NIS2: Ci sono esenzioni o deroghe?

Direttiva NIS2 Esenzioni Deroghe

Le fonti indicano diversi esempi di esenzioni e deroghe che esonerano un’entità dal dover rispettare tutte o alcune delle disposizioni della Direttiva NIS2.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

NIS2: Legislazione settoriale specifica

La Direttiva NIS2 mira a stabilire uno standard minimo per la cybersecurity in un’ampia gamma di settori. Tuttavia, riconosce che alcuni settori possono già essere soggetti a legislazioni specifiche dell’UE che affrontano i rischi informatici e i requisiti di segnalazione degli incidenti. Se i requisiti della legislazione settoriale specifica sono almeno altrettanto stringenti di quelli previsti dalla Direttiva NIS2, le entità interessate saranno esentate dalle corrispondenti disposizioni della Direttiva NIS2. Tale esenzione riguarda le disposizioni relative a misure di gestione del rischio informatico e obblighi di segnalazione degli incidenti.

  • Equivalenza: Per stabilire se una legge settoriale è equivalente, essa deve soddisfare uno dei due criteri:
  • Gli effetti delle misure di gestione del rischio della legislazione settoriale devono essere almeno equivalenti agli articoli 21(1-2) della Direttiva NIS2.
  • La legislazione settoriale deve garantire accesso immediato (e potenzialmente automatico e diretto) alle notifiche degli incidenti inviate dai Computer Security Incident Response Teams (CSIRTs), dalle autorità competenti o dai punti di contatto unici. Inoltre, gli obblighi relativi alla segnalazione di incidenti significativi nella legislazione settoriale devono essere almeno equivalenti a quelli previsti dagli articoli 23(1-6) della Direttiva NIS2.
  • Copertura parziale: Se la legislazione settoriale copre solo un sottoinsieme di entità all’interno di un settore che rientra nell’ambito della Direttiva NIS2, le disposizioni della direttiva si applicheranno comunque alle restanti entità di quel settore.

Le fonti citano il Digital Operational Resilience Act (DORA) come esempio specifico di legislazione settoriale che esonera determinate entità dalla Direttiva NIS2. DORA disciplina la cybersecurity del settore finanziario, e le entità che rientrano nel suo ambito di applicazione non sono soggette alle corrispondenti disposizioni della Direttiva NIS2. Per le organizzazioni che invece ricadono pienamente nell’ambito NIS2, avviare un percorso strutturato di adeguamento alla direttiva è il modo più efficace per gestire gli obblighi in modo ordinato.

Pubblica amministrazione e sicurezza nazionale

La Direttiva NIS2 esenta alcune entità della pubblica amministrazione che operano in settori legati a sicurezza nazionale, sicurezza pubblica, difesa o attività di contrasto. Questa esenzione si applica ad attività come prevenzione, indagine, rilevamento e perseguimento dei reati. Le entità che forniscono esclusivamente servizi a queste amministrazioni pubbliche esentate possono anch’esse essere esentate da alcuni obblighi della Direttiva NIS2, su decisione degli Stati membri.

  • Fornitori di servizi fiduciari: Tuttavia, anche se un’entità è esentata a causa del suo coinvolgimento in settori legati alla sicurezza nazionale o pubblica, la Direttiva NIS2 si applica comunque se l’entità agisce come fornitore di servizi fiduciari.

