità di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto inte- ressato oppure per altre persone fisiche o giuri- diche collegate. La notifica degli incidenti cyber va eseguita sempre sul portale dedicato dal punto di con- tatto con queste tempistiche: entro 24 ore la pre-notifica, su richiesta del Csirt una rela- zione intermedia, la notifica finale entro 72 ore ed entro un mese una relazione finale completa. Csirt (Computer Security Incident Response Team) è la struttura che ha la responsabilità di monitorare, intercettare, analizzare e rispon- dere alle minacce cyber. La notifica non espone il soggetto che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente, ma la tempestività della segnalazione è fondamentale per permettere allo Csirt di adottare delle contromisure che possano essere utili a tutti i soggetti del perimetro. Per questo è necessario essere già pronti, pre- murandosi di creare all’interno dell’azienda un team di risposta rapida, che sappia come agire per limitare i danni dell’attacco, gestire l’inci- dente e mantenere la continuità operativa. 2.4 Responsabilità A questo tende anche la direttiva e il decreto all’art. 23, dove identifica i responsabili della politica di cybersecurity direttamente con l’or- gano direttivo dell’azienda. Avviene quindi un accentramento delle respon- sabilità in materia di cybersicurezza, in capo agli organi di Gestione della Società (organi di amministrazione e direttivi), a cui spetta l’approvazione delle misure per la gestione del rischio legato alla cyber security, la supervisione sull’implementazione di tali misure, la parteci- pazione a formazioni specifiche su tematiche di cyber security e sui quali ricade la responsabilità delle violazioni.