norppa.io
Guide

Guida NIS2 · 8 min

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

NIS2 si applica in modo molto più ampio rispetto alla direttiva NIS originale, ma non a tutti. Se la tua organizzazione rientra dipende da tre elementi: il tuo settore, la tua dimensione e poche eccezioni indipendenti dalla dimensione. Questa guida illustra ogni verifica per aiutarti a determinare la tua posizione e spiega perché la designazione non è l'unico modo in cui la direttiva ti raggiunge. Il termine di recepimento (17 ottobre 2024) è scaduto e gli Stati membri applicano la direttiva man mano che completano la normativa nazionale.

Due categorie: soggetti essenziali e importanti

NIS2 suddivide le organizzazioni interessate in due livelli. Entrambi devono soddisfare gli stessi obblighi di base di sicurezza e notifica; la differenza sta nell'intensità della vigilanza e nelle sanzioni massime applicabili.

Soggetti essenziali

Grandi organizzazioni dei settori a più elevata criticità (allegato I), oltre a determinati soggetti designati indipendentemente dalla dimensione. Soggetti a vigilanza proattiva (ex ante): audit, ispezioni e richieste di informazioni possono avvenire anche senza un incidente preventivo.

Soggetti importanti

La maggior parte delle altre organizzazioni interessate che raggiungono la soglia dimensionale, inclusi i settori dell'allegato II. Soggetti a vigilanza reattiva (ex post): le autorità intervengono in presenza di indizi di non conformità.

Quali settori sono coperti?

NIS2 elenca i settori coperti in due allegati. L'allegato I copre i settori ad alta criticità; l'allegato II altri settori critici. Se la tua attività principale rientra in uno degli elenchi e raggiungi la soglia dimensionale, probabilmente sei interessato.

Allegato I — settori ad alta criticità

  • Energia (elettricità, petrolio, gas, teleriscaldamento, idrogeno)
  • Trasporti (aereo, ferroviario, marittimo, su strada)
  • Settore bancario e infrastrutture dei mercati finanziari
  • Salute (fornitori, laboratori di riferimento dell'UE, farmaci, dispositivi medici)
  • Acqua potabile e acque reflue
  • Infrastrutture digitali (DNS, registri di TLD, data center, cloud, CDN, servizi fiduciari, comunicazioni elettroniche)
  • Gestione dei servizi TIC, B2B (fornitori di servizi gestiti e di sicurezza gestita)
  • Pubblica amministrazione (centrale e regionale)
  • Spazio

Allegato II — altri settori critici

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione (dispositivi medici, computer ed elettronica, macchinari, autoveicoli, altri mezzi di trasporto)
  • Fornitori digitali (marketplace online, motori di ricerca, social network)
  • Organizzazioni di ricerca

La soglia dimensionale

All'interno di un settore coperto, NIS2 si applica in genere solo a partire da una dimensione minima: la regola del tetto dimensionale. Si considerano sia il numero di dipendenti sia i dati finanziari.

Grande — in genere 'essenziale' (allegato I)

Almeno 250 dipendenti, oppure fatturato superiore a 50 milioni di euro e totale di bilancio superiore a 43 milioni di euro. I grandi soggetti dei settori dell'allegato I sono in genere classificati come essenziali. I grandi soggetti dei settori dell'allegato II restano importanti, non essenziali.

Media — in genere 'importante'

Almeno 50 dipendenti, oppure fatturato annuo e totale di bilancio superiori a 10 milioni di euro. Raggiungere la soglia di media dimensione in un settore coperto ti fa rientrare in genere come soggetto importante.

Al di sotto della soglia media, le micro e piccole organizzazioni sono generalmente fuori ambito, salvo che si applichi un'eccezione indipendente dalla dimensione.

Eccezioni indipendenti dalla dimensione — interessati a prescindere dalla dimensione

Alcuni soggetti sono coperti indipendentemente dalle loro dimensioni, per il ruolo che svolgono. Tra questi: i prestatori qualificati di servizi fiduciari, i registri dei nomi di dominio di primo livello e i fornitori di servizi DNS, i fornitori di reti o servizi pubblici di comunicazione elettronica, e i soggetti che sono l'unico fornitore di un servizio essenziale per un'attività sociale o economica in uno Stato membro.

Anche i soggetti della pubblica amministrazione e le organizzazioni individuate come critiche ai sensi della direttiva sulla resilienza dei soggetti critici (CER) possono rientrare indipendentemente dalla dimensione, e gli Stati membri possono designare singoli soggetti. Se gestisci infrastrutture critiche o un servizio senza sostituti, consulta l'elenco di designazione della tua autorità nazionale anziché affidarti al solo test dimensionale.

Non designato? Puoi comunque essere coinvolto tramite la supply chain

Anche se non sei interessato direttamente, NIS2 ti raggiunge indirettamente. Le organizzazioni interessate devono gestire il rischio di cibersicurezza dei propri fornitori e prestatori di servizi (art. 21, par. 2, lett. d). In pratica, i tuoi clienti — banche, ospedali, aziende energetiche, enti pubblici — richiederanno sempre più prove del tuo livello di sicurezza come condizione per fare affari.

La domanda pratica raramente è solo 'sono designato?'. È anche 'i miei clienti rientrano in NIS2?'. Se sì, i loro obblighi arrivano a te tramite contratti, questionari e monitoraggio continuo, che tu sia o meno formalmente un soggetto essenziale o importante.

Cosa significa in pratica rientrare nell'ambito

Se rientri nell'ambito, gli obblighi principali sono:

  • Misure di gestione del rischio — la base dell'art. 21: analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della supply chain, cifratura, controllo degli accessi e altro.
  • Notifica degli incidenti — un preallarme al tuo CSIRT nazionale entro 24 ore da un incidente significativo, una notifica più completa entro 72 ore e una relazione finale entro un mese (art. 23).
  • Governance e responsabilità — gli organi di gestione devono approvare e sovrintendere alle misure e possono essere ritenuti responsabili; è prevista la formazione del personale.
  • Registrazione — molti soggetti devono registrarsi presso la propria autorità nazionale, fornendo dati di contatto e di settore.

I soggetti essenziali e importanti soddisfano la stessa base; il livello incide soprattutto sul modo in cui sono vigilati e sulle sanzioni massime applicabili.

Fonte: Direttiva (UE) 2022/2555 (NIS2), articoli 2-3 e allegati I-II — consulta la legge nazionale di recepimento e la tua autorità di vigilanza per i dettagli vincolanti nel tuo Paese.

Come aiuta norppa.io

Una volta che sai che i tuoi fornitori rientrano nell'ambito — o che i tuoi clienti si aspettano garanzie di livello NIS2 — norppa.io fornisce le prove continue di cui entrambe le direzioni hanno bisogno. Ogni dominio fornitore monitorato è controllato su oltre 100 punti di controllo ogni giorno, gli eventi critici ogni sei ore, con i risultati mappati automaticamente agli articoli NIS2.

I questionari di autovalutazione (SAQ) vengono inviati ai fornitori direttamente da norppa.io e si combinano con il profilo di rischio tecnico, così le prove di processo e tecniche sono in un unico posto — pronte per la due diligence dei tuoi clienti o per un audit di vigilanza.

Guarda com'è un monitoraggio di livello NIS2

Un report fornitore di esempio — risultati, mappatura NIS2 ed evidenze — in due minuti.

Vedi il report di esempio

Guide correlate

NIS2 e il requisito della supply chain — cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

NIS2 Art. 21(2) — checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.