Buongiorno a tutti,
come sicuramente saprete (e se non fosse cosรฌ, questo breve articolo fa al caso vostro), attraverso il Decreto Legislativo 138/2024 pubblicato in Gazzetta Ufficiale lo scorso 2 Ottobre 2024 (LINK) l’Italia ha ufficialmente recepito la Direttiva UE 2022/2555 (LINK) – ovvero la famosa o famigerata NIS2 – nel proprio ordinamento nazionale.
Se non foste informati sui fatti, la NIS2 รจ una normativa che mira a rafforzare la sicurezza informatica delle Aziende e delle Pubbliche Amministrazioni che operano in specifici settori dell’economia, considerati critici (es. energia, trasporti, sanitร , finanza, servizi digitali, ecc.) in quanto essenziali per il buon funzionamento dell’Europa e dei Paesi che ne fanno parte.
Per farla breve, le imprese che rientrano nel campo di applicazione di NIS2 sono soggette ad una serie di obblighi – molto ben definiti (LINK) – tra cui la registrazione ad un portale messo a disposizione dell’Agenzia per la Cybersicurezza Nazionale (LINK), da completare entro il 28 Febbraio 2025, a cui dovrร seguire l’adozione di una serie di misure di Cyber-Security (di cui parlerรฒ in un prossimo articolo).
Dato l’alto numero di richieste che sto raccogliendo in questi giorni sul tema, ho pensato di scrivere questa mini-guida per chiarire le prime fasi di attuazione di questa norma (applicabilitร e registrazione) e mettere a vostra disposizione tutte le informazioni necessarie.
Prima domanda: come faccio a sapere se la mia Azienda o Pubblica Amministrazione rientra nel campo di applicazione di NIS2?
Per rispondere a questa domanda dovreste leggervi l’Art. 3 del Decreto Legislativo 138/2024 (LINK) ma, personalmente, trovo piรน immediato questo schema elaborato dall’Agenzia per la Cybersicurezza Nazionale.

Ambito di applicazione NIS2
In estrema sintesi, salvo alcuni casi particolari che non tratto per evitare di confondervi, rientrano nel campo di applicazione di NIS2;
- tutte le Aziende di dimensioni MEDIE e GRANDI che operano nei settori di cui sopra;
- tutte le Pubbliche Amministrazioni centrali, regionali e locali.
Occorre specificare che, in funzione delle dimensioni e del settore di appartenenza, le Aziende e le Pubbliche Amministrazioni possono rientrare in due grandi categorie:
- i cosiddetti soggetti essenziali, ovvero realtร di GRANDI dimensioni che operano in settori altamente critici per il funzionamento della societร (es. energia, trasporti, banche, sanitร , infrastrutture digitali, pubbliche amministrazioni nazionali e regionali, spazio, ecc.) e che per questo motivo sono chiamate a rispettare misure di sicurezza piรน stringenti;
- i cosiddetti soggetti importanti, ovvero realtร di MEDIE dimensioni che operano in settori non vitali ma comunque importanti (es. gestione rifiuti, chimica, alimentare, fornitura di beni essenziali, fornitura di servizi digitali, ricerca, ecc.), che devono adottare misure di Cyber Security adeguate, ma con un regime di controllo piรน flessibile.
Per andare al punto, usando gli schemi messi a disposizione da ACN (LINK) รจ abbastanza semplice capire se la Vs. Azienda o Pubblica Amministrazione rientra nel campo di applicazione di NIS2, anche se il consiglio รจ sempre quello di rivolgervi a professionisti esperti in materia per avere una conferma o un secondo parere.
Seconda domanda: la mia Azienda o Pubblica Amministrazione rientra nel campo di applicazione NIS2. Mo’ che faccio?
Come detto in precedenza, il primo passo รจ registrarsi sul portale messo a disposizione dell’Agenzia per la Cybersicurezza Nazionale (LINK) entro il 28 febbraio 2025. La procedura di registrazione si articola in tre fasi.
- Identificazione del Punto di Contatto:
L’Azienda o la Pubblica Amministrazione deve identificare al proprio interno un Punto di Contatto, ovvero un soggetto che gestisca i rapporti con l’Agenzia per la Cybersicurezza Nazionale e supervisioni l’attuazione delle misure richieste da NIS2.
Generalmente, il Punto di Contatto coincide con la figura del Legale Rappresentante, ma puรฒ anche essere un altro soggetto opportunamente nominato. Nel caso servisse, l’Agenzia per la Cybersicurezza Nazionale ha predisposto un modello di nomina da utilizzare allo scopo (LINK).
Una volta identificato, il Punto di Contatto deve accedere al portale di cui sopra (LINK) utilizzando le credenziali SPID e avviare il processo di registrazione riportando i tutti i dati personali richiesti (es. nome, cognome, data e luogo di nascita, codice fiscale, cittadinanza, residenza, e-mail, numero di telefono, ecc.).
- Associazione del Punto di Contatto allโAzienda o alla Pubblica Amministrazione:
Per prima cosa, il Punto di Contatto deve associare il proprio profilo allโAzienda o alla Pubblica Amministrazione di cui fa parte, riportando semplicemente il codice IPA o il Codice Fiscale negli appositi campi presenti nella maschera di registrazione.
Se la figura del Punto di Contatto non coincide con quella del Legale Rappresentante, dovrร inoltre caricare un documento che attesti la delega a operare per conto dellโAzienda o della Pubblica Amministrazione (vedi sopra, ne abbiamo un attimo fa).
Il processo si conclude con l’invio di un Link di convalida al domicilio digitale dell’Azienda o della Pubblica Amministrazione, che dovrร essere approvato per procedere.
- Compilazione della dichiarazione NIS:
Una volta completata l’associazione di cui prima, il Punto di Contatto puรฒ accedere al modulo di dichiarazione NIS, che รจ suddiviso in quattro sezioni:
- Contesto: informazioni generali sull’organizzazione;
- Caratterizzazione: dettagli specifici sulle attivitร svolte;
- Tipologia di soggetto: classificazione secondo gli allegati I, II, III e IV del decreto NIS;
- Autovalutazione: valutazione interna del soggetto come essenziale, importante o fuori ambito;
Non temete, la procedura รจ completamente guidata.
Dopo aver compilato tutte le sezioni, il Punto di Contatto verifica le informazioni inserite, accetta le clausole di responsabilitร e trasmette la dichiarazione (una copia viene inviata automaticamente al domicilio digitale del soggetto).
Riccardo Modena – Partner e Manager della Business Unit “ICT Governance, Resiliency and Innovation” di SERNET S.p.A.