In questi giorni l’Agenzia per la Cybersicurezza Nazionale (ACN) sta comunicando a tutti i soggetti – che precedentemente si erano registrati al portale dei servizi nei termini previsti dal D. Lgs. 138/2024 attuativo della Direttiva NIS2 (di seguito “Decreto”) – le decisioni rassegnate in merito all’inclusione o meno dei singoli soggetti nell’elenco di coloro che rientrano nell’ambito di applicazione del Decreto.

A partire, quindi, dalla ricezione della predetta comunicazione e fino al prossimo 31.05, tali soggetti dovranno aggiornare o fornire le informazioni richieste dall’art. 7, comma 4 e 5, del Decreto, accedendo alla rispettiva area del portale. Nello specifico e nell’apposita sezione dovranno essere indicati:

  1. lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;
  2. ove applicabile, l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del Decreto;
  3. i responsabili di cui all’art. 38, comma 5, del Decreto, indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
  4. un sostituto del punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.
  5. l’indirizzo della sede principale e delle altre sedi del soggetto nell’Unione europea;
  6. se non è stabilito nell’Unione europea, l’indirizzo della sede del suo rappresentante ai sensi dell’art.  5, comma 3, del Decreto unitamente ai dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.

Attenzione, però, che le informazioni di cui alle lettere e), f) dovranno essere fornite solo dai: i) fornitori di servizi di sistema dei nomi di dominio, ii) i gestori di registri dei nomi di dominio di primo livello, iii) fornitori di servizi di registrazione dei nomi di dominio, iv) i fornitori di servizi di cloud computing, v) i fornitori di servizi di data center, vi) i fornitori di reti di distribuzione dei contenuti, vii) i fornitori di servizi gestiti, viii) fornitori di servizi di sicurezza gestiti, nonché dai ix) fornitori di mercati online, x) fornitori di motori di ricerca online e xi) fornitori di piattaforme di social network.

Oltre a ciò, lo scorso 15 aprile l’ACN ha pubblicato la Determinazione n. 164179, nella quale vengono sancite le modalità e le specifiche di base per l’adempimento degli obblighi sanciti dal Decreto e di cui agli artt. 23, 24, 25, 29 e 32 riguardanti le misure di cybersecurity e la gestione degli incidenti significativi.

La Determinazione è molto importante, in quanto nei suoi allegati tecnici – distinti a seconda che si faccia riferimento a soggetti qualificati come essenziali o importanti – vengono descritte nel dettaglio sia le misure di sicurezza da adottare, sia le tipologie di incidenti che dovranno poi essere notificate.

Non resta, quindi, che mettersi al lavoro e stay tuned!

Il Team Compliance