Vai al contenuto
NIS2

Imprese essenziali vs importanti nella direttiva NIS2

·
6 minuti di lettura
HR da una parte, IT dall’altra?
Gestisci dispositivi, licenze e sicurezza da un unico posto. Sincronizzato con le assunzioni e le uscite del tuo team. Scopri Factorial IT
Scritto da

La direttiva NIS2 segna uno spartiacque negli obblighi di cybersicurezza per migliaia di aziende in Europa. In Italia, questa normativa ha preso forma attraverso il Decreto Legislativo n. 138/2024, che stabilisce un quadro rigoroso sotto la supervisione dell’ACN (Agenzia per la Cybersicurezza Nazionale).

Sebbene tutte le organizzazioni interessate debbano garantire un livello di protezione elevato e misure di sicurezza uniformi, la normativa introduce una distinzione chiave tra soggetti essenziali e soggetti importanti. Questa classificazione non incide tanto sulle misure tecniche da implementare, quanto piuttosto sul livello di supervisione statale e sull’entità delle possibili sanzioni.

Comprendere questa differenza è fondamentale per giocare d’anticipo, valutare i rischi ed evitare inadempienze ai sensi della legge italiana. In questo articolo ti spieghiamo in modo chiaro cosa significa ciascuna categoria, in cosa si differenziano e come capire in quale rientra la tua organizzazione.

Cos'è la direttiva NIS2 e perché classifica le aziende?

La direttiva NIS2 è la normativa dell’Unione Europea che rafforza i requisiti di cybersicurezza per le aziende che forniscono servizi critici o rilevanti per la società e l’economia. Sul territorio italiano, questa norma viene applicata tramite il Decreto Legislativo 138/2024, sotto la supervisione dell’ACN (Agenzia per la Cybersicurezza Nazionale). Il suo obiettivo è migliorare la resilienza contro gli attacchi informatici e garantire una risposta coordinata agli incidenti, sia a livello nazionale che europeo.

Per applicare questi obblighi in modo efficace e proporzionale, la normativa italiana classifica le organizzazioni in base al loro livello di criticità e impatto potenziale. Il legislatore riconosce che non tutte le aziende hanno lo stesso peso all’interno del funzionamento dell’economia o dei servizi pubblici essenziali in Italia.

Per questo motivo, il quadro normativo distingue tra soggetti essenziali e soggetti importanti in base a fattori quali il settore di attività, le dimensioni dell’organizzazione, la sua dipendenza dai sistemi digitali o le conseguenze sistemiche che un’interruzione della sua attività avrebbe per il Paese.

Cos'è un'azienda essenziale secondo la NIS2?

Un’azienda essenziale, secondo l’ordinamento italiano, è quell’organizzazione che opera in settori considerati di alta criticità per il funzionamento della società e dell’economia nazionale, e la cui interruzione potrebbe causare un impatto significativo sui servizi di base, sulla sicurezza pubblica o sulla stabilità economica dell’Italia.

Affinché un’organizzazione sia classificata come Soggetto Essenziale ai sensi del Decreto Legislativo 138/2024, deve soddisfare i seguenti criteri:

1. Operare in un settore ad “alta criticità”

Secondo l’Allegato I del decreto italiano, i settori ad alta criticità sono:

  • Energia: energia elettrica, reti di teleriscaldamento e teleraffrescamento, petrolio, gas e idrogeno.

  • Trasporti: aereo, ferroviario, marittimo e stradale.

  • Settore bancario: enti creditizi.

  • Infrastrutture dei mercati finanziari: gestori di sedi di negoziazione, sistemi di regolamento e controparti centrali.

  • Salute: prestatori di assistenza sanitaria, laboratori di riferimento, ricerca e sviluppo in campo farmaceutico e fabbricanti di prodotti farmaceutici.

  • Acqua potabile: fornitori e distributori responsabili dell’approvvigionimento.

  • Acque reflue: imprese incaricate della raccolta, dello smaltimento o del trattamento.

  • Infrastrutture digitali: fornitori di servizi di cloud computing, data center, reti di telecomunicazioni, fornitori di servizi DNS e registri di nomi a dominio.

  • Gestione dei servizi TIC: fornitori di servizi gestiti (MSP) e fornitori di servizi di sicurezza gestiti (MSSP) in ambito B2B.

  • Pubblica amministrazione: enti della pubblica amministrazione centrale e regionale (inclusi gli organismi statali critici in Italia).

