NIS2: entro il 30 giugno la categorizzazione ACN diventa un passaggio decisivo per imprese ed enti

su da Avv. Davide Malderain Uncategorized

Sta arrivando il 30 giugno. Questa data rappresenta una delle scadenze più rilevanti del calendario di attuazione della Direttiva NIS2. 

Entro tale termine, le organizzazioni soggette alla normativa dovranno trasmettere all’Agenzia per la Cybersicurezza Nazionale (ACN) tutte le informazioni necessarie affinché venga effettuata la cd. categorizzazione delle attività.

In realtà non si tratta di una semplice formalità amministrativa, ma di un adempimento strategico che può influenzare l’intero percorso di conformità alla normativa.

Le informazioni comunicate costituiranno la base sulla quale l’ACN individuerà il regime di vigilanza applicabile e gli obblighi di adeguamento per le imprese ed enti.

Cos’è la categorizzazione NIS2 e perché è fondamentale

Al fine di consentire una più celere valutazione strategica aziendale, la Direttiva NIS2 ha introdotto un sistema uniforme di gestione della sicurezza informatica per i soggetti pubblici e privati che operano in settori essenziali e importanti, basata sull’individuazione delle aree di attività rapportate a specifici valori di rischio aziendale e sistemico.

Con la comunicazione delle categorie di attività aziendali, l’ACN potrà ad esempio: verificare il perimetro operativo dell’organizzazione per monitorarne la congruità e l’effettiva attuazione, ossia predisporre future attività di controllo.

Pertanto, una classificazione corretta rappresenta il presupposto indispensabile per la tenuta dell’intero sistema di compliance.

Al contrario, fornire informazioni incomplete, inesatte o non aggiornate può comportare rilevanti criticità operative, fino ad arrivare a vere e proprie richieste di integrazione documentale da parte della stessa ACN.

Chi deve rispettare la scadenza del 30 giugno

La domanda che abbiamo sentito sempre più spesso è stata: ma la mia azienda rientra nei parametri stabiliti dalla normativa NIS2? In pratica sono assoggettato alle procedure della ACN? Per rispondere a questi quesiti spesso è necessario fare un vero approfondimento sulla realtà aziendale in quanto le pieghe della normativa spesso coinvolgono negli adempimenti normativi alcune aziende apparentemente non operanti in settori strategici (ad esempio la logistica di bibite, o le attività di vendita di prodotti alimentari e per la casa).

Per questo diventa fondamentale una consulenza mirata e professionale per individuare se un’azienda sarà tenuta ad adeguarsi alla NIS2.

Generalmente sono obbligati a tali adempimenti tutti i soggetti che operano nei settori individuati dalla normativa europea e dalla disciplina nazionale di recepimento.

Tra questi rientrano, a titolo esemplificativo:

  • energia;
  • trasporti;
  • infrastrutture digitali;
  • telecomunicazioni;
  • sanità;
  • servizi finanziari;
  • acqua potabile;
  • gestione delle acque reflue;
  • pubblica amministrazione;
  • servizi ICT;
  • fornitori cloud;
  • data center;
  • servizi postali;
  • gestione dei rifiuti;
  • industria alimentare;
  • produzione manifatturiera strategica;
  • ricerca.

Tuttavia, l’appartenenza a uno di questi comparti non costituisce l’unico elemento rilevante, in quanto sarà necessario valutare nel complesso anche le dimensioni dell’organizzazione, il ruolo svolto nella filiera e la tipologia dei servizi offerti.

Non sottovalutare la categorizzazione

La trasmissione dei dati all’ACN rappresenta il primo momento nel quale l’autorità acquisisce una fotografia completa dell’organizzazione.

Da tale valutazione discendono numerosi aspetti operativi, tra cui:

  • obblighi di sicurezza;
  • controlli periodici;
  • gestione degli incidenti;
  • modalità di comunicazione con l’ACN;
  • eventuali attività ispettive;
  • livelli di responsabilità della governance.

Una comunicazione incompleta può incidere sulla valutazione dell’ACN e complicare enormemente l’intero percorso di adeguamento.

Per questo motivo è consigliabile affidarsi a competenze multidisciplinari per garantire un risultato ottimale, attraverso a professionisti con competenze giuridiche, organizzative e tecniche.

Il 30 giugno non è il punto di arrivo ma l’inizio di un percorso

Uno degli errori più frequenti consiste nel ritenere che la comunicazione all’ACN con scadenza al 30 giugno esaurisca tutti gli obblighi previsti dalla Direttiva.

In realtà, la NIS2 introduce un modello permanente di gestione della cybersicurezza basato su continui monitoraggi ed adeguamenti tecnici legali.

Infatti, successivamente alla categorizzazione, le organizzazioni dovranno implementare un articolato sistema di misure organizzative, procedurali e tecnologiche entro l’autunno.

Conclusioni

Il termine del 30 giugno costituisce un crocevia fondamentale nel percorso di attuazione della Direttiva NIS2. La comunicazione all’Agenzia per la Cybersicurezza Nazionale (ACN) rappresenta, pertanto, solo il punto di partenza di un sistema di conformità destinato a incidere in modo strutturale sull’organizzazione, sulla governance e sulla gestione del rischio informatico.Le imprese e gli enti interessati che saranno in grado di affrontare questa fase pianificando un approccio strategico, e verificando la correttezza delle informazioni trasmesse, predisponendo una documentazione completa godranno sicuramente di un vantaggio competitivo, in quanto saranno in grado di governare e coordinare l’intero processo di adeguamento previsto dalla normativa

Lascia un commento