Vai al contenuto
NIS2

A chi si applica la direttiva NIS2 in Italia?

·
8 minuti di lettura
LA TUA AZIENDA È PRONTA PER NIS2?
Centralizza dispositivi e accessi, automatizza le policy di sicurezza e preparati al meglio per conformarti alla NIS2 e affrontare gli audit. Scopri di più su Factorial IT
Scritto da

Il panorama della cybersicurezza è cambiato per sempre. Con l’arrivo della direttiva NIS2, proteggere i dati della tua azienda non è più solo una raccomandazione o un grattacapo esclusivo del dipartimento IT. Ora è un obbligo legale molto rigoroso per migliaia di organizzazioni in Italia. 

Si parla molto di questa nuova normativa, ma la domanda che frulla davvero nella testa di molti dirigenti è: Questo mi riguarda o la mia azienda è salva? La realtà è che colpisce molte più aziende di quanto immagini, trascinando con sé migliaia di PMI attraverso la catena di approvvigionamento. 

Se vuoi toglierti ogni dubbio ed evitare multe milionarie, in questo articolo traduciamo il gergo legale in un linguaggio chiaro affinché tu scopra se la tua azienda è obbligata a rispettare la direttiva NIS2.

Chi è obbligato a rispettare la direttiva NIS2?

La direttiva NIS2 non si applica a tutte le aziende allo stesso modo. Per determinare quali organizzazioni devono rispettarla e adottare misure di cybersicurezza più rigorose, la normativa valuta la combinazione di tre fattori principali:

  • Ambito geografico: l’azienda opera o presta i propri servizi all’interno dell’Unione Europea.
  • Settore di attività: appartiene a uno dei settori contemplati nella direttiva, il che determinerà se l’organizzazione viene classificata come entità essenziale o entità importante.
  • Dimensioni dell’organizzazione: raggiunge le soglie di media o grande impresa (di norma, più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro), concepite per identificare le organizzazioni con il maggiore impatto economico o sociale.

Ambito geografico: aziende che operano nell’Unione Europea

La direttiva NIS2 si applica alle organizzazioni stabilite nell’Unione Europea, ma la sua portata va oltre i suoi confini fisici, poiché interessa anche le aziende con sede al di fuori dell’UE se prestano servizi all’interno del mercato europeo. 

Questo significa che qualsiasi società internazionale che offra servizi digitali, infrastrutture o prodotti critici a utenti o aziende dell’UE può essere obbligata a rispettare la normativa. L’obiettivo è garantire che tutti i sistemi che sostengono l’economia europea mantengano un livello elevato e uniforme di cybersicurezza, indipendentemente da dove si trovi la sede principale dell’azienda.

Settore di attività: entità essenziali vs. importanti

Un altro fattore determinante è il settore di attività. La direttiva identifica una serie di attività considerate strategiche per il funzionamento della società e divide le organizzazioni interessate in due grandi categorie legali: entità essenziali ed entità importanti. 

Per fare questa distinzione, la normativa elenca in modo esaustivo i settori obbligati, dividendoli in due grandi gruppi a seconda del loro livello di criticità: 

Settori ad alta criticità (Allegato I):

  • Energia: elettricità, reti di teleriscaldamento e teleraffrescamento, petrolio, gas e idrogeno. 
  • Trasporti: aereo, ferroviario, marittimo e su strada. 
  • Banche: enti creditizi. 
  • Infrastrutture dei mercati finanziari: gestori di sedi di negoziazione e controparti centrali. 
  • Sanità: prestatori di assistenza sanitaria, laboratori di riferimento, ricerca e sviluppo (R&S) in campo farmaceutico e fabbricazione di medicinali. 
  • Acqua potabile: fornitori e distributori. 
  • Acque reflue: aziende di raccolta, smaltimento o trattamento. 
  • Infrastrutture digitali: fornitori di servizi di cloud computing, data center, reti di telecomunicazione, fornitori di servizi DNS, ecc. 
  • Gestione di servizi TIC: fornitori di servizi gestiti (MSP) e fornitori di servizi di sicurezza gestiti (MSSP) business-to-business (B2B). 
  • Pubblica amministrazione: enti dell’amministrazione centrale e regionale. 
  • Spazio: gestori di infrastrutture terrestri collegate allo spazio.

