NIS2 Art. 27: Registro delle entità (ENISA) e registrazione (guida per management)
In breve
L’Art. 27 prevede che ENISA mantenga un registro di specifiche categorie di fornitori digitali/ICT e piattaforme online, usando le informazioni ricevute dai “single point of contact” (SPOC) degli Stati membri.
Impatto pratico: serve un processo “always-on” per registrazione e aggiornamenti, perché cambi su sedi, contatti, Paesi serviti o IP range possono incidere su notifiche, ispezioni e gestione incidenti.
Chi è soggetto (scope)
Il registro ENISA riguarda (in sintesi) provider di servizi DNS e registri/registrar di domini, provider cloud, data center, CDN, managed service provider (MSP), managed security service provider (MSSP) e alcuni provider di piattaforme online (marketplace, search engine, social).
Nota governance: se il gruppo opera in più Paesi UE, prima si chiarisce la giurisdizione (Art. 26) e poi si imposta la registrazione coerente.
Quali dati inviare (set minimo)
Questo è il set informativo previsto dall’Art. 27 per le entità in scope.
| Dato | Esempio | Owner interno |
|---|---|---|
| Nome dell’entità | [Ragione sociale completa + VAT/ID nazionale se richiesto dalla trasposizione] | Legal / Compliance |
| Settore/sottosettore/tipologia (Annex I/II se applicabile) | Cloud provider / Data center provider / MSP / ecc. | Compliance |
| Indirizzo main establishment + altre sedi legali UE (o rappresentante UE se non-UE) | [Indirizzi + Paesi] | Legal |
| Contatti aggiornati (email/telefono) dell’entità e del rappresentante (se presente) | security@… / oncall@… / +39… | CISO / Security Ops |
| Stati membri in cui fornisce servizi | IT, DE, FR, ES… | Business / Sales Ops |
| IP ranges dell’entità | [CIDR / ASN se applicabile] | Network / IT |
Aggiornamenti e tempistiche
- Scadenza prevista dalla direttiva: invio delle informazioni iniziali entro il 17 gennaio 2025 (tempistica “base” della direttiva, poi declinata da ciascuno Stato membro).
- Modifiche: ogni variazione va comunicata senza ritardo e comunque entro 3 mesi dal cambiamento.
- Canale: dove applicabile, l’invio passa tramite il meccanismo nazionale di registrazione previsto dalla direttiva.
Processo interno (CEO / IT / Compliance)
Decisioni management (CEO / Direzione)
- Nominare un owner unico del “NIS2 Entity Registry” (tipicamente Compliance con supporto CISO e Legal).
- Approvare una policy: “ogni cambiamento societario/operativo che impatta dati Art. 27 deve attivare il flusso di aggiornamento”.
- Richiedere KPI mensili: completezza dati, tempi di aggiornamento, numero eccezioni e audit findings.
Attività operative (IT / Security)
- Mantenere un inventario dei sistemi/servizi che determinano gli IP ranges e i Paesi di erogazione.
- Definire un contatto “operativo” per autorità/CSIRT (es. mailbox + reperibilità) e mantenerlo aggiornato.
Controllo e compliance (Compliance / Legal)
- Allineare main establishment / rappresentante UE (se applicabile) con la giurisdizione NIS2 (Art. 26).
- Gestire un “change trigger list”: M&A, apertura sedi UE, cambio provider core, change IP/ASN, cambio contatti reperibilità.
Evidenze (audit trail) da tenere pronte
- Vendor/Entity profile: ragione sociale, scope servizio, Paesi serviti, riferimenti legali, giurisdizione.
- Registro cambi: data cambio, campo aggiornato, owner, prova invio, prova ricezione (se disponibile).
- Contatti operativi: mailbox, telefoni, reperibilità, escalation; test periodico del canale.
- Network evidence (solo per IT): IP ranges/ASN e motivazione, con controllo accesso (dato sensibile).
FAQ
Questo articolo riguarda “tutte” le aziende in NIS2?
No: Art. 27 è focalizzato su categorie specifiche di provider digitali/ICT e piattaforme online elencate dal testo, con un registro ENISA dedicato.
Perché l’Art. 27 interessa anche il CEO?
Perché collega identità giuridica, Paesi di erogazione e contatti ufficiali: errori o ritardi negli aggiornamenti possono creare rischi operativi e di compliance.
