Quali sono i settori specifici e i tipi di entità coperti dalla Direttiva NIS2?

NIS2 Frequently Asked Questions

Ecco una suddivisione dei settori specifici e dei tipi di entità coperti dalla Direttiva NIS2.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Settori ed Entità Coperti dalla Direttiva NIS2

La Direttiva NIS2 classifica le entità in due gruppi principali: quelle operanti in settori di alta criticità e quelle in altri settori critici.

  • Settori di alta criticità: Questi settori sono considerati essenziali per il funzionamento dell’economia e della società e sono quindi soggetti a requisiti di cibersicurezza più stringenti. I settori di alta criticità, insieme ai loro sottosettori ed esempi di tipi specifici di entità, sono elencati nell’Allegato I del testo della Direttiva NIS2. Questi settori includono:
  • Energia: Questo settore comprende elettricità, teleriscaldamento e teleraffreddamento, petrolio, gas e idrogeno. Esempi di entità coperte includono fornitori di elettricità, operatori di sistemi di trasmissione, produttori e gestori di oleodotti e gasdotti e impianti di stoccaggio.
  • Trasporti: Questo settore copre trasporti aerei, ferroviari, marittimi e stradali. Le entità coperte includono compagnie aeree, gestori aeroportuali, aziende ferroviarie, compagnie di navigazione, autorità portuali e operatori di gestione del traffico.
  • Bancario: Questo settore copre le istituzioni di credito come definite dalle normative finanziarie.
  • Infrastrutture dei mercati finanziari: Include entità come sedi di negoziazione e controparti centrali, cruciali per il funzionamento dei mercati finanziari.
  • Sanità: Comprende fornitori di servizi sanitari e, in particolare, entità coinvolte nella produzione di prodotti farmaceutici, inclusi i vaccini.
  • Acqua potabile: Copre entità coinvolte nella fornitura e distribuzione di acqua potabile.
  • Acque reflue: Include entità responsabili della raccolta, trattamento e smaltimento delle acque reflue.
  • Infrastrutture digitali: Questo settore copre una vasta gamma di entità che forniscono servizi digitali cruciali, tra cui punti di interscambio Internet, fornitori di servizi DNS, registri di nomi di dominio di primo livello (TLD), fornitori di servizi di cloud computing, data center, reti di distribuzione dei contenuti (CDN), fornitori di servizi fiduciari e fornitori di reti e servizi di comunicazione elettronica pubblica.
  • Gestione dei servizi ICT: Comprende fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti, evidenziando l’importanza della cibersicurezza per i servizi IT esternalizzati.
  • Pubblica amministrazione: Copre entità dell’amministrazione pubblica sia a livello centrale che regionale, come definite dai singoli Stati membri.
  • Spazio: Include operatori di infrastrutture terrestri che supportano servizi basati sullo spazio, sottolineando la crescente dipendenza dalle risorse spaziali.
  • Altri settori critici: Pur essendo considerati meno critici rispetto ai settori sopra elencati, questi settori sono comunque soggetti ai requisiti di cibersicurezza previsti dalla Direttiva NIS2. Esempi includono:
  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Chimica
  • Alimentare
  • Produzione di vari prodotti, tra cui dispositivi medici, computer, elettronica, macchinari, veicoli a motore, rimorchi e altre attrezzature di trasporto
  • Fornitori digitali, come mercati online, motori di ricerca online e piattaforme di social networking
  • Organizzazioni di ricerca

Entità Non Specificamente Elencate nell’Allegato I o II

Oltre ai settori elencati, la Direttiva NIS2 copre:

  • Entità che forniscono servizi di registrazione di nomi di dominio: Queste entità sono coperte indipendentemente dalla loro dimensione.
  • Entità identificate come critiche ai sensi della Direttiva (UE) 2022/2557: Sebbene non specificamente elencate nell’Allegato I o II, queste entità rientrano nell’ambito della NIS2 a causa della loro criticità determinata da altre normative.

Soglia Dimensionale

La Direttiva NIS2 introduce una soglia dimensionale per determinare se un’entità in un settore coperto è soggetta ai suoi requisiti. Generalmente, la direttiva si applica a imprese di medie e grandi dimensioni nei settori specificati. Tuttavia, gli Stati membri hanno la flessibilità di identificare e includere entità più piccole con profili di rischio elevato in materia di sicurezza.

Entità Escluse da Alcune Disposizioni

È importante notare che alcune entità sono escluse da alcune, ma non da tutte, le disposizioni della Direttiva NIS2. Ad esempio, le entità finanziarie soggette al Regolamento (UE) 2022/2554 sono esentate dagli obblighi di gestione del rischio di cibersicurezza e di segnalazione previsti dalla Direttiva NIS2 perché il DORA già affronta questi aspetti. Tuttavia, queste entità finanziarie sono comunque considerate nel contesto di incidenti di cibersicurezza su larga scala e piani di risposta nazionali.

La Direttiva NIS2 mira a creare un panorama di cibersicurezza più robusto e armonizzato in tutta l’UE, imponendo obblighi a un’ampia gamma di entità operanti in settori critici. L’approccio completo della direttiva riconosce la natura interconnessa del mondo digitale odierno e il potenziale di impatti a cascata derivanti da incidenti di cibersicurezza.

Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.

In