Altri settori critici (Allegato II): 

  • Servizi postali e di corriere. 
  • Gestione dei rifiuti. 
  • Industria chimica: fabbricazione, produzione e distribuzione di sostanze chimiche. 
  • Alimentazione: produzione, trasformazione e distribuzione all’ingrosso di alimenti. 
  • Fabbricazione: include la fabbricazione di dispositivi medici, computer e prodotti di elettronica e ottica, apparecchiature elettriche, macchinari, autoveicoli e altri mezzi di trasporto. 
  • Fornitori di servizi digitali: mercati online (marketplace), motori di ricerca e piattaforme di social network. 
  • Ricerca: organizzazioni e istituti di ricerca.

La classificazione finale di un’azienda come “essenziale” o “importante” definirà il suo livello di supervisione (essendo più severo per quelle essenziali) e dipenderà dall’esatta combinazione tra il settore a cui appartiene (all’interno di questi elenchi) e le sue dimensioni.

Dimensioni dell’organizzazione: la regola del limite

Come regola generale, la NIS2 applica quella che è conosciuta come la “regola del limite di dimensione”.  Questo significa che la normativa si rivolge principalmente alle medie e grandi imprese, poiché un incidente informatico nelle loro reti avrebbe un maggiore impatto economico o sociale. Le soglie che determinano l’ingresso automatico nella direttiva (a condizione che si appartenga ai settori menzionati) sono:

  • Avere più di 50 dipendenti, oppure 
  • Avere un fatturato annuo o un bilancio totale annuo superiore a 10 milioni di euro.

Le aziende che superano questi limiti rientrano nel suo ambito di applicazione. Tuttavia, esistono eccezioni vitali: le microimprese e le piccole imprese (che non raggiungono tali soglie) saranno anch’esse obbligate a rispettare la NIS2 se offrono servizi altamente critici.

Elenco completo dei settori e sottosettori interessati dalla NIS2

Come abbiamo dettagliato nei punti precedenti, la direttiva classifica le attività obbligate in 18 grandi blocchi. Di seguito, presentiamo una tabella riassuntiva con tutti i settori, sottosettori e la categoria legale che ti spetterebbe, affinché tu possa identificare a colpo d’occhio in quale situazione si trova la tua azienda:

Settore Sottosettore / Tipo di entità (Esempi) Microimprese e piccole* Medie imprese Grandi organizzazioni
SETTORI AD ALTA CRITICITÀ (Allegato I)
1. Energia Elettricità, Gas, Petrolio, Idrogeno: Produttori, fornitori, gestori di reti, gestori di punti di ricarica. (Non richiesto)* Entità importante Entità essenziale
2. Trasporti Aereo, Ferroviario, Marittimo, Su strada: Compagnie aeree, gestori di aeroporti/porti, imprese ferroviarie. (Non richiesto) Entità importante Entità essenziale
3. Settore Finanziario Banche e Infrastrutture: Enti creditizi, gestori di sedi di negoziazione, controparti centrali. (Non richiesto) Entità importante Entità essenziale
4. Sanità Prestatori di assistenza sanitaria, laboratori di riferimento, ricerca (R&S) di medicinali, produttori farmaceutici. (Non richiesto) Entità importante Entità essenziale
5. Acqua Potabile e Reflue: Fornitori e distributori di acqua potabile, aziende di trattamento delle acque reflue. (Non richiesto) Entità importante Entità essenziale
6. Infrastruttura Digitale Fornitori di servizi cloud, data center, CDN, reti di telecomunicazione, DNS, registri TLD. Essenziale / Importante* Entità essenziale / Importante Entità essenziale
7. Pubblica Amministrazione Enti dell’amministrazione centrale e regionale (esclusa difesa, sicurezza nazionale, ecc.). N/A N/A Entità essenziale
8. Spazio Gestori di infrastrutture terrestri collegate allo spazio. (Non richiesto) Entità importante Entità essenziale
ALTRI SETTORI CRITICI (Allegato II)
9. Servizi Postali Fornitori di servizi postali e di corriere. (Non richiesto) Entità importante Entità importante
10. Gestione dei Rifiuti Aziende dedicate alla raccolta, smaltimento o trattamento dei rifiuti. (Non richiesto) Entità importante Entità importante
11. Industria Chimica Fabbricazione, produzione e distribuzione di sostanze chimiche. (Non richiesto) Entità importante Entità importante
12. Alimentazione Produzione, trasformazione e distribuzione all’ingrosso di alimenti (es. industria alimentare, grandi supermercati). (Non richiesto) Entità importante Entità importante
13. Fabbricazione Produttori di dispositivi medici, prodotti informatici/elettronici, macchinari, autoveicoli. (Non richiesto) Entità importante Entità importante
14. Fornitori Digitali Mercati online (marketplace), motori di ricerca, piattaforme di social network. (Non richiesto) Entità importante Entità importante

