Sono moltissime le segnalazioni di aziende che stanno ricevendo dall’ACN gli inviti a registrarsi al portale NIS2 nonostante non sembrino superare i requisiti dimensionali richiesti dalla normativa.
I criteri dimensionali definiti dal d.lgs. n. 138/2024 stabiliscono che la NIS2 si applichi alle aziende, operanti in determinati settori considerati strategici, con almeno 50 dipendenti e un fatturato annuo minimo di 10 milioni di euro (dimensionale e merceologico). Le piccole e micro-imprese saranno quindi generalmente escluse dall’obbligo, salvo eccezioni connesse alla particolare strategicità del settore di appartenenza e su decisione dell’ACN.
La comunicazione dell’Agenzia per la Cybersicurezza Nazionale (ACN), probabilmente inviata orizzontalmente alle società aventi un Codice ATECO rientrante tra le categorie coinvolte dalla normativa, senza preventiva verifica dei requisiti dimensionali, riporta: “All’esito di una prima verifica della corrispondenza tra le registrazioni effettuate e i soggetti potenzialmente attratti , codesta Organizzazione non appare tra quelle registrate, potendosi inferire da ciò che non sia stato svolto il processo di autovalutazione finalizzato a verificare la sua riconducibilità all’ambito di applicazione NIS”.
Cosa fare se hai ricevuto la notifica?
Se la tua azienda ha ricevuto la notifica, oppure se avete il dubbio che la vostra organizzazione rientri nell’ambito di applicazione della normativa NIS 2, è consigliabile completare quanto prima il processo di autovalutazione e procedere all’iscrizione sul portale ufficiale, che deve essere effettuata entro il 28 febbraio 2025.
Dopo tale data l’ACN verificherà quali aziende soddisfino effettivamente i requisiti (dimensionali e di settore) e, nel caso in cui la vostra azienda sia tra quelle collocate in tale perimetro, potrebbe essere destinataria di sanzioni ove non avesse provveduto alla registrazione nel termine indicato.
Noi sei destinatario della normativa? Un’occasione di compliance.
Infine, anche se la vostra organizzazione non rientra nel perimetro della normativa NIS 2 e non avete completato il processo di iscrizione in piattaforma, è consigliabile documentare chiaramente il motivo di questa esclusione. Redigere un parere interno ti tutela da possibili contestazioni future e dimostra un approccio responsabile alla conformità normativa.
Il nostro team è disposizione per supportati in questi adempimenti!
Sono moltissime le segnalazioni di aziende che stanno ricevendo dall’ACN gli inviti a registrarsi al portale NIS2 nonostante non sembrino superare i requisiti dimensionali richiesti dalla normativa.
I criteri dimensionali definiti dal d.lgs. n. 138/2024 stabiliscono che la NIS2 si applichi alle aziende, operanti in determinati settori considerati strategici, con almeno 50 dipendenti e un fatturato annuo minimo di 10 milioni di euro (dimensionale e merceologico). Le piccole e micro-imprese saranno quindi generalmente escluse dall’obbligo, salvo eccezioni connesse alla particolare strategicità del settore di appartenenza e su decisione dell’ACN.
La comunicazione dell’Agenzia per la Cybersicurezza Nazionale (ACN), probabilmente inviata orizzontalmente alle società aventi un Codice ATECO rientrante tra le categorie coinvolte dalla normativa, senza preventiva verifica dei requisiti dimensionali, riporta: “All’esito di una prima verifica della corrispondenza tra le registrazioni effettuate e i soggetti potenzialmente attratti , codesta Organizzazione non appare tra quelle registrate, potendosi inferire da ciò che non sia stato svolto il processo di autovalutazione finalizzato a verificare la sua riconducibilità all’ambito di applicazione NIS”.
Cosa fare se hai ricevuto la notifica?
Se la tua azienda ha ricevuto la notifica, oppure se avete il dubbio che la vostra organizzazione rientri nell’ambito di applicazione della normativa NIS 2, è consigliabile completare quanto prima il processo di autovalutazione e procedere all’iscrizione sul portale ufficiale, che deve essere effettuata entro il 28 febbraio 2025.
Dopo tale data l’ACN verificherà quali aziende soddisfino effettivamente i requisiti (dimensionali e di settore) e, nel caso in cui la vostra azienda sia tra quelle collocate in tale perimetro, potrebbe essere destinataria di sanzioni ove non avesse provveduto alla registrazione nel termine indicato.
Noi sei destinatario della normativa? Un’occasione di compliance.
Infine, anche se la vostra organizzazione non rientra nel perimetro della normativa NIS 2 e non avete completato il processo di iscrizione in piattaforma, è consigliabile documentare chiaramente il motivo di questa esclusione. Redigere un parere interno ti tutela da possibili contestazioni future e dimostra un approccio responsabile alla conformità normativa.
Il nostro team è disposizione per supportati in questi adempimenti!