LET’S TALK & CONNECT

17 Gennaio 2025 per le società che operano nell’ambito informatico, 28 Febbraio per le altre. Le due scadenze principali che aprono le danze alla NIS2 sul 2025 hanno obbligato le aziende destinatarie a valutare preliminarmente l’impatto eventuale della norma sulla propria struttura, per addivenire all’individuazione del PUNTO DI CONTATTO come reso obbligatorio dalla norma. Occorre innanzi tutto precisare che con la Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale, datata 26 Novembre 2024, sono stati individuati i termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti obbligati alla norma devono fornire all’Autorità nazionale competente NIS.  

Una prima osservazione riguarda proprio la figura fisica del PUNTO DI CONTATTO: le funzioni potranno essere svolte dal rappresentante legale del soggetto NIS, da uno dei procuratori generali del soggetto NIS o da un dipendente del soggetto NIS delegato dal rappresentante legale del soggetto medesimo (peraltro occorre caricare specifico documento sottoscritto da chi rilascia l’incarico in caso di dipendente).  Non può quindi, né adesso né in futuro, assumere il ruolo di punto di contatto un soggetto esterno. Aspetto non banale per le aziende di piccole dimensioni dovendo così essere direttamente coinvolto il rappresentante legale. Ovviamente non è escluso un coinvolgimento di personale esterno che non inciderà comunque sui contenuti delle comunicazioni formali dei dati ad ACN.  

Ricordiamo la possibilità per il soggetto NIS appartenente ad un gruppo di imprese, di far svolgere le funzioni di punto di contatto da un unico dipendente di un’altra impresa del gruppo che rientri nell’ambito di applicazione.  

Occorre rappresentare che la mancata designazione del punto di contatto nei termini indicati, comporta sanzioni rilevanti ovvero: 

a) per i soggetti essenziali, con sanzioni amministrative pecuniarie fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE; 

b) per i soggetti importanti, con sanzioni amministrative pecuniarie fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE; 

c) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie 

di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti essenziali, con sanzioni amministrative pecuniarie da euro 10.000 a euro 50.000; 

d) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie 

di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti importanti, le sanzioni amministrative pecuniarie di cui alla lettera c) sono ridotte di un terzo. 

Andiamo ora nel dettaglio a verificare quali compiti vengono attribuiti al punto di contatto. Innanzi tutto, come premessa generale, il punto di contatto deve curare l’attuazione delle disposizioni NIS2 rispetto al perimetro di nomina, e interloquire con l’Autorità nazionale competente NIS.  

È direttamente responsabile, una volta nominato, dell’accesso al Portale ACN e ai Servizi NIS per effettuare le registrazioni e le comunicazioni necessarie, nel rispetto delle tempistiche e delle modalità richieste dalla normativa. Occorre tener conto anche del fatto che qualsiasi aggiornamento delle informazioni inizialmente inviate deve essere tempestivamente completato sui canali preposti entro 14 giorni dalla data di effettiva modifica. Quindi dovrà essere il punto di contatto subentrante ad occuparsi di eventuali modifiche per quanto concerne la sua figura o con riferimento alla scadenza relativa alla comunicazione del rappresentante legale da effettuarsi tra il 15 aprile ed il 31 maggio.  

Come riporto diretto il punto di contatto avrà gli organi di amministrazione e direttivi, dovendo interagire senza alcun “filtro” con gli stessi. Secondo le indicazioni della Determinazione del Diretto Generale di ACN, è il punto di contatto che ha l’obbligo di mantenere disponibile la versione aggiornata della documentazione adottata e/o approvata, funzionale a comprovare le attività di compliance dell’ente. Ciò lo individua in sostanza come riferimento interno ed esterno per la norma stessa anche se, si evidenzia sempre nello stesso documento formale, può avvalersi assolutamente di un supporto esterno.