  • Spazio: operatori di infrastrutture terrestri che supportano la fornitura di servizi spaziali.

2. Dimensioni dell’organizzazione

In linea generale, un’azienda è considerata essenziale se soddisfa uno dei seguenti requisiti economici:

  • Avere più di 250 dipendenti, oppure

  • Avere un fatturato annuo superiore a 50 milioni di euro (o un totale di bilancio annuo superiore a 43 milioni di euro).

3. Presenza sul mercato

L’azienda deve essere stabilita o prestare servizi all’interno dell’Unione Europea. In Italia, ciò comporta l’obbligo di registrarsi sul portale ufficiale dell’ACN affinché l’autorità possa censire e convalidare la sua categoria in base al rischio paese.

Esempio di un’azienda essenziale in Italia

  • Azienda: ItalEnergia S.p.A.
  • Settore: Energia (Distribuzione di energia elettrica e gas).
  • Dimensioni: 650 dipendenti e 180 milioni di euro di fatturato.

Perché è considerata un soggetto essenziale? Perché opera in un settore ad alta criticità definito nel Decreto 138/2024 e supera abbondantemente la soglia di grande impresa (più di 250 dipendenti e più di 50 milioni di euro di fatturato).

Cos'è un'azienda importante secondo la NIS2?

Un’azienda importante, secondo il quadro normativo italiano, è quell’organizzazione che opera in settori critici per la società e l’economia, ma la cui interruzione avrebbe un impatto minore rispetto a quella dei soggetti essenziali. In Italia, ai sensi del Decreto Legislativo 138/2024, queste aziende continuano a essere soggette a rigidi obblighi di cybersicurezza, ma beneficiano di un regime di supervisione diverso: è reattivo (ex-post) anziché proattivo.

Affinché un’organizzazione sia classificata come Soggetto Importante in Italia, deve soddisfare i seguenti criteri:

1. Operare in un settore ad “alta criticità” o in “altri settori critici”

Un’organizzazione rientra in questa categoria in due casistiche principali previste dalla normativa italiana:

  • Se opera in un settore ad “alta criticità” (visti in precedenza, come energia o salute) ma ha le dimensioni di una media impresa.

  • Se opera nei cosiddetti “altri settori critici” (definiti nell’Allegato II del decreto italiano), indipendentemente dal fatto che sia di medie o grandi dimensioni.

Questi settori sono:

  • Servizi postali e di corriere.

  • Gestione dei rifiuti.

  • Fabbricazione, produzione e distribuzione di sostanze chimiche.

  • Alimentazione: produzione, trasformazione e distribuzione all’ingrosso di alimenti.

  • Fabbricazione: include la fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, di apparecchiature elettriche, di macchinari e apparecchiature, di autoveicoli, rimorchi e semirimorchi e di altri mezzi di trasporto.

  • Fornitori di servizi digitali: mercati online (marketplace), motori di ricerca online e piattaforme di social network.

  • Ricerca: organizzazioni e istituti di ricerca.

2. Dimensioni dell’organizzazione

Come regola generale, e in linea con le direttive dell’ACN, sono considerati soggetti importanti quelli che soddisfano le soglie di media impresa:

  • Avere tra 50 e 249 dipendenti, oppure

  • Avere un fatturato annuo o un totale di bilancio annuo compreso tra 10 e 50 milioni di euro.

3. Operare nell’Unione Europea

Come accade per i soggetti essenziali, questo quadro normativo non si limita ai confini fisici. Un’organizzazione è considerata “importante” se la sua attività ha un impatto sul mercato italiano, indipendentemente da dove si trovi la sua sede centrale.

Questo include le aziende straniere che forniscono servizi digitali o infrastrutture agli utenti all’interno dei confini italiani. Queste organizzazioni sono obbligate a registrarsi sul portale dell’ACN e a designare un rappresentante legale in uno Stato membro che funga da collegamento con le autorità di cybersicurezza.

Esempio di un’azienda importante in Italia

  • Azienda: Logistica Lombarda S.r.l.
  • Settore: Trasporti (Servizi di logistica regionale).
  • Dimensioni: 120 dipendenti e 20 milioni di euro di fatturato.

Perché è considerata un’azienda importante? Perché opera in un settore rilevante elencato nell’Allegato II e soddisfa i criteri dimensionali previsti per i soggetti importanti (tra 50 e 249 dipendenti e fatturato compreso tra 10 e 50 milioni di euro), senza superare le soglie per essere qualificata come soggetto essenziale.

