A chi si rivolge la direttiva NIS 2, recepita con il decreto legislativo 138/2024 del 4 settembre?
La fase attuativa prevede una serie di adempimenti destinati all’imprese (vedi anche Direttiva NIS 2: quali adempimenti richiede alle aziende) definiti con l’obiettivo di rendere le organizzazioni in grado di resistere a un numero sempre crescente di attacchi informativi.
Quali sono, dunque, le aziende che saranno tenute ad applicarli?
L’attuale normativa abroga la precedente direttiva 2016/1148, recepita con Decreto legislativo 65 del 2018, e in vigore fino a pochi mesi. Tra le principali novità emerge che la direttiva NIS 2 richiede un’analisi dei rischi, prevede misure di sicurezza adeguate alla capacità di spesa delle aziende, e risulta applicabile a un numero maggiore di soggetti.
Aziende che operano in un settore merceologico ad alta criticità
La normativa distingue tra soggetti essenziali e soggetti importanti. Se nella prima categoria rientrano le imprese che operano in settori ad alta criticità, nella seconda rientrano quelle aziende che operano in altri settori critici. L’elenco dei settori merceologici sono definiti negli allegati 1 e 2, che stabiliscono la necessità – per queste realtà – di innalzare gli standard di sicurezza informatica, e che comprendono un’ampia serie di settori (infrastrutture digitali, trasformazione e distribuzione di alimenti, mercato energetico, gestione dei rifiuti, acqua…).
Tali società saranno tenute dunque ad applicare la normativa, registrandosi in maniera autonoma sulla piattaforma dedicata.
Imprese che superano la dimensione di “piccola impresa”
Il decreto di recepimento definisce, tra i requisiti, i limiti dimensionali delle aziende coinvolte, che devono risultare “superiori a una PMI”, individuando in tali limiti:
- Un organico che supera i 50 dipendenti
- Un fatturato (o bilancio annuo) superiore ai 10 mln di euro
Le aziende che superano congiuntamente tali requisiti saranno dunque interessate agli adempimenti che la NIS 2 introduce, e dovranno dunque elevare i livelli di sicurezza informatica, applicare le misure di gestione del rischio nelle tre principali aree che la direttiva individua: governance, risk management e verifica della supply chain (come visto nell’articolo sui nuovi adempimenti previsti dalla Direttiva NIS 2).
CERCHI IL SUPPORTO DI UN TEAM ESPERTO?
PROSSIAMO AIUTARTI.
E riceverai tutte le informazioni di cui hai bisogno
Quali sono le aziende interessate dagli adempimenti NIS 2?
Se nella precedente normativa (NIS 1) i settori coinvolti erano 8, la nuova direttiva NIS 2 si applica a 25 settori, 10 dei quali definiti come altamente critici.
Settori ad alta criticità (come previsto dall’Allegato I)
- Energia
- Trasporti
- Settore bancario
- Infrastrutture dei mercati finanziari
- Sanità
- Acqua potabile
- Acque reflue
- Infrastrutture digitali
- Gestione dei servizi TIC
- Spazio
Settori critici (come previsto dall’Allegato II)
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione
- Ricerca
È DISPONIBILE IL NUOVO CORSO SULLA SULLA DIRETTIVA NIS 2
Tutto quello che c’è da sapere sulla direttiva da un punto di tecnologico e gestionale.
Affidati ai nostri esperti di Information Security.
Amministrazioni centrali, regionali e locali e altre tipologie
Gli Allegati III e IV riguardano tutti i soggetti pubblici a cui la direttiva NIS 2 si applica. Tali allegati definiscono le categorie delle pubbliche amministrazioni, e soggetti altri, che sono interessati dalle novità introdotte dalla NIS 2, per cui non si applica il requisito dimensionale: tali enti dovranno infatti ottemperare agli adempimenti a prescindere dalla loro dimensione.
Le amministrazioni centrali, regionali e locali individuate dal decreto sono le seguenti.
Amministrazioni centrali (come previsto dall’Allegato III)
.
- Organi costituzionali e di rilievo costituzionale
- Presidenza del Consiglio dei ministri e i Ministeri
- Agenzie fiscali
- Autorità amministrative indipendenti
Amministrazioni regionali (come previsto dall’Allegato III)
- Regioni e le Province autonome
Amministrazioni locali (come previsto dall’Allegato III)
- Città metropolitane
- Comuni con popolazione superiore a 100.000 abitanti
- Comuni capoluoghi di regione.
Altri soggetti pubblici (come previsto dall’Allegato III)
- Enti di regolazione dell’attività economica
- Enti produttori di servizi economici
- Enti a struttura associativa
- Enti produttori di servizi assistenziali, ricreativi e culturali
- Enti e le Istituzioni di ricerca
- Istituti zooprofilattici sperimentali.
Altri soggetti pubblici (come previsto dall’Allegato III)
- Soggetti che forniscono servizi di trasporto pubblico locale
- Istituti di istruzione che svolgono attività di ricerca
- Soggetti che svolgono attività di interesse culturale
- Società in house, società partecipate e società a controllo pubblico (in base a decreto legislativo 19 agosto 2016, n. 175).
CERCHI INFORMAZIONI SULLA DIRETTIVA NIS 2 O UN SUPPORTO
PERSONALIZZATO ALLA TUA REALTÀ?
Il nostro team di esperti è a tua disposizione
Il principio di gradualità nell’individuazione di nuove categorie
Nel decreto si precisa che l’elenco delle categorie è soggetto ad aggiornamenti da parte dell’Autorità nazionale competente (ACN), che, con gradualità, si riserva di individuare nuove categorie di pubbliche amministrazioni in maniera coerente con variazione del tasso di rischio della pubblica amministrazione, impatto sociale ed economico, e la probabilità che possano verificarsi incidenti.
In questo caso sarà l’ACN stessa a notificare i soggetti individuati su tali basi, affinché possano procedere con la registrazione e la messa in atto degli adempimenti previsti.