Sì, gli enti della pubblica amministrazione sono coperti dalla Direttiva NIS2, ma con alcune specificità.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.Ecco un’analisi dettagliata:
- Inclusione Generale: L’Articolo 2 della Direttiva NIS2 stabilisce esplicitamente che la direttiva si applica sia alle entità pubbliche che private operanti in vari settori. Ciò significa che, in linea generale, gli enti della pubblica amministrazione rientrano nel campo di applicazione della NIS2.
- Disposizioni Specifiche per la Pubblica Amministrazione: Le fonti evidenziano alcune disposizioni all’interno della NIS2 che riguardano direttamente gli enti della pubblica amministrazione:
- Definizione: L’Articolo 25, punto 35, definisce un “ente della pubblica amministrazione” come un’entità riconosciuta come tale in uno Stato Membro in base al diritto nazionale, escludendo il potere giudiziario, i parlamenti e le banche centrali. Per qualificarsi come tale, l’entità deve rispettare specifici criteri, come essere istituita per scopi non commerciali, possedere personalità giuridica, ricevere finanziamenti prevalentemente da fonti pubbliche e avere il potere di adottare decisioni amministrative che incidano su determinati diritti legati al mercato interno.
- Entità Essenziali: L’Articolo 2, Paragrafo 2(f), chiarisce che gli enti della pubblica amministrazione possono essere designati come “entità essenziali” ai sensi della NIS2. Sono specificate due categorie:
- (i) Entità appartenenti all’amministrazione centrale, come definite dalla legislazione nazionale di ciascuno Stato Membro.
- (ii) Entità a livello regionale, come definite dalla legislazione nazionale di ciascuno Stato Membro, a condizione che una valutazione del rischio determini che interruzioni dei loro servizi possano avere un impatto significativo sulle attività critiche della società o dell’economia.
- Livello Locale e Istituti di Istruzione: L’Articolo 2, Paragrafo 5, concede agli Stati Membri la discrezione di estendere l’applicazione della NIS2 a:
- (a) Enti della pubblica amministrazione a livello locale.
- (b) Istituti di istruzione, in particolare quelli impegnati in attività di ricerca critiche.
- Esenzioni: Pur essendo generalmente inclusi, alcune eccezioni si applicano agli enti della pubblica amministrazione:
- L’Articolo 2, Paragrafo 7, stabilisce che la direttiva non si applica agli enti della pubblica amministrazione che operano in ambiti come:
- Sicurezza nazionale;
- Sicurezza pubblica;
- Difesa;
- Applicazione della legge (inclusa la prevenzione, indagine, individuazione e perseguimento dei reati).
- L’Articolo 2, Paragrafo 8, consente agli Stati Membri di esonerare specifiche entità impegnate in sicurezza nazionale, sicurezza pubblica, difesa o applicazione della legge, o che prestano servizi a tali entità, da alcuni obblighi previsti dagli Articoli 21 (misure di gestione del rischio di sicurezza informatica) e 23 (obblighi di notifica degli incidenti). Le esenzioni possono inoltre applicarsi agli Articoli 3 (strategie nazionali di sicurezza informatica e designazione delle autorità competenti) e 27 (registro delle entità) nei casi in cui le attività o i servizi di un’entità rientrino esclusivamente nelle categorie esentate specificate.
- Tuttavia, l’Articolo 2, Paragrafo 9, chiarisce che i Paragrafi 7 e 8, relativi alle esenzioni, non si applicano quando un’entità opera come prestatore di servizi fiduciari. Ciò implica che gli enti della pubblica amministrazione che svolgono il ruolo di prestatori di servizi fiduciari devono conformarsi alla NIS2, anche se le loro attività riguardano la sicurezza nazionale o altri ambiti esentati.
- L’Articolo 2, Paragrafo 7, stabilisce che la direttiva non si applica agli enti della pubblica amministrazione che operano in ambiti come:
- Supervisione e Applicazione: Le fonti trattano aspetti relativi alla supervisione e all’applicazione della NIS2 nei confronti degli enti della pubblica amministrazione:
- L’Articolo 31, Paragrafo 5, chiarisce che le misure di applicazione previste all’Articolo 32, Paragrafo 5 (relative alle violazioni dell’Articolo 21 da parte di entità che forniscono servizi di registrazione di nomi di dominio) non sono applicabili agli enti della pubblica amministrazione. Ciò suggerisce che, pur essendo possibili esenzioni da specifici obblighi, altre disposizioni della NIS2, incluse quelle relative alla supervisione e applicazione, generalmente si applicano.
- L’Articolo 34, Paragrafo 7, concede agli Stati Membri la flessibilità di stabilire regole che determinino l’entità delle sanzioni amministrative da imporre agli enti della pubblica amministrazione per violazioni della NIS2. Ciò indica il riconoscimento della natura specifica della pubblica amministrazione e la necessità di meccanismi di applicazione su misura.
Punti Chiave:
- La Direttiva NIS2 copre un ampio spettro di enti della pubblica amministrazione a vari livelli di governance.
- La direttiva riconosce il ruolo unico della pubblica amministrazione prevedendo disposizioni specifiche relative a definizioni, esenzioni e applicazione.
- Sebbene esistano esenzioni per le entità impegnate in settori sensibili come la sicurezza nazionale e la difesa, l’intento generale è quello di includere gli enti della pubblica amministrazione nel campo di applicazione della NIS2 per rafforzare la cybersecurity in tutta l’UE.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.