1. NIS2: come sapere se una società è essenziale o importante
In questi giorni, molte società che hanno trasmesso la richiesta di iscrizione al Registro NIS stanno ricevendo, da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN), la comunicazione formale di avvenuta iscrizione. In adempimento al d.lgs. 138/2024, tale comunicazione non si limita a confermare l’inserimento nel Registro, ma indica anche la qualificazione attribuita alla società, specificando se la stessa è da considerarsi “essenziale” oppure “importante”.
Questa qualificazione ha conseguenze operative rilevanti, poiché gli adempimenti e gli oneri previsti dalla normativa NIS2 variano a seconda che la società sia considerata importante o essenziale. È quindi fondamentale verificare attentamente che la classificazione ricevuta sia corretta e, in caso di dubbi o incongruenze, inviare tempestivamente una richiesta di chiarimento o di rettifica.
Chi rientra e cosa prevede la NIS2 sulla cybersicurezza?
Quali soggetti sono obbligati ad adeguarsi alla NIS2? Il ruolo dell’ACN e i criteri di rischio previsti dal d.lgs. 138/2024
2. Chi sono i soggetti essenziali secondo la NIS2?
Ai sensi dell’art. 6, c. 1, del d.lgs. 123/2023, l’ACN deve qualificare come soggetti essenziali:
- le imprese che operano nei settori di cui all’Allegato I del decreto, vale a dire i settori “ad alta criticità”, e che superano i massimali previsti per le medie imprese (oltre 250 dipendenti o fatturato superiore a 50 milioni di euro e totale di bilancio annuo oltre 43 milioni di euro, come da raccomandazione 2003/361/CE);
-
i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili che soddisfano o superano i massimali previsti per le medie imprese.
Tuttavia, la normativa estende la qualifica di soggetto essenziale anche ai soggetti che, indipendentemente dalla loro dimensione, rientrano nelle seguenti categorie:
- i soggetti identificati come “critici” ai sensi del decreto che recepisce la direttiva (UE) 2022/2557 sulla resilienza dei soggetti critici;
- i prestatori di servizi fiduciari qualificati, i gestori dei registri dei nomi di dominio di primo livello e prestatori di servizi di sistemi dei nomi di dominio;
- le pubbliche amministrazioni centrali elencate nell’Allegato III del decreto.
Questa classificazione comporta l’applicazione del regime di vigilanza rafforzata previsto per i soggetti essenziali, con obblighi più incisivi in termini di gestione del rischio, sicurezza della supply chain e cooperazione con l’ACN.
3. L’ACN può individuare ulteriori soggetti essenziali?
Sì, l’Agenzia per la Cybersicurezza Nazionale (ACN) può individuare ulteriori soggetti essenziali oltre a quelli già elencati dalla normativa. Tale facoltà è prevista espressamente dall’art. 6, comma 2, del d.lgs. 138/2024, che consente di estendere gli obblighi previsti dalla direttiva NIS2 anche a soggetti che, pur non rientrando nei parametri dimensionali o settoriali ordinari, svolgono attività ritenute strategiche per la sicurezza nazionale.
La normativa attribuisce all’ACN un potere di valutazione sostanziale, che può essere esercitato rispetto alle categorie indicate dall’art. 6, commi 6, 8, 9 e 10, del decreto NIS2. In particolare, l’Agenzia può qualificare come essenziali quei soggetti la cui attività, per rilevanza o impatto potenziale, risulti cruciale per garantire la resilienza delle infrastrutture digitali o per tutelare interessi vitali dello Stato.
4. Chi sono i soggetti importanti secondo la NIS2?
Ai sensi dell’art. 6, comma 3, del d.lgs. 138/2024, sono considerati soggetti importanti tutti i soggetti rientranti nell’ambito di applicazione della normativa che non sono stati qualificati come “essenziali” ai sensi dei commi 1 e 2 dell’art. 6 del decreto NIS2. Si tratta, quindi, di soggetti che:
- operano nei settori di cui all’Allegato I del decreto, vale a dire i settori “ad alta criticità”, che superano i massimali previsti per le piccole imprese ma che non superano i massimali per le medie imprese;
- operano nei settori di cui all’Allegato II del decreto, vale a dire i settori “critici” e che superano i massimali previsti per le piccole imprese;
- indipendentemente dalle dimensioni, i fornitori di servizi di registrazione dei nomi di dominio;
- le pubbliche amministrazioni regionali, locali e gli altri soggetti pubblici di cui all’Allegato III;
- sono qualificati come importanti direttamente dall’ACN in sede di valutazione.
5. Quale differenza tra soggetto importante ed essenziale
Sia i soggetti importanti che quelli essenziali devono rispettare gli obblighi sostanziali previsti dalla direttiva NIS2, recepiti nel d.lgs. 138/2024. Tuttavia, il livello di adempimento richiesto ai soggetti importanti è meno oneroso rispetto a quello previsto per i soggetti essenziali, in ragione della diversa rilevanza strategica delle attività svolte.
L’Autorità ha recentemente adottato un provvedimento attuativo in cui sono elencate in dettaglio le misure di sicurezza da recepire. Ai soggetti importanti è richiesto di implementare 37 misure, articolate in 87 requisiti, sviluppati nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection (link esterno). I soggetti essenziali, invece, devono adottare 43 misure e 116 requisiti complessivi, comprensivi di 6 misure aggiuntive e 29 requisiti ulteriori. La differenza quantitativa e qualitativa degli obblighi riflette il maggior impatto che un incidente potrebbe avere sulla sicurezza nazionale o sulla resilienza delle infrastrutture digitali.
NIS2: cosa fare entro 31 maggio 2025
Scopri quali sono gli adempimenti NIS2 entro il 31 maggio 2025 e cosa devono fare le amministrazioni e i soggetti obbligati per adeguarsi.
6. Conclusioni: verificare la classificazione
La distinzione tra soggetti essenziali e importanti non è solo formale: comporta obblighi differenti, modalità di vigilanza specifiche e responsabilità diversificate per gli organi di amministrazione. È quindi fondamentale che le aziende verifichino con attenzione la classificazione ricevuta dall’ACN all’atto dell’iscrizione al Registro NIS, soprattutto nei casi in cui il profilo operativo o settoriale non sembri coerente con la qualificazione assegnata.
Quando assistiamo le imprese in questo ambito, ci assicuriamo di verificare la correttezza della classificazione ricevuta, e – se necessario – supportiamo le società nella redazione di osservazioni puntuali e documentate, che consentano all’Autorità di rivalutare la posizione e, se del caso, procedere a una rettifica. In questi casi, il confronto con l’ACN avviene tramite il Service Desk dedicato, raggiungibile all’indirizzo portale.acn.gov.it/support, canale ufficiale previsto ai sensi dell’art. 31, comma 7, del decreto NIS2.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.