NIS2: Altre esenzioni e deroghe

La Direttiva NIS2 prevede anche altre esenzioni e deroghe, tra cui:

  • Entità esentate dal DORA: Le entità che gli Stati membri hanno esentato dal DORA ai sensi dell’articolo 2(4) di tale regolamento sono anch’esse esentate dalla Direttiva NIS2.
  • Protezione degli interessi essenziali: Gli obblighi della direttiva non richiedono alle entità di divulgare informazioni che comprometterebbero gli interessi essenziali di sicurezza nazionale, sicurezza pubblica o difesa di uno Stato membro.
  • Riservatezza delle informazioni: Le informazioni riservate, come i segreti commerciali, protette dalla normativa UE o nazionale, possono essere condivise con la Commissione e le altre autorità competenti solo se strettamente necessario per l’applicazione della direttiva.
  • Protezione dei dati: Il trattamento dei dati personali nell’ambito della Direttiva NIS2 deve essere conforme al Regolamento generale sulla protezione dei dati (GDPR). I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico devono inoltre rispettare la normativa dell’UE in materia di protezione dei dati e privacy, inclusa la Direttiva 2002/58/CE.

Standard nazionali più elevati

La Direttiva NIS2 stabilisce requisiti minimi di cybersecurity in tutta l’UE. Tuttavia, non impedisce agli Stati membri di adottare o mantenere disposizioni più severe in materia di cybersecurity. Finché tali disposizioni nazionali sono compatibili con il diritto dell’UE, possono coesistere con la Direttiva NIS2.

Linee guida della Commissione

La Commissione Europea è responsabile di fornire linee guida per chiarire l’applicazione di queste esenzioni e deroghe, in particolare in situazioni che coinvolgono legislazioni settoriali specifiche. La Commissione fornisce inoltre indicazioni sulle informazioni che gli Stati membri devono trasmettere quando notificano alla Commissione gli elenchi delle entità essenziali e importanti coperte dalla direttiva.

È importante notare che le fonti si concentrano principalmente sulle esenzioni e deroghe esplicitamente menzionate nella Direttiva NIS2. È possibile che il diritto nazionale o altre normative dell’UE possano influire sull’applicazione della direttiva in modi non esplicitamente trattati nel testo fornito. Per un quadro completo degli obblighi applicabili alla propria organizzazione, è utile consultare anche l’elenco dei soggetti NIS2 pubblicato da ACN e le relative scadenze di conformità.

Domande frequenti sulle esenzioni NIS2

  • Come può un’organizzazione verificare se rientra in un’esenzione dalla Direttiva NIS2?
  • Il punto di partenza è verificare se l’organizzazione opera in un settore già disciplinato da una normativa UE settoriale specifica — come DORA per il settore finanziario — e se quella normativa soddisfa i criteri di equivalenza previsti dalla NIS2. In caso di dubbio, è consigliabile un’analisi del perimetro applicativo prima di assumere di essere esentati.
  • Un’entità parzialmente coperta da DORA è comunque soggetta alla NIS2?
  • Dipende dall’ambito di applicazione. Se DORA copre solo alcune attività o alcune entità di un settore, le restanti entità o attività non coperte rimangono soggette alla Direttiva NIS2. L’esenzione non è automatica né totale: va verificata caso per caso rispetto all’effettivo perimetro di ciascuna normativa.
  • Gli standard nazionali più severi si applicano anche alle entità che beneficiano di un’esenzione NIS2?
  • Le esenzioni previste dalla NIS2 riguardano gli obblighi della direttiva stessa. Gli Stati membri possono adottare disposizioni nazionali più severe compatibili con il diritto UE, e queste possono in linea di principio applicarsi anche a soggetti che risultano esentati dalla NIS2, a seconda di come il legislatore nazionale ha recepito e delimitato le esenzioni.

Vuoi avviare un percorso concreto verso la compliance NIS2?

Affidati a ISGroup per:

  • Implementazione NIS2 conforme e allineata alle normative
  • Valutazione completa dei requisiti di compliance
  • Supporto operativo in ogni fase, dalla pianificazione alla messa in opera
Parla con un esperto

In

Una risposta

  1. Come interagiscono NIS2 e GDPR: guida pratica alla conformità integrata – ISGroup SRL Consulenza CyberSecurity

    […] NIS2: ci sono esenzioni o deroghe? – Verifica se la tua organizzazione rientra tra le entità soggette alla direttiva o può beneficiare di esenzioni. […]