Skip to main content
search
Cybercrime & CybersecData Security

NIS2: come determinare se la normativa NIS2 si applica a una organizzazione?

By 18 Febbraio, 202521 Febbraio, 2025No Comments

NIS2: come determinare se la normativa NIS2 si applica a una organizzazione?

di Alessandro Amoroso

Il 28 febbraio è il termine per la registrazione sulla piattaforma di ACN delle organizzazioni che rientrano nel perimetro del Decreto di Recepimento NIS2. 

Di seguito, ripercorriamo gli aspetti principali di cui tener conto per la determinazione sull’applicazione della normativa NIS2 alla propria organizzazione. 

Introduzione 

La Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 (“Direttiva NIS2”) è stata recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138 (“Decreto”). Il Decreto: 

  • impone l’applicazione di misure di gestione dei rischi di cybersicurezza a soggetti pubblici e privati aventi determinati requisiti dimensionali, settoriali o di rilevanza per la società, l’economia o per particolari settori o tipi di servizi. 
  • ha confermato l’Autorità per la Cybersicurezza Nazionale (“ACN” o “Autorità”) quale autorità nazionale competente della normativa NIS2, disciplinandone i poteri inerenti all’implementazione e attuazione del Decreto. 

Criteri di applicazione del Decreto 

Poste alcune eccezioni che estendono l’applicabilità del Decreto ad ulteriori soggetti, il Decreto individua principalmente tre criteri per determinare il perimetro del proprio ambito d’applicazione: 

1. criterio territoriale: il Decreto si applica ai soggetti sottoposti alla giurisdizione nazionale.  

Sono sottoposti alla giurisdizione nazionale: 

  • i soggetti stabiliti sul territorio nazionale; 
  • i soggetti che offrono determinati servizi di natura transfrontaliera e specificamente elencati dalla Direttiva NIS2, sul territorio nazionale. L’elenco di tali soggetti include anche alcune categorie piuttosto ampie, la cui individuazione non è sempre semplice, come i fornitori di servizi gestiti e i fornitori di servizi di sicurezza gestiti.

2.  criterio dimensionale: soggetti che superano i massimali per le piccole imprese, e dunque sono almeno medie imprese; 

Per semplificare, è almeno media impresa: 

  • un’impresa che occupa almeno 50 persone (rectius “effettivi”); oppure 
  • un’impresa che occupa meno di 50 persone ma realizza sia un fatturato annuo sia un totale di bilancio annuo superiore a 10 milioni di euro. 

Al riguardo, è importante sottolineare che, ai sensi del Decreto, il calcolo del numero di effettivi, fatturato e bilancio deve tener conto – secondo quanto stabilito dall’allegato alla Raccomandazione del 6 maggio 2003 (“Raccomandazione”) – anche delle imprese associate o collegate, e pertanto: 

  • nel caso di imprese associate, dovrà essere aggregata una parte dei dati delle imprese associate; 
  • nel caso di imprese collegate, dovranno essere aggregati tutti i dati delle imprese (direttamente o indirettamente) collegate. 

Qualora si ritenga che l’applicazione delle regole di aggregazione previste per le imprese associate e collegate non sia proporzionato – tenuto anche conto dell’indipendenza dell’organizzazione dalle imprese associate o collegate in termini di servizi che forniscono e di sistemi informativi e di rete che utilizzano nella fornitura di tali servizi – è possibile richiedere l’applicazione della clausola di salvaguardia. 

3.  criterio settoriale: soggetti che operano nei settori e forniscono le tipologie di servizi o svolgono le attività contemplate dagli allegati del Decreto. 

Al riguardo, come chiarito da ACN nelle proprie FAQ: 

  • non è rilevante quale sia l’attività prevalente svolta dall’impresa, per cui – salvo ove esplicitamente indicato – è sufficiente che l’organizzazione svolga anche in parte l’attività di un/ settore rilevante; 
  • non è necessario che i servizi siano offerti a terzi, per cui il criterio settoriale è soddisfatto anche nel caso in cui i servizi siano offerti esclusivamente a società dello stesso gruppo di imprese.

L’indicazione di collegamenti di cybersecurity 

Con una particolare previsione, il Decreto stabilisce che esso si applica altresì anche alle organizzazioni (persone giuridiche) che fanno parte di un gruppo di imprese e che esercitano un determinato controllo (influenza le decisioni in materia di cybersicurezza del soggetto essenziale o importante), o offrono determinati servizi (detiene o gestisce i sistemi informativi e di rete da cui dipende il soggetto essenziale o importante, effettua operazioni di sicurezza informatica del soggetto essenziale o importante o fornisce servizi TIC o di sicurezza, anche gestiti), al soggetto importante o essenziale. 

Qualificazione come soggetto essenziale o importante. 

Salve alcune eccezioni, in linea generale, può dirsi che: 

  • qualora un soggetto rientri nei settori di cui all’allegato II (settori critici) e soddisfi i criteri dimensionali e territoriali, esso è da individuare quale soggetto importante; 
  • qualora un soggetto rientri nei settori di cui all’allegato I (settori altamente critici) e soddisfi i criteri territoriali: 
  • ove media impresa, deve essere indicato come soggetto importante; 
  • ove grande impresa, deve essere indicato come soggetto essenziale. 

Una tabella di riepilogo dell’ambito d’applicazione è stata fornita dall’ACN al link qui. 

Conseguenze a seguito della registrazione 

La registrazione di un soggetto sulla piattaforma di ACN è successivamente sottoposta ad una fase di analisi. Entro metà aprile 2025, l’Autorità comunicherà al soggetto l’eventuale inserimento nell’elenco dei soggetti essenziali o importanti. 

Autore:

Alessandro Amoroso

 

Next Post
Alessandro Amoroso

Author Alessandro Amoroso

More posts by Alessandro Amoroso
Close Menu
it_IT
en_US it_IT