*Note importanti per comprendere la tabella:

Criteri di Dimensione (Regola generale):

  • Micro e piccole imprese: meno di 50 dipendenti e un fatturato annuo o bilancio totale annuo inferiore a 10 milioni di euro. Di norma, sono escluse dalla direttiva.
  • Medie imprese: tra 50 e 249 dipendenti e un fatturato annuo fino a 50 milioni di euro (o bilancio totale fino a 43 milioni).
  • Grandi organizzazioni: più di 250 dipendenti e un fatturato annuo superiore a 50 milioni di euro (o bilancio totale superiore a 43 milioni).

Eccezioni chiave per le micro e piccole imprese: esistono entità che devono rispettare la NIS2 indipendentemente dalle loro dimensioni. Queste includono: fornitori di reti pubbliche di comunicazione elettronica, prestatori di servizi fiduciari (firme elettroniche), registri di nomi di dominio di primo livello (TLD) ed entità che siano l’unico fornitore di un servizio critico in Italia.

Quindi, se sono una piccola impresa la NIS2 non mi riguarda? 

È molto allettante pensare che, non raggiungendo i 50 dipendenti o i 10 milioni di euro di fatturato, la tua PMI sia automaticamente esentata dal rispetto della direttiva. Tuttavia, la realtà è che può riguardarti, e può farlo in due modi molto diversi:

1. Coinvolgimento diretto 

Come abbiamo visto nei paragrafi precedenti, la legge stessa stabilisce che le dimensioni non contano se la tua azienda offre servizi altamente critici per la società o l’economia. Dovrai rispettare obbligatoriamente la NIS2, anche se siete una microimpresa, se la tua attività è:

  • Un fornitore di reti pubbliche di comunicazione o di servizi di comunicazione elettronica. 
  • Un prestatore di servizi fiduciari (ad esempio, emissione di firme o certificati elettronici). 
  • Un registro di nomi di dominio di primo livello (TLD) o fornitore di servizi DNS. 
  • L’unico fornitore di un servizio essenziale per il mantenimento di attività sociali o economiche critiche in uno Stato membro.

2. Coinvolgimento indiretto

Questa è la situazione che avrà un impatto sulla stragrande maggioranza delle PMI europee. Anche se la legge non ti obbliga in modo diretto per le tue dimensioni o per il tuo settore, la NIS2 impone alle entità essenziali e importanti di garantire la cybersicurezza di tutta la loro catena di approvvigionamento

Cosa significa questo in pratica? Che se la tua piccola impresa è fornitrice di un’organizzazione che deve rispettare la NIS2 (ad esempio, offri supporto informatico, software, logistica o manutenzione a una banca, a un ospedale o a un’azienda energetica), il tuo cliente ti richiederà per contratto l’applicazione di rigorose misure di cybersicurezza. 

Se non lo fai, quella grande azienda si vedrà costretta a fare a meno dei tuoi servizi e a cercare un altro fornitore per non esporsi a vulnerabilità né alle multe milionarie della direttiva. Pertanto, anche essendo una PMI, la cybersicurezza non è più un optional: è un requisito commerciale indispensabile per sopravvivere e continuare a operare nel mercato B2B.

In cosa si differenziano le entità essenziali da quelle importanti?

