top of page
Cerca

Soggetti «essenziali» e «importanti» secondo la NIS 2: differenze e implicazioni

Immagine del redattore: Redazione LexTech HubRedazione LexTech Hub

Aggiornamento: 5 feb


Data Protection Forum 2025
Data Protection Forum 2025
La direttiva UE 2555/2022, meglio nota come direttiva NIS 2, è stata recepita dal legislatore italiano con il decreto legislativo 138/2024 ed ha ampliato significativamente il perimetro di applicazione della normativa in materia di sicurezza delle reti e dei sistemi informativi rispetto alla precedente direttiva NIS 1. Tra le novità principali vi è la distinzione tra soggetti «essenziali» e soggetti «importanti»: si tratta una classificazione che incide sugli obblighi normativi e sulle misure di cibersicurezza da adottare.

1. Il livello di criticità dei settori

Al fine di comprendere quali soggetti sono considerati essenziali e quali, invece, sono considerati importanti, è necessario porre l’accento sul livello di criticità che la Direttiva attribuisce ai diversi settori economici.
 
In primo luogo, all’allegato I della Direttiva sono indicati i seguenti settori, i quali sono considerati «altamente critici»:
  • sanità (strutture sanitarie, farmaceutiche, centri di ricerca);
  • energia (produzione, trasmissione e distribuzione di elettricità e gas);
  • pubblica amministrazione (enti pubblici che forniscono servizi essenziali);
  • trasporti (aereo, ferroviario, marittimo e stradale);
  • settore bancario e finanziario (infrastrutture di pagamento critiche);
  • settore idrico (fornitori e distributori di acque destinate al consumo umano);
  • spazio (fornitori di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica);
  • settore digitale (fornitori di servizi cloud, piattaforme online, registri di domini).

In secondo luogo, l’allegato II della NIS 2 riporta quelli che vengono definiti «altri settori critici»: si tratta di ambiti rilevanti per l’economia e la società, ma con un livello di criticità inferiore rispetto ai settori menzionati poc’anzi.

Tra questi rientrano:
  • i servizi postali e di corriere;
  • la gestione dei rifiuti;
  • la fabbricazione, produzione e distribuzione di sostanze chimiche;
  • la produzione, trasformazione e distribuzione di alimenti;
  • le organizzazioni di ricerca;
  • talune specifiche fabbricazioni;
  • la fornitura di alcuni servizi digitali specifici (fornitori di mercati online, di motori di ricerca oppure di piattaforme di social network).

2. Soggetti essenziali e importanti: quali sono differenze?

La classificazione tra soggetti essenziali e importanti si basa sui predetti criteri di criticità del settore, oltre che su alcune soglie dimensionali, ossia parametri quantitativi relativi al fatturato o al numero di dipendenti.
 
In particolare, un soggetto è ritenuto essenziale se opera in un settore considerato ad alta criticità (vedasi l’allegato I della Direttiva) e soddisfa una o più delle seguenti condizioni, tali da farlo considerare una grande impresa:
  • occupa almeno 250 persone;
  • ha un fatturato annuo superiore a 50 milioni di euro;
  • ha un totale di bilancio (ossia il totale dell’attivo patrimoniale) annuo superiore a 43 milioni di euro.

Sono altresì considerati essenziali, a prescindere dal superamento delle anzidette soglie:
  • i prestatori di servizi fiduciari qualificati, i gestori di registri dei nomi di dominio di primo livello e i prestatori di servizi DNS;
  • i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese;
  • qualsiasi altro soggetto di cui al citato allegato I o II che lo Stato identifica come soggetto essenziale in conformità con la Direttiva. Nel dettaglio, l’Italia considera soggetti essenziali, indipendentemente dalle loro dimensioni, gli organi costituzionali e di rilievo costituzionale, la Presidenza del Consiglio dei ministri e i ministeri, le agenzie fiscali e le autorità amministrative indipendenti;
  • le «infrastrutture critiche» ai sensi della cosiddetta direttiva CER, ossia la direttiva UE 2557/2022. Si tratta di quelle infrastrutture che sono essenziali per il funzionamento del tessuto sociale ed economico: ne sono esempi le infrastrutture energetiche, sanitarie, bancarie, delle comunicazioni, bancarie, della sicurezza alimentare e di trasporto.

Un soggetto è invece ritenuto importante se, alternativamente:
  • opera in un settore considerato ad alta criticità ai sensi del citato allegato I e ha tra i 50 e i 249 dipendenti o un fatturato annuo tra 10.000.000,01 e 50 milioni di euro o un totale di bilancio tra 10.000.000,01 e 43 milioni di euro (dunque, si deve trattare di una media impresa, cioè un soggetto che supera i massimali per essere considerato una piccola impresa, ma non soddisfa le condizioni tali da farlo considerare una grande impresa);
  • opera negli altri settori critici di cui all’allegato II della Direttiva ed è considerato una grande impresa oppure una media impresa in base alle condizioni enunciate nel precedente punto (cioè, l’avere almeno 50 dipendenti, un fatturato annuo superiore a 10 milioni di euro oppure un totale di bilancio annuo superiore a 10 milioni di euro).
 
Ad ogni modo, la NIS 2 non si applica agli enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, dell'accertamento e del perseguimento dei reati.

3. Obblighi normativi e regime di vigilanza

La classificazione in soggetti essenziali e soggetti importanti determina il livello degli obblighi di cibersicurezza e la severità delle sanzioni in caso di inadempienza.

In particolare, i soggetti essenziali sono sottoposti a un regime di vigilanza più stringente, con controlli preventivi (ex ante) e verifiche continue da parte delle autorità competenti. Essi devono adottare misure di cybersecurity avanzate, segnalare tempestivamente gli incidenti e garantire la resilienza delle infrastrutture critiche.

Invece, i soggetti importanti, pur essendo soggetti a obblighi simili, hanno un regime di vigilanza meno rigoroso, con controlli prevalentemente ex post. Le autorità intervengono solo in caso di violazioni evidenti o segnalazioni di non conformità.

4. Perché adeguarsi alla NIS 2

L'introduzione della distinzione tra soggetti essenziali e importanti rappresenta un passo in avanti nella protezione delle infrastrutture critiche e dei servizi digitali. L’adozione di misure di sicurezza proporzionate alle criticità del settore e la supervisione da parte delle autorità nazionali contribuiranno a rafforzare la resilienza dell’ecosistema digitale europeo e italiano. Per le aziende coinvolte, è fondamentale adeguarsi tempestivamente alla normativa per evitare sanzioni e garantire la continuità operativa dei propri servizi.

Data Protection Forum 2025

GDPR, cybersecurity, NIS2 e tutte le normative che trattano queste tematiche verranno affrontate durante la seconda edizione del Data Protection Forum che si terrà il prossimo 06 giugno 2025 all'Auditorium Appiani di Treviso.

La partecipazione al #DPF2025 è gratuita. I posti sono limitati. Iscriviti subito per riservare il tuo posto!



34 visualizzazioni0 commenti

Post recenti

Mostra tutti

Comentários


bottom of page