Il Dlgs. 138/2024 che attua in Italia la direttiva NIS2 prevede che i soggetti NIS aggiornino annualmente – sul registro istituito presso la piattaforma dell’Agenzia Nazionale per la Cybersecurity – le informazioni relative, fra l’altro, a:
- lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;
- l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del Decreto (ove applicabile);
- i responsabili di cui all’articolo 38, comma 5, indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
- il sostituto del punto di contatto (di cui al comma 1, lettera c)), indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono (art. 7, comma 4).
Indice degli argomenti
La proroga ACN per l’aggiornamento dati NIS2
La scadenza per questo adempimento è fissata dal Decreto al 31 maggio di ogni anno, tuttavia l’ACN, in data 23 maggio 2025, ha emanato un comunicato dove precisa che i soggetti NIS “che hanno richiesto supporto per la finalizzazione dell’aggiornamento annuale dei dati, potranno concludere tale procedura entro il 31 luglio”. Questa proroga risulta in linea con l’approccio “collaborativo” di ACN che è caratterizzato (almeno in questa fase) da un fattivo e prezioso accompagnamento delle imprese e delle PA nel cammino di adozione della NIS2, cammino che richiede risorse e competenze non sempre presenti soprattutto fra le PA e le PMI.
Aggiornamento dati NIS2 e formazione degli amministratori
Importante notare che l’ACN precisa nel medesimo comunicato altre due indicazioni significative. La prima è che la dilazione del termine consente “la pianificazione delle sessioni di informazione dedicata ai componenti degli organi di amministrazione e direttivi”. Infatti, come noto, il Decreto pone al centro della disciplina NIS2 il ruolo e le responsabilità del Consiglio di Amministrazione (art. 23 del Decreto) che per avere la “leadership” del relativo piano di attuazione deve essere “formato” (come prevede il Decreto) e “informato” come prevede il diritto societario (art. 2381 cod. civ.). Pertanto, una compiuta programmazione del piano non dovrebbe prescindere (salvo casi particolari) da una prima “induction” (all’interno di una serie su base annuale) al Consiglio di Amministrazione sugli aspetti tecnici e legali della disciplina da tenersi, quindi, prima del 31 luglio 2025.
Conferma telematica dopo l’aggiornamento dati NIS2
La seconda è che:” la presa d’atto telematica prevista dall’articolo 16 della Determinazione n. 136117 del 10 aprile u.s. potrà essere effettuata anche successivamente al termine del 31 luglio”. Come noto, l’ACN ha previsto in tale determina la necessità di inserire sul portale ACN il nome di tutti i componenti dell’organo amministrativo (per le PA, l’organo direttivo) quali “persone fisiche responsabili” delle violazioni ex art. 38, comma 5, del Decreto (art. 15, comma 3, lett. b) della determina). Tali componenti devono poi accettare, sempre sul portale ACN, la relativa designazione dopo aver ricevuto una PEC dall’ACN. Tale ultimo adempimento, quindi, si può perfezionare anche dopo il 31 luglio, benché appaia coerente una normale successione temporale tra l’iscrizione del nominativo e la conferma da parte dell’interessato.
Responsabilità del Consiglio di amministrazione nell’aggiornamento dati NIS2
In realtà, il Decreto già prevedeva che entro il 31 maggio i soggetti NIS dovessero “fornire” le informazioni richieste, risultando implicita la circostanza che la determina di cui sopra (art. 16, comma 3) non avrebbe verosimilmente potuto inserire un ulteriore adempimento da concludersi entro il medesimo termine.
La determina di cui sopra richiede, come detto, di indicare in piattaforma ACN i nomi di tutti i componenti il Consiglio di Amministrazione e non solo del legale rappresentante e dell’Amministratore delegato (oltre che della persona fisica che controlla il soggetto NIS) come l’art. 38, comma 5, del Decreto farebbe pensare.
Delega operativa e responsabilità nell’aggiornamento dati NIS2
Tuttavia, già nelle FAQ di ACN di recente è stato esplicitato che gli organi di amministrazione possono delegare al proprio interno lo svolgimento delle attività finalizzate all’assolvimento degli obblighi di cui all’art. 23 del Decreto (ODA.8), ma che tale delega non esclude la responsabilità del Consiglio di Amministrazione, poiché la stessa “discende per legge in capo agli organi di amministrazione” (ODA.9).
Trattandosi di delega operativa (sulla scorta di quella di cui all’art. 2381, secondo comma, codice civile) è chiaro che la stessa di per sé non spoglia l’organo collegiale delle proprie responsabilità e, soprattutto, degli incombenti che il Decreto pone a capo dell’organo nella sua collegialità (si veda soprattutto l’art. 23 del Decreto). Tuttavia, il principio della “colpa” introdotto dalla riforma del diritto societario del 2003 potrebbe indurre a talune considerazioni ulteriori, probabilmente non già in questa fase di prima attuazione, ma con lo strutturarsi delle misure di attuazione e la “maturazione” degli organi di amministrazione e direttivi anche nel settore NIS2.
Sanzioni per mancato aggiornamento dati NIS2
Sempre per restare nell’ambito della responsabilità, si ricorda che la “mancata registrazione, comunicazione o aggiornamento delle informazioni ai sensi dell’articolo 7, commi 1, 3, 4, 5 e 7” del Decreto l’“inosservanza delle modalità stabilite dall’Autorità nazionale competente NIS ai sensi dell’articolo 7” del Decreto sono punite con una sanzione pecuniaria amministrativa fino allo 0,1% del totale fatturato annuo su scala mondiale dell’esercizio precedente per i soggetti NIS essenziali e fino allo 0,07% del medesimo fatturato per i soggetti NIS importanti (per le PA la sanzione è diminuita – art. 38, comma 10, del Decreto).
