I Soggetti della NIS2
Contenuti
Criteri di distinzione Soggetti coinvolti Filiera di fornitori Documentazione ufficiale dell’Unione Europea
Timeline & scadenze della Direttiva NIS2
- 27 Dicembre 2022: Pubblicazione della direttiva NIS2 nella Gazzetta Ufficiale dell’UE.
- 16 Gennaio 2023: Entrata in vigore della Direttiva NIS2.
- 17 Ottobre 2024: Termine ultimo per l’adeguamento.
- 18 Ottobre 2024: Abrogazione della precedente Direttiva NIS.
- Da Febbraio 2025: Comunicazione al CSIRT dei dati aziendali, degli indirizzi IP, ecc.
- 17 Aprile 2025: Termine ultimo per la definizione dell’elenco delle “entità essenziali” (o “ad alta criticità”) e “importanti” (o “altri settori critici”).
Per ulteriori informazioni...
Consulta il testo della normativa nel sito dell’UE:
QUALI ORGANIZZAZIONI DEVONO CONFORMARSI ALLA DIRETTIVA NIS2?
La NIS2 amplia notevolmente le organizzazioni coperte dai suoi requisiti e distingue tra “aziende essenziali” (o “ad alta criticità”) e “aziende importanti” (o “altri settori critici”), suddivise per settore di attività.
CRITERI PER VALUTARE SE LA TUA AZIENDA RIENTRA TRA LE ENTITÀ DEFINITE DALLA DIRETTIVA NIS2
Esistono tre criteri generali che definiscono le organizzazioni che devono conformarsi alla NIS2:
- Ubicazione: se forniscono servizi o svolgono attività in qualsiasi paese dell’Unione Europea (indipendentemente dal fatto che abbiano sede nell’UE o meno);
-
Dimensione: se sono classificate come organizzazioni di medie o grandi dimensioni. In particolare, l’UE distingue le imprese in base alle loro dimensioni
in:
- Micro e piccole organizzazioni: se hanno meno di 50 dipendenti, e meno di 10 milioni di Euro di entrate annuali,
- Organizzazioni di medie dimensioni: se hanno un numero di dipendenti compreso tra 50 e 250, e un fatturato annuo compreso tra 10 e 50 milioni di Euro,
- Grandi organizzazioni: se hanno più di 250 dipendenti, e più di 50 milioni di Euro di entrate annuali;
- Industria: se operano in uno dei 18 settori interessati dalla NIS2.
Tuttavia, esistono alcune eccezioni a queste regole.
“SOGGETTI ESSENZIALI E IMPORTANTI”
Sfogliando i capitoli della Direttiva NIS2 si nota che solo il Capitolo IV “Misure di gestione del rischio di cibersicurezza e obblighi di segnalazione” definisce agli Artt. 20-25 cosa devono fare i “soggetti essenziali” e i “soggetti importanti” per essere conformi. Ma quali sono i “soggetti essenziali” e “importanti” secondo la Direttiva?
La NIS2 definisce le “entità essenziali” come segue:
- le aziende classificate come grandi imprese e appartenenti ad uno degli 11 settori “ad alta criticità” (o “essenziali”),
- fornitori di servizi fiduciari,
- fornitori di servizi DNS,
- reti pubbliche di comunicazione elettronica,
- enti della Pubblica Amministrazione,
- qualsiasi entità critica secondo la Direttiva (UE) 2022/2557 sulla “Resilienza delle Entità Critiche” (CER),
- altre entità specificate dagli Stati membri dell’UE.
In particolare, la Direttiva definisce le seguenti “aziende essenziali” classificate per settore di attività (per maggiori dettagli si veda l’Allegato 1 al testo ufficiale della NIS2):
Energia
Società di fornitura, distribuzione, trasmissione, produzione, stoccaggio e vendita.
Trasporti
Aziende di trasporto aereo, ferroviario, stradale e marittimo.
Settore bancario & Infrastrutture dei mercati finanziari
Istituti di credito, commercio, mercato e infrastrutture; operatori di sedi di negoziazione e Controparti Centrali (CCP).
Settore sanitario
Fornitori di assistenza sanitaria, laboratori di riferimento dell’UE, enti che conducono ricerca e sviluppo di medicinali, aziende che producono prodotti farmaceutici di base e preparati farmaceutici, enti che producono dispositivi medici considerati critici durante un’emergenza di salute pubblica.
