Dal 1° dicembre 2024 al 28 febbraio 2025, le medie e grandi imprese, in alcuni casi anche le piccole e microimprese, e le Pubbliche amministrazioni a cui si applica la nuova normativa devono registrarsi sul portale servizi ACN.
Il recepimento della direttiva con il decreto legislativo del 4 settembre 2024, n. 138 (“decreto NIS”), mira a garantire l’aumento del livello di sicurezza informatica del tessuto produttivo e delle Pubbliche Amministrazioni del Paese.
Il “decreto NIS” indica all’articolo 3 il suo ambito di applicazione. In particolare, vi rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV del decreto.
Nell’allegato I del decreto sono elencati i settori altamente critici. Nell’allegato II sono elencati gli altri settori critici. Nell’allegato III sono elencate le categorie di pubbliche amministrazioni alle quali si applica il decreto. Nell’allegato IV sono elencate le ulteriori tipologie di soggetti a cui si applica il decreto a seguito di identificazione governativa.
La maggior parte dei soggetti pubblici e privati rientrano nell’ambito di applicazione sulla base dei criteri (dimensioni e tipologia di soggetto) stabiliti dal decreto, mentre un numero limitato di ulteriori soggetti può essere inserito nell’ambito di applicazione in esito all’identificazione da parte dell’Autorità nazionale competente NIS, su proposta delle Autorità di settore competenti.
In particolare, ricadono nell’ambito di applicazione del decreto NIS i soggetti pubblici e privati che, ai sensi dell’articolo 3, soddisfano i seguenti criteri:
- appartengono alle tipologie di cui agli allegati I e II e superano i massimali per le piccole imprese (ossia sono almeno medie imprese) ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE (“Nella categoria delle PMI si definisce piccola impresa un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro);
- indipendentemente dalle loro dimensioni (ovvero anche micro e piccole imprese) sono: identificati come soggetti critici ai sensi del d.lgs. 134/2024 che recepisce la Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 (Direttiva CER – Resilience of Critical Entities); prestatori di servizi fiduciari; gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio (…).
Tali soggetti dovranno riconoscersi in base ai suddetti criteri, autoidentificarsi e manifestarsi all’Autorità nazionale competente NIS attraverso l’apposita registrazione sulla piattaforma digitale messa a disposizione da ACN.