📌 Scopri a chi si applica la direttiva NIS2 in Italia.

Principali differenze tra aziende essenziali e importanti

La distinzione tra queste due categorie costituisce il fulcro della normativa. Sebbene, secondo la legge italiana, entrambe debbano conformarsi alle medesime misure di gestione dei rischi e di notifica degli incidenti al CSIRT Italia, l'”intensità” della vigilanza dell’ACN e il peso delle sanzioni variano in modo significativo.

Característica Entidad Esencial (Soggetto Essenziale) Entidad Importante (Soggetto Importante)
Sectores incluidos Solo sectores de Alta Criticidad (Anexo 1 del Decreto). Sectores de Alta Criticidad (Anexo 1) Y Otros Sectores Críticos (Anexo 2).
Tamaño de la empresa Grandes empresas (>250 empleados o >50M€ facturación). Medianas empresas (50-249 emp.) en cualquier sector O Grandes en sectores del Anexo 2.
Supervisión (Vigilancia) Proactiva y reactiva (ex-ante): La ACN puede realizar auditorías e inspecciones de oficio en cualquier momento. Solo reactiva (ex-post): Solo hay inspecciones si ocurre un incidente grave o hay indicios claros de incumplimiento.
Multas Máximas Hasta 10 millones de euros o el 2% de la facturación global anual. Hasta 7 millones de euros o el 1,4% de la facturación global anual.
Registro Obligatorio Sí, en el portal oficial de la ACN. Sí, en el portal oficial de la ACN.

È importante sottolineare che in Italia, indipendentemente dalla categoria, la responsabilità dell’alta direzione (management) è un fattore critico. Il mancato rispetto degli obblighi di supervisione da parte degli organi di amministrazione può comportare responsabilità dirette, una particolarità che rafforza la necessità di inquadrare correttamente l’organizzazione fin dal primo momento.

Obblighi comuni per entrambe le classificazioni

Indipendentemente dal fatto che un’azienda sia qualificata come essenziale o importante, il Decreto Legislativo 138/2024 richiede un livello di protezione elevato e uniforme su tutto il territorio italiano. Tutte le organizzazioni coinvolte devono implementare misure tecniche, operative e organizzative per gestire i rischi di cybersicurezza, sotto la supervisione dell’ACN (Agenzia per la Cybersicurezza Nazionale).

Questi obblighi si dividono in tre grandi blocchi strategici:

1. Misure di base per la gestione dei rischi

La normativa stabilisce un “minimo obbligatorio” di conformità per garantire la resilienza:

  • Politiche di analisi dei rischi: Documentazione dettagliata sull’identificazione e la gestione delle minacce.

  • Gestione degli incidenti: Protocolli operativi di rilevamento, risposta e ripristino.

  • Continuità operativa (Business Continuity): Piani di backup, disaster recovery e gestione delle crisi.

  • Sicurezza della catena di approvvigionamento (Supply Chain): Valutazione obbligatoria della cybersicurezza di fornitori e subappaltatori.

  • Sicurezza nell’acquisizione e nello sviluppo: Garantire che i sistemi siano sicuri “by design” (fin dalla progettazione) e “by default” (per impostazione predefinita).

  • Igiene informatica e formazione: Formazione obbligatoria per i dipendenti e, in modo cruciale, per l’alta direzione.

  • Crittografia e MFA: Utilizzo di soluzioni di autenticazione a più fattori e comunicazioni sicure.

2. Obbligo di notifica degli incidenti

Dal 1° gennaio 2026, il sistema di notifica è pienamente operativo. Entrambe le categorie devono segnalare qualsiasi incidente significativo al CSIRT Italia seguendo queste tempistiche rigorose:

  • Pre-notifica (entro 24 ore): Allerta tempestiva (early warning) che indichi se l’incidente è grave o causato da atti illeciti.

  • Notifica dell’incidente (entro 72 ore): Aggiornamento con una valutazione iniziale della gravità e dell’impatto.

  • Relazione finale (entro 1 mese): Descrizione dettagliata, analisi delle cause profonde (root cause) e misure correttive applicate.

3. Responsabilità dell’alta direzione

In Italia, la direttiva NIS2 non è solo una questione tecnica, ma di governance. Gli organi di amministrazione (Amministratori e Consigli di Amministrazione) hanno la responsabilità legale di approvare e supervisionare le misure di cybersicurezza.

Post correlati