NIS2, Sicurezza ed Enti Locali

Quella della NIS2 declinata nel mondo degli enti locali non è cosa di facile attuazione, ACN mette una pezza, e non solo.

NIS2 e cybersecurity, una cosa sola

Tendenzialmente l’atmosfera era febbrile, già a ridosso del 28 febbraio, la dead line imposta da ACN, l’Agenzia per la Cybersicurezza Nazionale, per arrivare – almeno – a un primo monitoraggio delle realtà interessate dalla “norma tecnica”.

Un censimento, insomma, ma dal valore operativo (con sanzione annessa per la mancata adesione).

Infatti, è la stessa ACN a emanare un nuovo messaggio,  che – sostanzialmente – risuonava così: “accedete alla piattaforma, registratevi e poi continuate con gli adempimenti in un secondo momento“, soluzione all’italiana? Sicuramente lecito pensarlo, ma nel contempo efficace: la sicurezza cyber non è un “gioco” per solisti ma da team, e questo è stato anche il claim ricorrente alla manifestazione cybersec2025, del 5 e 6 marzo scorso, dove – tra i protagonisti – vi era anche l’Agenzia.

D’altronde, tornando all’argomento di oggi,  è risaputo che la registrazione al portale predisposto è il primo e, fino a oggi, unico, obbligo per i soggetti NIS.

LEGGI ANCHE

Cybersecurity tra sicurezza e timori – CityNext

Adempimenti previsti

L’Agenzia per la sicurezza  cyber ricorda, attraverso i suoi canali e le parole della Prefetto Milena RIZZI,  che gli adempimenti – allo stato – sono veramente “pochi”:

1. istituire un canale di comunicazione diretto tra i soggetti che si sono registrati e – appunto – l’Autorità nazionale NIS, ossia l’Agenzia stessa, anche al fine di fornire il necessario supporto già dagli inizi;
2. la costituzione di un elenco che dovrà essere popolato da tutti quei soggetti che verosimilmente ricadranno negli ambiti indicati dalla norma.

Piccolo inciso, non bisogna meravigliarsi del censimento “volontario“, o comunque di queste modalità per “conoscere” le singole realtà, no davvero.

Quando si parla di servizi essenziali non bisogna pensare a una struttura monolitica, verticistica e unitaria,  ma come tante realtà autocefale (anche autoreferenziali, volendo, ndr.).

Infatti, si avranno struttura “centrali” e “periferiche” ma anche “locali” e, addirittura “autonome”, nella sostanza, si pensi: alle Regioni a statuto speciale, ma anche alle Agenzie fiscali.

Ecco la diversità,  la stessa è data dalla consistenza organica, dai ruoli e dal livello di strutturazione che si danno i singoli Enti.

Esempio “facile”: un Comune che amministra 100.000 ab. avrà una struttura burocratica, e infrastruttura logistica, differente da uno che ha 1.500 ab. Le minacce saranno anche uguali (date le analoghe attribuzioni), ma differente è la disponibilità di figure in house che possano affrontare talune problematiche.

Questo significherebbe esternalizzare il servizio d’interesse o quantomeno renderlo esecutivo in convenzione tra più enti. Non meraviglia infatti l’esito di una ricerca del Politecnico di Milano che vuole che meno di sei aziende su dieci abbiano designato un CISO.

La diversità poi fa il paio con il concetto di proporzionalità, rispetto al rischio che sarà valutato dai singoli attori e con cui si confronterà ACN. Ricordando che saranno emanate delle linee guida in un secondo momento, per la fine di Aprile 2025, unitamente alle modalità di notifica degli incidenti.

L’obiettivo è il tutelare l’intera catena di valore, quindi la filiera di fornitori dei servizi per i 18 ambiti tutelati.

Terminata la fase di registrazione, l’Agenzia vaglierà le dichiarazioni ricevute per costituire il citato elenco.

Quanto sopra, entro la fine di marzo 2025.

Il termine ultimo per finalizzare l’iscrizione è quindi prorogato al 10 marzo, ma solo per chi ha già completato il censimento del POC, il Punto di Contatto Aziendale.

Nel mese di aprile 2025, entro il 30, l’ACN, notificherà al domicilio digitale di tutti i soggetti registrati se rientrano, o meno, nell’elenco. Seguirà il decreto direttoriale con emanazione linee guida e, ovviamente, un continuo brain storming sul tema.

Seguiranno, come detto, la pubblicazione delle linee guida e la condivisione degli allegati tecnici.

Per quanto concerne la Pubblica Amministrazione “locale”, i protagonisti sono:

1. Le Regioni e le Province autonome;
2. Le Città metropolitane;
3. I Comuni con popolazione superiore a 100.000 abitanti;
4. I Comuni capoluoghi di regione;
5. Le Aziende sanitarie locali;

Il primo passo, come già visto è stata la registrazione del POC, attraverso lo SPID di quello stesso individuo, il quale fondamentalmente è:

1. Il rappresentante legale dell’organizzazione;
2. Un procuratore speciale delegato dal rappresentante legale;
3. Un dipendente interno, nominato appositamente dal rappresentante legale;
4. Un consulente esterno all’organizzazione, appositamente delegato (ideale per realtà non strutturate).

A seguire il POC provvederà con inserimento codice fiscale dell’ente di riferimento (oppure codice IPA). Si classificherà l’ente quale Essenziale, Importante, Fuori ambito, validando anche la pec.

L’applicabilità della NIS2 dipende dalla dimensione dell’ente, ecco perchè bisognerà riportate il numero dei dipendenti effettivi e dati di bilancio.

Per la dichiarazione di tali valori, la raccomandazione richiamata dall’ACN esplicita che i calcoli tengano conto delle imprese associate/collegate, per cui sarà anche necessario codice ATECO, d’interesse sono le faq di ACN.

Silvestro Marascio