Quali sono le soglie dimensionali per rientrare nel campo di applicazione della NIS2?

NIS2 Frequently Asked Questions

La Direttiva NIS2 introduce un cambiamento significativo rispetto alla sua precedente versione, incorporando le soglie dimensionali come criterio chiave per determinare se un’entità rientra nel suo ambito di applicazione. Le fonti indicano un approccio a due livelli: una soglia dimensionale generale basata sulla dimensione aziendale e un approccio più flessibile che considera fattori oltre la dimensione.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.
  • Soglia Dimensionale Generale: L’Articolo 2 della Direttiva NIS2 stabilisce la regola generale per l’inclusione basata sulla dimensione. Le entità rientrano generalmente nell’ambito di applicazione della direttiva se soddisfano uno dei seguenti criteri:
    • Impresa di Media Dimensione: Classificata come impresa di media dimensione ai sensi dell’Articolo 2, Paragrafo 1 dell’Allegato alla Raccomandazione 2003/361/CE.
    • Superamento delle Soglie per le Imprese di Media Dimensione: Superamento delle soglie massime per le imprese di media dimensione, come stabilito nell’Articolo 2, Paragrafo 1 dell’Allegato alla Raccomandazione 2003/361/CE.
  • Oltre la Dimensione: Flessibilità per gli Stati Membri: Sebbene la dimensione sia un fattore primario, la Direttiva NIS2 riconosce che anche le entità più piccole potrebbero rappresentare un rischio significativo per la cybersecurity. Essa concede agli Stati Membri la discrezionalità di includere entità che non rientrano nella soglia dimensionale generale sulla base di criteri specifici:
    • Profilo di Rischio Elevato: Gli Stati Membri possono identificare entità di dimensioni ridotte con un profilo di rischio elevato e sottoporle agli obblighi della Direttiva NIS2. I criteri per determinare un profilo di rischio elevato non sono esplicitamente definiti nei testi forniti, suggerendo che gli Stati Membri possano avere un certo margine di autonomia nel definire tali criteri.
    • Entità Essenziali: L’Articolo 2, Paragrafo 2(b)-(e) consente agli Stati Membri di designare alcune entità come “entità essenziali,” anche se non soddisfano le soglie dimensionali generali. Questa designazione dipende dalla possibilità che le interruzioni dei servizi offerti dall’entità possano avere un impatto significativo sul mantenimento delle attività critiche della società o dell’economia. I fattori per fare questa determinazione includono:
      • L’entità è l’unico fornitore in uno Stato Membro di un servizio considerato essenziale per il mantenimento di funzioni vitali della società o dell’economia.
      • La possibilità che interruzioni dei servizi offerti dall’entità possano avere un impatto sostanziale sulla sicurezza pubblica, la salute pubblica o la sicurezza nazionale.
      • La possibilità che interruzioni dei servizi offerti dall’entità possano portare a un rischio sistemico significativo, in particolare nei settori in cui tali interruzioni potrebbero avere implicazioni transfrontaliere.
  • Casi Specifici Indipendentemente dalla Dimensione: Alcune entità, indipendentemente dalla loro dimensione, rientrano automaticamente nel campo di applicazione della NIS2:
    • Entità Critiche: L’Articolo 2, Paragrafo 3 stabilisce che la Direttiva si applica a tutte le entità designate come “entità critiche” ai sensi della Direttiva (UE) 2022/2557. Ciò implica che le infrastrutture critiche e le entità essenziali per la sicurezza nazionale o i servizi essenziali sono coperte dalla NIS2 indipendentemente dalla loro dimensione.
    • Servizi di Registrazione di Nomi di Dominio: L’Articolo 2, Paragrafo 4 impone che la Direttiva si applichi a tutte le entità che forniscono servizi di registrazione di nomi di dominio, indipendentemente dalla dimensione. Questo sottolinea il ruolo critico della registrazione dei nomi di dominio nella sicurezza informatica e l’importanza di garantire che queste entità rispettino standard di sicurezza solidi.

In sintesi, sebbene la NIS2 introduca una soglia dimensionale generale basata sulla definizione di impresa di media dimensione, consente agli Stati Membri una certa flessibilità per includere entità più piccole in base ai profili di rischio o se sono considerate fornitori di servizi essenziali. Inoltre, alcune entità critiche e fornitori di servizi di registrazione di nomi di dominio sono coperti indipendentemente dalla loro dimensione.

Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.

In