Quali tipi di entità sono soggetti alla Direttiva NIS2?

NIS2 Frequently Asked Questions

La Direttiva NIS2 copre un ampio spettro di settori e tipologie di entità nell’UE, con l’obiettivo di rafforzare la cybersecurity in tutta l’Unione.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Ecco una panoramica delle entità soggette alle normative della Direttiva:

Entità Essenziali e Importanti

La Direttiva NIS2 classifica le entità in base al loro potenziale impatto sui servizi essenziali e sulle funzioni sociali. Si definiscono due categorie principali:

  • Entità Essenziali: Sono quelle la cui interruzione avrebbe un impatto significativo sui servizi essenziali e sulle funzioni sociali. Questa categoria comprende entità di grandi dimensioni operanti in settori specifici, come energia, trasporti, sanità e infrastrutture dei mercati finanziari.
  • Entità Importanti: Rientrano in questa classificazione le entità considerate importanti per determinati settori, ma la cui interruzione non avrebbe lo stesso impatto diffuso delle entità essenziali. Tipicamente, questa categoria include aziende di medie dimensioni operanti in settori come servizi postali e di corriere, gestione dei rifiuti e fornitori di servizi digitali.

Settori e sottosettori specifici

La Direttiva NIS2 elenca esplicitamente i settori e i sottosettori soggetti alle sue normative di cybersecurity. Questi sono suddivisi in “settori ad alta criticità” e “altri settori critici”, in base alla loro importanza per il funzionamento complessivo dell’UE. Ecco un riepilogo:

Settori ad alta criticità:

  • Energia: Include elettricità, teleriscaldamento e teleraffrescamento, petrolio, gas e idrogeno.
  • Trasporti: Copre trasporti aerei, ferroviari, marittimi e stradali.
  • Bancario
  • Infrastrutture dei mercati finanziari
  • Sanità: Include la produzione di prodotti farmaceutici, compresi i vaccini.
  • Acqua potabile
  • Acque reflue
  • Infrastrutture digitali: Comprende punti di interscambio Internet, fornitori di servizi DNS, registri di domini di primo livello (TLD), fornitori di servizi di cloud computing, fornitori di servizi di data center, reti di distribuzione dei contenuti (CDN), fornitori di servizi fiduciari e fornitori di reti di comunicazione elettronica pubbliche e servizi di comunicazione elettronica accessibili al pubblico.
  • Gestione dei servizi ICT: Include fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti.
  • Pubblica Amministrazione
  • Spazio

Altri settori critici:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Industria chimica
  • Alimentare
  • Produzione di dispositivi medici, computer ed elettronica, macchinari e attrezzature, veicoli a motore, rimorchi e semirimorchi e altri mezzi di trasporto
  • Fornitori di servizi digitali: Include mercati online, motori di ricerca online e piattaforme di social networking.
  • Organizzazioni di ricerca

Considerazioni sulla soglia dimensionale

Sebbene le soglie dimensionali specifiche non siano dettagliate in queste sezioni delle fonti, è importante notare che tutte le aziende di medie e grandi dimensioni operanti nei settori elencati sono generalmente soggette alle normative della NIS2. Questo rappresenta un cambiamento significativo rispetto alla NIS1, che si concentrava su un numero limitato di operatori designati.

Considerazioni aggiuntive

La Direttiva NIS2 conferisce agli Stati membri una certa flessibilità nell’identificazione delle entità soggette alle sue normative.

  • Entità con profilo di rischio elevato: Gli Stati membri hanno la discrezionalità di identificare entità più piccole con un elevato profilo di rischio di sicurezza che dovrebbero essere incluse, anche se non rispettano le dimensioni tipiche previste.
  • Entità che forniscono servizi di registrazione dei nomi a dominio: Indipendentemente dalle dimensioni, le entità che forniscono questi servizi rientrano nell’ambito di applicazione della Direttiva NIS2.

Esenzioni

Sebbene la Direttiva NIS2 miri a una copertura completa della cybersecurity, prevede alcune esenzioni.

  • Attività di sicurezza nazionale e pubblica: Le entità che operano in settori come sicurezza nazionale, pubblica sicurezza, difesa e forze dell’ordine possono essere esentate da alcuni obblighi della Direttiva NIS2.
  • Entità che forniscono servizi esclusivamente alla Pubblica Amministrazione: Le entità che forniscono servizi esclusivamente a organismi di Pubblica Amministrazione indicati nella Direttiva possono anch’esse essere esentate.
  • Entità esentate ai sensi del Regolamento DORA: Le entità già esentate ai sensi del Regolamento per la resilienza operativa digitale per il settore finanziario (DORA) non sono soggette ai requisiti della Direttiva NIS2.

Chiarimenti sulla legislazione settoriale specifica

La Direttiva NIS2 sottolinea l’allineamento con la legislazione settoriale esistente e futura dell’Unione. Nei casi in cui tale legislazione preveda misure di gestione del rischio di cybersecurity o requisiti di segnalazione degli incidenti con effetti equivalenti o più stringenti rispetto alla Direttiva NIS2, la legislazione settoriale specifica prevale. Un esempio rilevante è il rapporto tra la Direttiva NIS2 e il Regolamento DORA nel settore finanziario.

Le fonti forniscono numerose informazioni sull’ambito e sull’applicazione della Direttiva NIS2. Ti invito a esplorarle ulteriormente per una comprensione più approfondita dei requisiti, obblighi ed esenzioni specifici relativi alle entità e ai settori coperti.

Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.

In