1. Cos’è la NIS2?
La direttiva (UE) 2022/2555, nota come NIS2, rappresenta il nuovo quadro normativo europeo in materia di cybersicurezza, destinato a rafforzare la protezione delle infrastrutture digitali critiche. In Italia, la NIS2 è stata recepita con il d.lgs. 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024, che abroga e sostituisce la disciplina previgente introdotta dalla direttiva NIS1.
La NIS2 impone obblighi stringenti in materia di gestione del rischio informatico, continuità operativa, sicurezza dei dati e segnalazione degli incidenti. Le misure riguardano sia la protezione delle reti e dei sistemi informativi, sia la tutela della riservatezza, integrità e disponibilità dei dati, inclusi i dati personali. Tuttavia, prima di esaminare gli adempimenti nel dettaglio, è essenziale capire chi è soggetto alla normativa e quali categorie di enti pubblici e imprese devono conformarsi alla nuova direttiva.
2. Chi rientra nella NIS2?
Una delle domande più ricorrenti tra enti pubblici e imprese di settore riguarda chi è soggetto agli obblighi previsti dalla NIS2. L’articolo 3 del d.lgs. 138/2024 – che ha recepito la direttiva in Italia – individua in modo articolato l’ambito di applicazione, specificando che la normativa si applica ai soggetti pubblici e privati indicati negli allegati I, II, III e IV, purché ricadano sotto la giurisdizione italiana.
Per comprendere se un ente o un’impresa rientra nel perimetro applicativo della NIS2, è necessario esaminare con attenzione tali allegati, che classificano i soggetti in base a diversi criteri: settore di attività, rilevanza strategica, e soprattutto dimensione. La direttiva, infatti, introduce soglie minime legate al numero di dipendenti e al fatturato annuo, ma prevede anche l’inclusione di soggetti indipendentemente da tali parametri, se operano in settori considerati essenziali o critici per la sicurezza nazionale ed europea.
3. Quali soggetti operano nei settori altamente critici della NIS2
Il d.lgs. 138/2024 si applica, in primo luogo, ai soggetti pubblici e privati che contemporaneamente:
- superano i massimali per le piccole imprese;
- operano nei settori definiti, dall’allegato I del decreto NIS2, “ad alta criticità”.
A riguardo, superano i massimali per le piccole imprese le organizzazioni con più di 50 dipendenti e con un fatturato annuo – o un totale di bilancio – superiore a 10 milioni di euro. Tali soglie devono essere calcolate in base ai conti dell’impresa stessa, oppure, se si tratta di imprese collegate o associate, anche tenendo conto dei conti consolidati del gruppo.
I settori ad alta criticità includono comparti strategici per la resilienza nazionale ed europea, come energia, trasporti, banche, sanità, risorse idriche, infrastrutture digitali e spazio. Vi rientrano, ad esempio, la produzione e distribuzione di energia elettrica e gas, il trasporto aereo, ferroviario e su strada, le banche e le infrastrutture dei mercati finanziari, l’assistenza sanitaria, la ricerca farmaceutica, i fornitori di servizi TIC business-to-business e i gestori di sistemi digitali che supportano la continuità operativa di amministrazioni pubbliche e imprese private.
4. Quali soggetti rientrano nei settori critici secondo il decreto NIS2
Il decreto NIS2 si applica inoltre ai soggetti pubblici e privati che:
- superano i massimali per le piccole imprese;
- operano nei settori definiti, dall’allegato II del decreto NIS2, “critici”.
I settori critici, pur distinti da quelli ad alta criticità, sono comunque ritenuti strategici per la resilienza dei servizi essenziali e per la tenuta delle filiere economiche e produttive. Vi rientrano, tra gli altri, i servizi postali e di corriere, la gestione dei rifiuti, la produzione e distribuzione di sostanze chimiche, il settore agroalimentare, la fabbricazione di dispositivi medici e di apparecchiature elettroniche, i fornitori di servizi digitali, nonché le strutture attive in ambito scientifico e di ricerca. L’elenco è ampio e comprende attività fondamentali per il funzionamento quotidiano del Paese.
NIS2: cosa fare entro il 31 maggio 2025
Scopri quali sono gli adempimenti NIS2 entro il 31 maggio 2025 e cosa devono fare le amministrazioni e i soggetti obbligati per adeguarsi.
5. La NIS2 si applica anche a micro e piccole imprese?
La direttiva NIS2, nella maggior parte dei casi, si applica ai soggetti che operano in settori critici o altamente critici e che superano determinate soglie dimensionali. Tuttavia, il d.lgs. 138/2024 (art. 3, comma 5) stabilisce che l’applicazione della normativa può prescindere dalle dimensioni dell’impresa o dell’ente, estendendo gli obblighi anche a micro e piccole organizzazioni, qualora esse svolgano le seguenti attività o ricadano nei seguenti settori:
- ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo, che recepisce la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
- ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
- ai prestatori di servizi fiduciari;
- ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
- ai fornitori di servizi di registrazione dei nomi di dominio.
6. Chi sono i soggetti pubblici a cui si applica la NIS2?
La direttiva NIS2 si applica anche a numerosi soggetti pubblici, come indicato nell’Allegato III del d.lgs. 138/2024. A differenza dei soggetti privati, per molte pubbliche amministrazioni l’obbligo di adeguarsi alla normativa non dipende dalle dimensioni, ma dalla semplice appartenenza a determinate categorie.
