Le piccole e medie imprese (PMI) sono coperte dalla Direttiva NIS2?

NIS2 Frequently Asked Questions

L’applicazione della Direttiva NIS2 alle PMI non è universale e dipende da diversi fattori, tra cui il settore, le dimensioni dell’azienda e il profilo di rischio.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Below is an overview based on available sources:

  • Regola generale: La direttiva si applica principalmente alle imprese di medie e grandi dimensioni nei settori elencati negli Allegati I e II. Ciò implica che le piccole imprese generalmente non rientrano nell’ambito di applicazione, salvo le eccezioni specifiche riportate di seguito.
  • Soglia dimensionale: La direttiva si applica alle entità considerate “medie imprese” come definite in una specifica raccomandazione dell’UE (Raccomandazione 2003/361/CE) o di dimensioni superiori. Tuttavia, i criteri specifici di questa raccomandazione non sono riportati nelle fonti.
  • Inclusione settoriale: Le PMI operanti in determinati settori sono sempre coperte dalla Direttiva NIS2, indipendentemente dalle loro dimensioni. Tra questi settori troviamo:
    • Fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
    • Fornitori di servizi fiduciari;
    • Entità che forniscono servizi di registrazione di nomi a dominio.
  • Infrastrutture critiche: Le PMI identificate come “entità critiche” ai sensi della Direttiva CER (Critical Entities Resilience) sono anch’esse coperte dalla NIS2, indipendentemente dalle loro dimensioni. Ciò sottolinea l’interconnessione tra resilienza fisica e cibernetica per le infrastrutture critiche.
  • PMI ad alto rischio: Gli Stati membri hanno la facoltà di identificare entità di dimensioni minori con un profilo di rischio elevato che devono essere soggette agli obblighi della direttiva. Questa disposizione riconosce che la dimensione non è l’unico fattore determinante per il rischio di cybersecurity.

Nota importante: Sebbene le PMI possano non rientrare direttamente nell’ambito di applicazione della NIS2, la direttiva le incoraggia ad adottare pratiche di cybersecurity robuste. Ad esempio, le aziende più grandi soggette alla NIS2 devono affrontare i rischi di cybersecurity all’interno delle loro catene di fornitura, influenzando indirettamente la postura di cybersecurity dei loro fornitori PMI.

Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.

In