La Direttiva NIS2 rappresenta un passo importante per il rafforzamento della cybersecurity all’interno dell’Unione Europea e un’opportunità significativa per migliorare il livello di sicurezza all’interno delle organizzazioni.
L’Italia ha recepito la direttiva con il Decreto Legislativo n. 138 del 2024, entrato in vigore il 16 ottobre 2024.
Per comprendere se sia necessario intraprendere un percorso di compliance, è importante innanzitutto definire se l’organizzazione rientri nell’ambito di applicazione della NIS2. Di seguito, perciò, una piccola guida sui soggetti e i settori coinvolti dalla normativa.
L’ambito applicativo della NIS 2
La Direttiva si applica a tutte le medie e grandi aziende di alcuni specifici settori che approfondiamo di seguito, oltre a categorie specifiche di piccole imprese.
Il Decreto 138 indica come settori ad alta criticità quelli che esercitano un’attività strategica per la società, l’economia o la sicurezza nazionale:
- energia
- spazio e trasporti
- sanitario
- servizi bancari e infrastrutture dei mercati finanziari
- acque potabili e reflue
- infrastrutture digitali e di telecomunicazioni
Negli “altri settori critici” di cui all’Allegato II rientrano quelle organizzazioni che, pur non svolgendo attività direttamente connesse con interessi vitali del sistema Paese, forniscono servizi con grande impatto sul funzionamento stesso della società:
- servizi postali e di corriere
- gestione dei rifiuti
- fabbricazione, produzione, distribuzione di sostanze chimiche
- produzione, trasformazione, distribuzione di alimenti
- fabbricazione di dispositivi (elettronici, elettrici, ottici, medici, computer, autoveicoli, rimorchi, semirimorchi, mezzi di trasporto, altri macchinari e apparecchiature)
- servizi digitali (mercati online, motori di ricerca, social network, registrazione nomi a dominio)
- ricerca
Gli ulteriori soggetti individuati dal Decreto
Il recepimento italiano individua ulteriori categorie di soggetti che rientrano nell’ambito applicativo della NIS2 e in particolare:
- amministrazioni centrali
- regioni e province autonome
- città metropolitane
- comuni capoluoghi di regione
- comuni con più di 100.000 abitanti
- aziende sanitarie locali
- altri soggetti pubblici tra i quali enti di regolazione dell’attività economica, enti produttori di servizi economici, enti a struttura associativa, enti produttori di servizi assistenziali, ricreativi e culturali, enti e istituzioni di ricerca, istituti zooprofilattici sperimentali.
A questi devono aggiungersi
- soggetti che forniscono servizi di trasporto pubblico locale
- istituti di istruzione che svolgono attività di ricerca
- soggetti che svolgono attività di interesse culturale
- società in-house, società partecipate e società a controllo pubblico.
Come faccio a sapere se sono una media o grande impresa?
Rientrano tra le medie imprese quelle che presentano un numero di dipendenti effettivi tra 50 e 249 e un fatturato annuo compreso tra i 10 e i 50 milioni oppure in alternativa un totale di bilancio annuo compreso tra i 10 e i 43 milioni di euro.
Valori di soglia superiori identificano la grande impresa e valori di soglia inferiori identificano le piccole e le micro imprese.
Per un approfondimento, rimandiamo alla Raccomandazione della Commissione del 6 maggio 2003, relativa proprio alla definizione delle microimprese, piccole e medie imprese.
Quando sono coinvolte anche le piccole o micro imprese?
Indipendentemente dalle loro dimensioni, ricadono nell’ambito applicativo della NIS2
- i soggetti identificati come critici secondo la direttiva (UE) 2022/2557 cosiddetta CER
- i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio (articolo articolo 3, comma 5, lettere c) e d);
- le pubbliche amministrazioni centrali;
- i soggetti eventualmente individuati dall’Autorità competente NIS. Tali soggetti riceveranno una specifica notifica di individuazione.
I soggetti che operano in uno dei settori critici indicati ai paragrafi precedenti, inoltre, rientrano nell’ambito applicativo NIS2 anche se di piccole dimensioni nel caso in cui siano identificati come operatori di servizi essenziali, siano l’unico fornitore nazionale di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali oppure operino come elemento sistemico di una catena di approvvigionamento critica, anche transfrontaliera.
Infine, anche i soggetti di piccole dimensioni ricadono nell’ambito applicativo della NIS2 nel caso siano collegati ad un soggetto importante o essenziale e adottino per questo decisioni sulle misure di gestione del rischio, gestiscano sistemi informativi e di rete, effettuino operazioni di sicurezza informatica o forniscano servizi TIC.
Cosa fare per verificare se si rientra nell’ambito applicativo
Questa piccola guida ha la finalità di fornire ai lettori un quadro generale dell’ambito applicativo NIS2, ma ovviamente non può sostituire una consulenza legale.
È dunque sempre consigliabile un assessment specifico che valuti, nel caso concreto, la presenza di tutti i requisiti stabiliti dalla norma, come le dimensioni e il settore di attività, ma anche il servizio fornito, il tipo di clienti serviti, gli impatti di una perturbazione e la catena di fornitura.