Tra queste rientrano:
- le amministrazioni centrali;
- le amministrazioni regionali;
- le amministrazioni locali;
- altri soggetti pubblici elencati alla lett. d) dell’Allegato III del decreto NIs2
7. La NIS2 si applica ai Comuni?
La direttiva NIS2 si applica anche ai Comuni, in quanto rientrano tra le “amministrazioni locali” elencate nell’Allegato III del d.lgs. 138/2024. Tuttavia, l’obbligo di adeguarsi alla normativa riguarda esclusivamente i Comuni con una popolazione superiore ai 100.000 abitanti. Si tratta di una soglia demografica che limita l’ambito di applicazione della direttiva, almeno nella fase iniziale, ai grandi centri urbani.
Va evidenziato, però, che questa limitazione potrebbe non essere definitiva. L’art. 3, comma 7, del d.lgs. 138/2024 consente infatti al Presidente del Consiglio dei ministri, con uno o più decreti successivi, di estendere l’ambito applicativo della NIS2 ad altre categorie di pubbliche amministrazioni, eventualmente includendo Comuni di dimensioni inferiori o enti locali con funzioni strategiche. È quindi fondamentale che anche gli enti attualmente esclusi inizino a valutare il proprio livello di sicurezza informatica e si preparino a futuri adempimenti.
8. La NIS2 si applica alle società in house e alle società pubbliche?
La direttiva NIS2 si applica anche alle società in house providing, come definite dal d.lgs. 175/2016 (Testo unico in materia di società a partecipazione pubblica), nonché alle società a controllo pubblico e alle altre partecipate da enti pubblici, a condizione che:
- superino le soglie dimensionali di media impresa (oltre 50 dipendenti e 10 milioni di euro di fatturato o bilancio annuo)
- operino in uno dei settori considerati critici o altamente critici.
Tuttavia, anche qualora tali società in house o a controllo pubblico o solamente partecipate non soddisfino i suddetti criteri, le stesse società potranno comunque essere chiamate ad applicare gli obblighi NIS2. L’art. 13, comma 8, del decreto prevede infatti che l’Agenzia per la cybersicurezza nazionale (ACN) possa individuare specifici soggetti tenuti ad applicare la normativa anche in assenza dei requisiti dimensionali o settoriali, qualora ciò sia ritenuto necessario per motivi di sicurezza nazionale o per la natura strategica dell’attività svolta.
9. La NIS2 si applica anche alle imprese associate o collegate ad un soggetto essenziale o importante?
Il decreto NIS2 si applica anche alle imprese collegate a soggetti tenuti ad applicare le disposizioni in materia di cybersicurezza, che soddisfano almeno uno dei seguenti criteri:
- adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
- detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
- effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
- forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.
10. Cosa devo fare se mi riconosco in uno dei soggetti tenuto ad applicare la NIS2?
Se rientri tra i soggetti obbligati ad applicare la NIS2, il primo adempimento richiesto è la registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN).
La registrazione sulla piattaforma dell’ACN può avvenire ogni anno entro una specifica finestra temporale, che si differenzia a seconda della tipologia di soggetto:
- dal 1 gennaio al 17 gennaio, per i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione del decreto;
- dal 1 gennaio al 28 febbraio, per tutti gli altri soggetti che si riconoscono come tenuti ad applicare gli obblighi NIS2.
11. Dopo la registrazione sarò tenuto ad adeguarmi agli obblighi NIS?
La registrazione sulla piattaforma dell’ACN non comporta automaticamente l’obbligo di conformarsi agli obblighi della NIS2.
Dopo la registrazione, l’Agenzia per la Cybersicurezza Nazionale ha tempo fino al 31 marzo 2025 per confermare se il soggetto, pubblico o privato, è effettivamente tenuto a rispettare tali obblighi.
All’ACN spetta anche il compito di stabilire se l’ente sia da considerarsi “essenziale” o “importante” a seconda della criticità intrinseca dei settori in cui opera e in relazione al rischio informatico. Tale distinzione è utile ai fini dell’applicazione proporzionale degli obblighi nonché dell’esercizio dei poteri ispettivi e sanzionatori dell’Autorità nazionale competente NIS.
12. La piena operatività del decreto NIS2
Sebbene il d.lgs. 138/2024 sia entrato in vigore il 16 ottobre 2024, la sua piena operatività è scaglionata nel tempo.
Tuttavia, è consigliabile non temporeggiare, soprattutto se si ha la certezza di rientrare nei criteri indicati. In caso di iscrizione, i soggetti, pubblici e privati, dovranno rispettare le seguenti scadenze:
- entro gennaio 2026, dovranno adempiere agli obblighi di base in materia di notifica di incidente;
- entro ottobre 2026, dovranno conformarsi agli obblighi di sicurezza informatica.
È quindi fondamentale agire tempestivamente per evitare sanzioni e per garantire la conformità alla normativa in materia di cybersicurezza.
13. Chi è il “punto di contatto” nel decreto NIS2?
Il punto di contatto è una persona fisica designata dal soggetto NIS con il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso.
In particolare, il punto di contatto:
- accede al Portale ACN e ai Servizi NIS;
- effettua, per conto del soggetto, la registrazione sulla piattaforma dell’ACN,
- interloquisce, per conto del soggetto NIS, con l’ACN.
Le funzioni di punto di contatto possono essere svolte:
- dal rappresentante legale del soggetto NIS;
- da uno dei procuratori generali del soggetto NIS;
- da un dipendente del soggetto NIS delegato dal rappresentante legale del soggetto medesimo;
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.