Seconda fase attuativa NIS2: cosa devono fare le aziende dopo le PEC di ACN

Il tema della Direttiva NIS2 è stato trattato in diversi articoli, anche a seguito della pubblicazione del Decreto Legislativo 138/2024.

La normativa, punto di svolta cruciale per la cybersecurity delle aziende operanti nei settori strategici dell’economia europea, è entrata nella seconda fase attuativa.

Dopo che le imprese si sono registrate sul portale predisposto dall’Agenzia per la Cybersicurezza Nazionale (ACN), entriamo ora in un nuovo intervallo di tempo che impone ulteriori azioni e scadenze, quelle degli adempimenti operativi a seguito delle PEC inviate da ACN (Agenzia per la Cybersicurezza Nazionale) alle organizzazioni interessate.

Cosa devono fare concretamente le aziende che hanno ricevuto una PEC da ACN? Vediamolo in dettaglio.

Verifica dell’ambito di applicazione: dentro o fuori?

La prima azione richiesta era la verifica dell’inclusione della propria impresa tra i soggetti classificati come “essenziali” o “importanti”. Questi due livelli di classificazione determinano il grado di obblighi da rispettare secondo quanto previsto dalla normativa.

Tuttavia, anche le aziende che non risultano formalmente incluse nel perimetro della NIS2 sono invitate a valutare un adeguamento volontario. Questo è particolarmente rilevante per chi opera nella supply chain di soggetti critici, in quanto la sicurezza delle terze parti è uno degli elementi centrali del nuovo paradigma regolatorio.

Il ruolo delle aziende appartenenti a gruppi

Un’attenzione particolare va riservata inoltre ai casi in cui un’azienda di piccole dimensioni, e “fuori ambito” in senso stretto, appartenga a un gruppo societario la cui capogruppo è soggetta alla NIS2. In questi scenari, è altamente probabile che siano richieste misure di sicurezza coerenti a quelle del gruppo per evitare esposizioni indirette.

Accesso al Portale ACN: cosa sapere

Come già indicato nel precedente articolo di dettaglio sugli obblighi NIS2, le organizzazioni ritenute “essenziali” o “importanti” dovranno adempiere a una serie di obblighi specifici previsti dalla Direttiva NIS2 e dal D.Lgs. 138/2024.

In relazione all’accesso al portale ACN è fondamentale:

• conservare e utilizzare correttamente il codice identificativo ricevuto via PEC, essenziale per accedere al portale ACN.
• effettuare l’aggiornamento delle informazioni richieste entro il 31 maggio 2025.
• mantenere il monitoraggio attivo della PEC aziendale, unico canale ufficiale per ulteriori comunicazioni dell’Autorità.

Al momento non è ancora stato reso noto se l’accesso avverrà tramite combinazione di PEC aziendale e codice identificativo oppure attraverso le credenziali del punto di contatto già designato.

L’ACN fornirà indicazioni a riguardo nei prossimi giorni, pertanto è essenziale monitorare con attenzione i canali ufficiali.

Quali informazioni aggiornare?

Secondo l’art. 7 del D.Lgs. 138/2024, le aziende “essenziali” o “importanti” devono aggiornare entro il 31/05/2025 le seguenti informazioni sul portale ACN:

1. elenco degli indirizzi IP pubblici e dei nomi di dominio utilizzati dall’organizzazione;
2. elenco dei componenti degli organi di amministrazione e direttivi;
3. Stati membri dell’UE in cui vengono erogati servizi rientranti nel perimetro NIS2;
4. dati del Legale Rappresentante o Amministratore Delegato, che assume la responsabilità dell’adeguamento;
5. dati del sostituto punto di contatto già nominato, inclusi ruolo, indirizzo email e numero di telefono;
6. elenco degli accordi di condivisione delle informazioni.

È previsto un servizio online dedicato, che semplificherà l’inserimento di questi dati e faciliterà il compito dei punti di contatto designati.

Sanzioni in caso di inadempienza

Come specificato nell’art. 38 del D.Lgs. 138/2024, la normativa prevede diffide e sanzioni in caso di mancato aggiornamento delle informazioni entro la scadenza del 31 maggio 2025. È quindi fondamentale agire con tempestività e precisione.

Un cambio di paradigma: dalla reattività alla proattività

L’entrata in vigore della NIS2 rappresenta un cambio di passo per la gestione della cybersecurity: da una visione reattiva a un approccio sistemico e proattivo, dove la resilienza digitale diventa un requisito fondamentale per la continuità operativa.

Non si tratta solo di compliance normativa, ma di protezione strategica dell’organizzazione. In questo contesto, la NIS2 agisce come catalizzatore per l’adozione di buone pratiche che coinvolgono tecnologia, processi e persone.

Il supporto Axitea in ottica NIS2

Axitea affianca le aziende nel percorso di adeguamento e di mantenimento della compliance alla Direttiva NIS2 attraverso soluzioni di cyber security gestite, consulenza specializzata e cyber security awareness del personale.

L’approccio integrato consente alle organizzazioni di essere non solo protette adeguatamente ma di sviluppare una cultura della sicurezza in linea con le richieste dalla normativa.