NIS 2 e scadenza del 31 maggio 2025: chi sono i responsabili nella PA? (regna ancora l’incertezza)

Entro il 31 maggio 2025, tutti i soggetti già inseriti nell’elenco NIS2 dovranno completare il caricamento delle informazioni aggiuntive sulla piattaforma dell’ACN.

Un adempimento che sta creando non poche preoccupazioni, soprattutto nel settore pubblico…

Il nodo dei “responsabili della cybersicurezza” per le PA

Durante il nostro webinar dedicato alla “seconda fase” prevista dalla direttiva NIS2 dello scorso 15 maggio, è emerso con chiarezza un punto critico: chi deve essere indicato come “responsabile” ai sensi dell’art. 38 del Decreto NIS2 nelle pubbliche amministrazioni?

La questione non è affatto banale.

Mentre per le aziende private la catena di responsabilità è generalmente più definita, nel contesto pubblico la situazione appare decisamente più nebulosa.

Il decreto impone sì l’adempimento, ma non chiarisce chi, nelle articolazioni pubbliche, debba essere effettivamente individuato come Responsabile per la Cybersicurezza.

Si tratta di una lacuna normativa che sta creando notevole incertezza tra gli enti pubblici che rientrano nel perimetro della NIS2.

Chi è il Responsabile per la Cybersicurezza nella PA? Proviamo a fare un po’ di chiarezza…

Per affrontare questa situazione di incertezza, Just4Cyber – Istituto Europeo per il Diritto Computazionale e la Cyber Resilienza ha trasmesso all’ACN un documento dettagliato che mette nero su bianco le principali criticità interpretative riguardanti le pubbliche amministrazioni e gli enti pubblici soggetti alla normativa NIS2.

La richiesta è duplice:

• Un intervento chiarificatore ufficiale da parte dell’Agenzia
• L’adozione urgente di linee guida o FAQ che possano colmare il vuoto applicativo

Puoi trovare il testo del documento a questo indirizzo: https://www.linkedin.com/feed/update/urn:li:activity:7330468574307729409/

Ultimo aggiornamento: il chiarimento da parte di ACN sulla PEC dei responsabili

Una piccola luce in fondo al tunnel è arrivata in queste ultime ore.

L’ACN ha finalmente chiarito un punto importante riguardante gli indirizzi PEC da indicare per i componenti degli organi di amministrazione e direttivi da censire entro il 31 maggio 2025.

Alla domanda se sia necessario indicare la PEC personale dei responsabili, l’Agenzia ha risposto che non è richiesta obbligatoriamente una PEC individuale o nominativa.

È sufficiente indicare un indirizzo PEC funzionale dell’organizzazione (come il domicilio digitale) o, in mancanza, persino un indirizzo email aziendale ordinario.

Questo chiarimento, seppur limitato a un aspetto specifico, rappresenta un passo nella giusta direzione.

Rende più semplice l’adempimento e dimostra che l’ACN sta ascoltando le preoccupazioni degli enti.

Mi auguro che seguano presto ulteriori indicazioni su tutti gli altri aspetti ancora nebulosi, in particolare sull’individuazione dei soggetti responsabili nelle PA.

Vuoi rimanere aggiornato sulle notizie legate al tema della cybersicurezza per la PA?