Dato che la normativa divide le aziende coinvolte in queste due categorie, è normale chiedersi in cosa si differenzino all’atto pratico. A livello tecnico, la direttiva impone a entrambe di applicare misure di cybersicurezza simili, ma la grande differenza risiede in come vengono vigilate dall’Agenzia per la Cybersicurezza Nazionale (ACN) e nell’entità delle sanzioni imposte dal Decreto Legislativo 138/2024, che recepisce la direttiva nel quadro nazionale.

  • Entità essenziali: avendo un impatto critico nel Paese, sono soggette a una supervisione proattiva. Vale a dire, l’ACN effettuerà su di esse audit e ispezioni periodiche per verificare il rispetto della legge, e vanno incontro alle sanzioni più elevate: fino a 10 milioni di euro o il 2% del fatturato totale annuo a livello mondiale (l’importo maggiore tra i due). 
  • Entità importanti: hanno una supervisione reattiva. Di norma, l’ACN le indagherà o le ispezionerà solo se subiscono un grave attacco informatico (che dovranno obbligatoriamente notificare al CSIRT Italia) o se vi sono prove che non stanno rispettando la normativa. Le sanzioni massime per questo gruppo ammontano a un massimo di 7 milioni di euro o all’1,4% del fatturato totale annuo a livello mondiale.

Indipendentemente dal fatto che la direttiva ti classifichi come entità essenziale o importante, il Decreto Legislativo 138/2024 stabilisce un primo passo ineludibile per entrambe in Italia: la registrazione obbligatoria sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN). Questo censimento nazionale è iniziato nel dicembre 2024 ed è l’adempimento fondamentale che le aziende interessate devono compiere prima di integrarsi nell’ecosistema di supervisione, segnalare incidenti o affrontare possibili audit.

Esempi pratici di applicazione della NIS2

Per comprendere meglio come si incrociano tutti i criteri che abbiamo visto (settore, dimensioni e criticità), analizzeremo due scenari quotidiani. Uno in cui l’azienda è obbligata a rispettare la direttiva e un altro in cui, in linea di principio, resterebbe al di fuori della sua portata diretta.

Caso 1: L’azienda che È coinvolta

Immagina un’azienda chiamata “Distribuzioni Alimentari del Sud”. 

  • Settore: si dedica alla distribuzione all’ingrosso di alimenti (Settore incluso nell’Allegato II: Altri settori critici). 
  • Dimensioni: ha 120 dipendenti e un fatturato annuo di 15 milioni di euro. 

Rientra nella NIS2? Sì. Avendo più di 50 dipendenti e superando i 10 milioni di euro di fatturato, soddisfa la “regola del limite di dimensione” (è una media impresa). Poiché appartiene a un settore dell’Allegato II, la direttiva la classifica automaticamente come “entità importante”. Dovrà applicare le misure di cybersicurezza richieste e notificare qualsiasi incidente grave, sebbene le ispezioni dell’ACN verranno effettuate in modo reattivo solo in caso di problemi.

Caso 2: L’azienda che NON è coinvolta direttamente

Immagina ora un’azienda chiamata “Trasporti Rapidi Locali”. 

  • Settore: si dedica al trasporto di merci su strada (Settore incluso nell’Allegato I: Settori ad alta criticità). 
  • Dimensioni: è un’azienda familiare con 25 dipendenti e un fatturato annuo di 3 milioni di euro. 

Rientra nella NIS2? Non in modo diretto. Pur operando in un settore ad alta criticità (trasporti), questa compagnia non raggiunge le soglie minime di dimensione (meno di 50 dipendenti e meno di 10 milioni di fatturato), pertanto è considerata una piccola impresa. Non essendo il fornitore esclusivo di un servizio critico a livello nazionale, rimane esclusa dall’obbligo legale diretto.

Ma, come abbiamo visto nel paragrafo precedente, se questa azienda viene contrattata da una grande catena di supermercati che deve rispettare la NIS2, quest’ultima potrebbe richiederle per contratto di migliorare la sua cybersicurezza, venendo così coinvolta in modo indiretto attraverso la catena di approvvigionamento.

Post correlati