Le fonti indicano diversi esempi di esenzioni e deroghe che esonerano un’entità dal dover rispettare tutte o alcune delle disposizioni della Direttiva NIS2.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.Legislazione Settoriale Specifica
La Direttiva NIS2 mira a stabilire uno standard minimo per la cybersecurity in un’ampia gamma di settori. Tuttavia, riconosce che alcuni settori possono già essere soggetti a legislazioni specifiche dell’UE che affrontano i rischi informatici e i requisiti di segnalazione degli incidenti. Se i requisiti della legislazione settoriale specifica sono almeno altrettanto stringenti di quelli previsti dalla Direttiva NIS2, le entità interessate saranno esentate dalle corrispondenti disposizioni della Direttiva NIS2. Tale esenzione riguarda le disposizioni relative a misure di gestione del rischio informatico e obblighi di segnalazione degli incidenti.
- Equivalenza: Per stabilire se una legge settoriale è equivalente, essa deve soddisfare uno dei due criteri:
- Gli effetti delle misure di gestione del rischio della legislazione settoriale devono essere almeno equivalenti agli articoli 21(1-2) della Direttiva NIS2.
- La legislazione settoriale deve garantire accesso immediato (e potenzialmente automatico e diretto) alle notifiche degli incidenti inviate dai Computer Security Incident Response Teams (CSIRTs), dalle autorità competenti o dai punti di contatto unici. Inoltre, gli obblighi relativi alla segnalazione di incidenti significativi nella legislazione settoriale devono essere almeno equivalenti a quelli previsti dagli articoli 23(1-6) della Direttiva NIS2.
- Copertura Parziale: Se la legislazione settoriale copre solo un sottoinsieme di entità all’interno di un settore che rientra nell’ambito della Direttiva NIS2, le disposizioni della direttiva si applicheranno comunque alle restanti entità di quel settore.
Le fonti citano il Digital Operational Resilience Act (DORA) come esempio specifico di legislazione settoriale che esonera determinate entità dalla Direttiva NIS2. DORA disciplina la cybersecurity del settore finanziario, e le entità che rientrano nel suo ambito di applicazione non sono soggette alle corrispondenti disposizioni della Direttiva NIS2.
Pubblica Amministrazione e Sicurezza Nazionale
La Direttiva NIS2 esenta alcune entità della pubblica amministrazione che operano in settori legati a sicurezza nazionale, sicurezza pubblica, difesa o attività di contrasto. Questa esenzione si applica ad attività come prevenzione, indagine, rilevamento e perseguimento dei reati. Le entità che forniscono esclusivamente servizi a queste amministrazioni pubbliche esentate possono anch’esse essere esentate da alcuni obblighi della Direttiva NIS2, su decisione degli Stati membri.
- Fornitori di Servizi Fiduciari: Tuttavia, anche se un’entità è esentata a causa del suo coinvolgimento in settori legati alla sicurezza nazionale o pubblica, la Direttiva NIS2 si applica comunque se l’entità agisce come fornitore di servizi fiduciari.
Altre Esenzioni e Deroghe
La Direttiva NIS2 prevede anche altre esenzioni e deroghe, tra cui:
- Entità esentate dal DORA: Le entità che gli Stati membri hanno esentato dal DORA ai sensi dell’articolo 2(4) di tale regolamento sono anch’esse esentate dalla Direttiva NIS2.
- Protezione degli Interessi Essenziali: Gli obblighi della direttiva non richiedono alle entità di divulgare informazioni che comprometterebbero gli interessi essenziali di sicurezza nazionale, sicurezza pubblica o difesa di uno Stato membro.
- Riservatezza delle Informazioni: Le informazioni riservate, come i segreti commerciali, protette dalla normativa UE o nazionale, possono essere condivise con la Commissione e le altre autorità competenti solo se strettamente necessario per l’applicazione della direttiva.
- Protezione dei Dati: Il trattamento dei dati personali nell’ambito della Direttiva NIS2 deve essere conforme al Regolamento generale sulla protezione dei dati (GDPR). I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico devono inoltre rispettare la normativa dell’UE in materia di protezione dei dati e privacy, inclusa la Direttiva 2002/58/CE.
Standard Nazionali Più Elevati
La Direttiva NIS2 stabilisce requisiti minimi di cybersecurity in tutta l’UE. Tuttavia, non impedisce agli Stati membri di adottare o mantenere disposizioni più severe in materia di cybersecurity. Finché tali disposizioni nazionali sono compatibili con il diritto dell’UE, possono coesistere con la Direttiva NIS2.
Linee Guida della Commissione
La Commissione Europea è responsabile di fornire linee guida per chiarire l’applicazione di queste esenzioni e deroghe, in particolare in situazioni che coinvolgono legislazioni settoriali specifiche. La Commissione fornisce inoltre indicazioni sulle informazioni che gli Stati membri devono trasmettere quando notificano alla Commissione gli elenchi delle entità essenziali e importanti coperte dalla direttiva.
È importante notare che le fonti si concentrano principalmente sulle esenzioni e deroghe esplicitamente menzionate nella Direttiva NIS2. È possibile che il diritto nazionale o altre normative dell’UE possano influire sull’applicazione della direttiva in modi non esplicitamente trattati nel testo fornito.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.