Acqua potabile & Acque reflue
Fornitori e distributori di acqua destinata al consumo umano come parte essenziale della loro attività; imprese che producono acqua o acque reflue industriali, come parte essenziale della loro attività.
Infrastrutture digitali & Gestione dei servizi TLC (B2B)
Servizi DNS, servizi fiduciari, servizi di Data Center, Cloud Computing, servizi di comunicazione, rete di distribuzione dei contenuti, fornitori di servizi gestiti e fornitori di sicurezza gestiti.
Pubblica Amministrazione
Enti governativi centrali come definiti da uno Stato membro dell’UE in conformità alla legislazione nazionale, comuni e regioni.
Spazio
Operatori di infrastrutture terrestri, di proprietà, gestite e operate da Stati membri dell’UE o da privati, che supportano la fornitura di servizi spaziali e del relativo software, esclusi i fornitori di reti pubbliche di comunicazione elettronica.
Le “entità importanti” sono tutte le altre organizzazioni che non sono classificate come “entità essenziali”, ma che rientrano nei tre criteri sopra menzionati.
Si vedano le seguenti aziende suddivise per settore di attività (e l’Allegato 2 al testo ufficiale della NIS2 per maggiori dettagli):
Servizi postali e di corriere
Fornitori di servizi postali, compresi i fornitori di servizi di corriere.
Gestione dei rifiuti
Imprese che svolgono la gestione dei rifiuti come attività economica principale.
Fabbricazione, produzione e distribuzione di sostanze chimiche
Imprese impegnate nella fabbricazione e distribuzione di sostanze o miscele, imprese impegnate nella fabbricazione di articoli a partire da sostanze o miscele.
Produzione, trasformazione e distribuzione di alimenti
Aziende alimentari che si occupano di lavorazione all’ingrosso, distribuzione e produzione industriale.
Produzione di apparecchiature, trasporti, macchinari
Produttori di apparecchiature e macchinari farmaceutici, elettronici e ottici; produttori di veicoli.
Fornitori di servizi digitali
Fornitori di Marketplace online, motori di ricerca e piattaforme sociali.
Ricerca
Organizzazioni di ricerca; istituti di istruzione, in particolare quando svolgono attività di ricerca critiche.
Tutte le organizzazioni e le aziende interessate hanno tempo fino al 18 ottobre 2024 per conformarsi ai nuovi requisiti legali, dopodiché saranno passibili di potenziali sanzioni.
Secondo la Direttiva, le aziende dei settori applicabili sono obbligate a comprendere ed a rispettare le nuove regole, i requisiti e le linee guida.
Ma cosa cambia per le entità “essenziali” e “importanti” nella NIS2? Ecco le differenze più significative nel modo in cui la NIS2 tratta tali soggetti:
- le misure di vigilanza e di applicazione per i “soggetti essenziali” sono più severe di quelle specificate per i “soggetti importanti” (Artt. 32-33);
- le sanzioni per i “soggetti essenziali” sono più elevate (Art. 34), e possono arrivare fino a 10 milioni di Euro o equivalere al 2% del fatturato totale annuo; per i “soggetti importanti”, invece, le multe possono arrivare fino a 7 milioni di Euro o coincidere con l’1,4% del fatturato totale annuo.
E LA CATENA DI FORNITURA?
Gli obblighi di cyber sicurezza devono coinvolgere l’intera filiera di fornitori. In effetti, i fornitori e i fornitori diretti di servizi possono essere tenuti a rispettare le misure di gestione del cyber rischio contenute nei contratti con le parti “essenziali” e “importanti” interessate, come incoraggiato dalla Direttiva. A loro volta, questi fornitori possono tenere conto dei rischi provenienti da altri livelli di fornitori e fornitori di servizi.
I DOCUMENTI UFFICIALI DELL’UE
È possibile consultare qui la Direttiva NIS2 in una delle lingue disponibili o scaricare i seguenti PDF, con gli Allegati 1 e 2 che coprono tutti i tipi di enti che devono conformarsi alla Direttiva:
- Testo ufficiale, con l’Allegato 1 e l’Allegato 2 (IT)
- Testo ufficiale, con l’Allegato 1 e l’Allegato 2 (EN)
Potresti anche essere interessato/a a consultare la Direttiva europea CER (o “DIRETTIVA (UE) 2022/2557 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio”) in una delle lingue disponibili qui, o scaricare i seguenti PDF: