Latest news

Guida alla Direttiva NIS 2: esplorando l’ambito soggettivo e le responsabilità normative

La Direttiva NIS 2, con i suoi nuovi requisiti in materia di sicurezza informatica, ha ampliato il campo di azione a un vasto spettro di imprese. Questo ampliamento richiede una chiara comprensione dell’ambito di applicazione soggettivo della normativa. In questa guida, esploreremo i criteri normativi fondamentali che definiscono chi è coinvolto e quali sono le responsabilità.

Analizzare correttamente questo ambito consente di adottare le misure necessarie per garantire un elevato standard di sicurezza cibernetica in tutta l’Unione Europea, contribuendo così al miglioramento del mercato interno.

È importante ricordare che la Direttiva NIS 2 è entrata in vigore il 17 gennaio 2023 e che gli Stati membri devono recepirla entro il 17 ottobre 2024. Questo articolo fornisce una panoramica esaustiva della disciplina, offrendo un valido supporto per l’adeguamento alle nuove regolamentazioni.

direttiva nis 2 2024

Chi è soggetto alla Direttiva NIS 2? Una panoramica del suo ambito di applicazione

Quando si tratta di comprendere chi sia soggetto alla Direttiva NIS 2, è fondamentale analizzare attentamente l’articolo 2, paragrafo 1 di tale normativa. Questo articolo stabilisce che la Direttiva si applica a:

  • Soggetti pubblici o privati;
  • Appartenenti alle categorie elencate negli Allegati I o II della Direttiva, che sono considerati medie imprese ai sensi dell’articolo 2 della Direttiva NIS 2, o che superano i limiti previsti per le medie imprese;
  • Che offrono servizi o svolgono attività all’interno dell’Unione europea.

Ciò significa che vi sono tre criteri principali da tenere in considerazione nell’analisi dell’ambito soggettivo di applicazione della NIS 2. Questi criteri sono:

  1. Criterio del dimensionamento: le imprese soggette alla NIS 2, secondo l’articolo 2, paragrafo 1, sono quelle classificate come medie imprese o che superano i limiti previsti per tali imprese.
  2. Criterio del settore merceologico: la NIS 2 si applica ai soggetti pubblici o privati appartenenti alle categorie elencate negli Allegati I o II della Direttiva. Tali allegati identificano i settori merceologici rilevanti per l’applicazione della NIS 2, distinguendo tra settori ad alta criticità (Allegato I) e altri settori critici (Allegato II). È importante notare che, in generale, i soggetti inclusi nell’Allegato I sono considerati essenziali, mentre quelli nell’Allegato II sono considerati importanti. Tuttavia, la Commissione si riserva il diritto di stabilire un elenco definitivo di soggetti essenziali e importanti entro il 17 aprile 2025.
  3. Criterio della territorialità: le imprese soggette alla NIS 2 sono quelle appartenenti alle categorie elencate negli Allegati I o II della Direttiva, che sono classificate come medie imprese o più e che offrono servizi o svolgono attività all’interno dell’Unione europea.

Per una maggiore chiarezza, è utile fare riferimento alla Raccomandazione 2003/361/CE, che definisce le categorie di imprese come segue:

  • Media impresa: occupa meno di 250 persone e ha un fatturato annuo non superiore a 50 milioni di euro o un totale di bilancio annuo inferiore a 43 milioni di euro.
  • Piccola impresa: occupa meno di 50 persone e ha un fatturato annuo o un totale di bilancio annuo non superiore a 10 milioni di euro.
  • Microimpresa: occupa meno di 10 persone e ha un fatturato annuo o un totale di bilancio annuo non superiore a 2 milioni di euro.

Tenendo conto di questi criteri, è possibile identificare chiaramente chi sia soggetto alla Direttiva NIS 2 e quali siano le sue implicazioni per le imprese interessate.

Eccezioni al criterio del dimensionamento nella Direttiva NIS 2

Sebbene il criterio del dimensionamento sia un punto di riferimento importante, non è assoluto secondo l’articolo 2, paragrafo 2 della Direttiva NIS 2, che prevede delle eccezioni a tale principio.

In particolare, la suddetta disposizione stabilisce che la Direttiva NIS 2 si applica indipendentemente dalle dimensioni dell’impresa nei seguenti casi:

  1. Servizi forniti da:
  • Fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico.
  • Prestatori di servizi di fiducia.
  • Registri di nomi di dominio di primo livello e fornitori di servizi DNS (domain name system).
  1. Il soggetto è l’unico fornitore in uno Stato membro di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali.
  2. Una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, sull’incolumità pubblica o sulla salute pubblica.
  3. Una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, specialmente per settori in cui tale perturbazione potrebbe avere un impatto transfrontaliero.
  4. Il soggetto è critico a livello nazionale o regionale per un particolare settore, tipo di servizio o altri settori indipendenti nello Stato membro.
  5. Il soggetto è un ente della pubblica amministrazione:
  • Dell’amministrazione centrale, come definito da uno Stato membro in conformità con il diritto nazionale.
  • A livello regionale, come definito da uno Stato membro in conformità con il diritto nazionale, che fornisce servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche dopo una valutazione basata sul rischio.
  1. Ai soggetti identificati come critici ai sensi della Direttiva (UE) 2022/2557 (Direttiva CER) relativa alla resilienza dei soggetti critici.
  2. Ai soggetti che forniscono servizi di registrazione dei nomi di dominio.

In questi casi, le dimensioni dell’impresa non determinano l’applicazione della Direttiva NIS 2, evidenziando l’importanza di considerare la natura e l’impatto dei servizi forniti per garantire una gestione adeguata della sicurezza e della resilienza.

direttiva nis 2

Considerare i soggetti critici: evitare sorprese nelle Direttive Europee

Nel mondo della compliance normativa, è fondamentale tenere presente un aspetto cruciale: l’attenzione ai soggetti definiti come critici. Questo concetto viene delineato nell’articolo 2, paragrafo 3 della Direttiva NIS 2, che introduce una precisa eccezione al criterio dimensionale. Tale eccezione si applica nel caso in cui un soggetto sia già stato designato come “soggetto critico” ai sensi della direttiva 2022/2557 (Direttiva CER). Questo implica che la Direttiva NIS 2 si applica a tali soggetti, indipendentemente dalle loro dimensioni.

Per comprendere appieno il concetto di “soggetto critico”, dobbiamo fare riferimento alla Direttiva CER, che fornisce una definizione chiara all’articolo 2, paragrafo 1. Un “soggetto critico” è identificato come un’entità pubblica o privata designata da uno Stato membro in base all’articolo 6 della direttiva come appartenente a specifiche categorie.

Questa sovrapposizione di direttive può risultare complessa: ci sono soggetti che rientrano sia nell’ambito della Direttiva CER che della Direttiva NIS 2. Ad esempio, consideriamo un’organizzazione operante in un settore definito nell’Allegato della CER e anche in uno degli Allegati della NIS 2, come il settore del gas. In questo caso, l’organizzazione sarà soggetta sia alla Direttiva CER (essendo considerata critica) che alla Direttiva NIS 2, indipendentemente dalle sue dimensioni.

È importante sottolineare che entro il 17 luglio 2026, ciascuno Stato membro dovrà identificare i soggetti critici nei settori e sottosettori indicati nell’allegato. Pertanto, è ragionevole attendersi ulteriori dettagli in merito a questa procedura.

Chi non deve preoccuparsi della NIS 2: soggetti esclusi e le loro attività

Nell’ambito della Direttiva NIS2, alcuni soggetti sono esentati dalle sue disposizioni. Ecco un’occhiata a chi non deve preoccuparsi della sua applicazione:

  1. Enti della Pubblica Amministrazione impegnati nei settori della sicurezza nazionale, pubblica sicurezza, o difesa, nonché nell’affrontare, prevenire, indagare, accertare, e perseguire reati (articolo 2, paragrafo 7).
  2. Soggetti specifici esentati dagli Stati membri dalla portata della NIS 2. Questi soggetti operano nei settori della sicurezza nazionale, pubblica sicurezza, difesa, e affini, compresa la prevenzione, indagine, accertamento, e perseguimento di reati. Possono anche fornire servizi esclusivamente agli enti della Pubblica Amministrazione menzionati precedentemente (articolo 2, paragrafo 8).
  3. Soggetti esentati dalla portata del Regolamento (UE) 2022/2554, noto come Regolamento DORA, in base all’articolo 2, paragrafo 4 di detto regolamento (articolo 2, paragrafo 10).

Queste esenzioni delineano chi non è soggetto alle disposizioni della NIS 2, offrendo una chiara visione di coloro che possono operare al di fuori del suo ambito.

nis direttiva europea

La Direttiva NIS 2: un passo avanti per la sicurezza informatica e l’Ethical Hacking

In conclusione, la Direttiva NIS 2 segna un significativo passo avanti nel superare le limitazioni e inefficienze della sua predecessora, la Direttiva NIS. Con la sua entrata in vigore a partire dal 18 ottobre 2024, evidenzia un impegno concreto verso una maggiore sicurezza informatica. È fondamentale tener presente che entro il 17 aprile 2025 la Commissione europea delineerà un elenco dei soggetti essenziali e importanti, offrendo così una panoramica più dettagliata del campo di applicazione della direttiva.

Nel frattempo, rimanere aggiornati su ulteriori sviluppi è cruciale per adeguarsi efficacemente alle nuove normative. Per approfondire le tematiche legate alla sicurezza informatica e al rispetto delle direttive europee, ti invitiamo a valutare il nostro corso di formazione professionale CyberSecurity ETHICAL HACKER v12.

Il corso è progettato per fornire una formazione avanzata nel campo della sicurezza informatica, con un focus specifico sull’ethical hacking. Gli studenti avranno l’opportunità di approfondire le tecniche di hacking etico per identificare e risolvere vulnerabilità nei sistemi informatici, fornendo al contempo una solida comprensione delle migliori pratiche per proteggere le reti e i dati da attacchi informatici.

Il corso si rivolge a professionisti IT che desiderano ampliare le proprie competenze nel campo della cybersecurity e diventare esperti nell’identificazione e nella gestione delle minacce informatiche. Mediante lezioni pratiche e laboratori guidati da istruttori esperti, gli studenti acquisiranno competenze pratiche essenziali per affrontare le sfide sempre crescenti nel campo della sicurezza informatica.

Investire nella propria formazione attraverso questo corso significa essere preparati ad affrontare le minacce informatiche con consapevolezza e competenza. Per ulteriori informazioni e per iscriversi al corso, contattaci

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!