La direttiva UE 2555/2022, meglio nota come direttiva NIS 2, è stata recepita dal legislatore italiano con il decreto legislativo 138/2024 ed ha ampliato significativamente il perimetro di applicazione della normativa in materia di sicurezza delle reti e dei sistemi informativi rispetto alla precedente direttiva NIS 1. Tra le novità principali vi è la distinzione tra soggetti «essenziali» e soggetti «importanti»: si tratta una classificazione che incide sugli obblighi normativi e sulle misure di cibersicurezza da adottare.
1. Il livello di criticità dei settori
Al fine di comprendere quali soggetti sono considerati essenziali e quali, invece, sono considerati importanti, è necessario porre l’accento sul livello di criticità che la Direttiva attribuisce ai diversi settori economici.
In primo luogo, all’allegato I della Direttiva sono indicati i seguenti settori, i quali sono considerati «altamente critici»:
sanità (strutture sanitarie, farmaceutiche, centri di ricerca);
energia (produzione, trasmissione e distribuzione di elettricità e gas);
pubblica amministrazione (enti pubblici che forniscono servizi essenziali);
trasporti (aereo, ferroviario, marittimo e stradale);
settore bancario e finanziario (infrastrutture di pagamento critiche);
settore idrico (fornitori e distributori di acque destinate al consumo umano);
spazio (fornitori di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica);
settore digitale (fornitori di servizi cloud, piattaforme online, registri di domini).
In secondo luogo, l’allegato II della NIS 2 riporta quelli che vengono definiti «altri settori critici»: si tratta di ambiti rilevanti per l’economia e la società, ma con un livello di criticità inferiore rispetto ai settori menzionati poc’anzi. Tra questi rientrano:
i servizi postali e di corriere;
la gestione dei rifiuti;
la fabbricazione, produzione e distribuzione di sostanze chimiche;
la produzione, trasformazione e distribuzione di alimenti;
le organizzazioni di ricerca;
talune specifiche fabbricazioni;
la fornitura di alcuni servizi digitali specifici (fornitori di mercati online, di motori di ricerca oppure di piattaforme di social network).
2. Soggetti essenziali e importanti: quali sono differenze?
La classificazione tra soggetti essenziali e importanti si basa sui predetti criteri di criticità del settore, oltre che su alcune soglie dimensionali, ossia parametri quantitativi relativi al fatturato o al numero di dipendenti.
In particolare, un soggetto è ritenuto essenziale se opera in un settore considerato ad alta criticità (vedasi l’allegato I della Direttiva) e soddisfa una o più delle seguenti condizioni, tali da farlo considerare una grande impresa:
occupa almeno 250 persone;
ha un fatturato annuo superiore a 50 milioni di euro;
ha un totale di bilancio (ossia il totale dell’attivo patrimoniale) annuo superiore a 43 milioni di euro.
Sono altresì considerati essenziali, a prescindere dal superamento delle anzidette soglie:
i prestatori di servizi fiduciari qualificati, i gestori di registri dei nomi di dominio di primo livello e i prestatori di servizi DNS;
i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese;
qualsiasi altro soggetto di cui al citato allegato I o II che lo Stato identifica come soggetto essenziale in conformità con la Direttiva. Nel dettaglio, l’Italia considera soggetti essenziali, indipendentemente dalle loro dimensioni, gli organi costituzionali e di rilievo costituzionale, la Presidenza del Consiglio dei ministri e i ministeri, le agenzie fiscali e le autorità amministrative indipendenti;
le «infrastrutture critiche» ai sensi della cosiddetta direttiva CER, ossia la direttiva UE 2557/2022. Si tratta di quelle infrastrutture che sono essenziali per il funzionamento del tessuto sociale ed economico: ne sono esempi le infrastrutture energetiche, sanitarie, bancarie, delle comunicazioni, bancarie, della sicurezza alimentare e di trasporto.
Un soggetto è invece ritenuto importante se, alternativamente:
opera in un settore considerato ad alta criticità ai sensi del citato allegato I e ha tra i 50 e i 249 dipendenti o un fatturato annuo tra 10.000.000,01 e 50 milioni di euro o un totale di bilancio tra 10.000.000,01 e 43 milioni di euro (dunque, si deve trattare di una media impresa, cioè un soggetto che supera i massimali per essere considerato una piccola impresa, ma non soddisfa le condizioni tali da farlo considerare una grande impresa);
opera negli altri settori critici di cui all’allegato II della Direttiva ed è considerato una grande impresa oppure una media impresa in base alle condizioni enunciate nel precedente punto (cioè, l’avere almeno 50 dipendenti, un fatturato annuo superiore a 10 milioni di euro oppure un totale di bilancio annuo superiore a 10 milioni di euro).
Ad ogni modo, la NIS 2 non si applica agli enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, dell'accertamento e del perseguimento dei reati.
3. Obblighi normativi e regime di vigilanza
La classificazione in soggetti essenziali e soggetti importanti determina il livello degli obblighi di cibersicurezza e la severità delle sanzioni in caso di inadempienza.
In particolare, i soggetti essenziali sono sottoposti a un regime di vigilanza più stringente, con controlli preventivi (ex ante) e verifiche continue da parte delle autorità competenti. Essi devono adottare misure di cybersecurity avanzate, segnalare tempestivamente gli incidenti e garantire la resilienza delle infrastrutture critiche.
Invece, i soggetti importanti, pur essendo soggetti a obblighi simili, hanno un regime di vigilanza meno rigoroso, con controlli prevalentemente ex post. Le autorità intervengono solo in caso di violazioni evidenti o segnalazioni di non conformità.
コメント