NIS2 - NETWORK INFORMATION SECURITY 2

# defined, explained, and explored

La NIS2 (NIS2 - NETWORK INFORMATION SECURITY 2) è la direttiva europea sulla Cybersecurity, del 14 dicembre 2022, implementata per rafforzare il livello generale di Cybersicurezza nell’Unione Europea. E’ stata recepita in Italia con il D.lgs. n. 138 del 4 settembre 2024 (di seguito “Decreto NIS2”) in vigore dal 16 ottobre 2024.

Cosa prevede

  • Ampliamento del campo di applicazione rispetto alla NIS1, includendo oltre 80 categorie di soggetti in 18 settori, di cui 11 altamente critici e 7 critici. Introduce anche una distinzione tra servizi essenziali e importanti.
  • Rafforzamento delle misure preventive e maggiore responsabilizzazione delle organizzazioni.
  • Processo di notifica incidenti maggiormente dettagliato.
 

AMBITO DI APPLICAZIONE  Art. 3 Decreto NIS2

Nell’ambito di applicazione del decreto rientrano i soggetti pubblici e privati delle seguenti tipologie:
I - Settori ad alta criticità: Energia, Trasporti, Settore bancario, Infrastrutture dei mercati finanziari, Settore sanitario, Acque reflue, Acqua potabile, Infrastrutture digitali, Fornitori diservizi Tic (b2b), PA, Spazio.

II - Settori critici: Servizi postali e di corriere, Gestione dei rifiuti, Fabbricazione, produzione e distribuzione di sostanze chimiche, Produzione, Trasformazione e distribuzione di alimenti, Fabbricazione, Fornitori di servizi digitale, quali mercati online, motori di ricerca, piattaforme social network, Ricerca.

III- Amministrazioni centrali, locali e di altro tipo. In particolare città metropolitane con più di 100.000 abitanti, capoluoghi di regione, ASL, altri enti.

IV- Ulteriori tipologie di soggetti: Servizi di trasporto pubblico locale, istituti di istruzione che svolgono attività di ricerca, soggetti che svolgono attività di interesse culturale, società in house, partecipate ex D.lgs 198/2016.

  1. A) Il Decreto NIS2 si applica, ai soggetti pubblici e privati, se:
    appartengono alle tipologie di cui ai punti I e II che superano i massimali per le piccole imprese, identificabili almeno come medie imprese ai sensi della raccomandazione 2003/361/CE.
    (Media impresa occupa meno di 250 persone e realizza un fatturato annuo non superiore a 50 milioni di euro oppure un totale di bilancio non superiore a 43 milioni di euro).
  2. B) Indipendentemente dalle loro dimensioni (ossia anche micro e piccole imprese) sono:
  • identificati come soggetti critici ai sensi del d.lgs. 134/2024 che recepisce la direttiva CER;
  • fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • prestatori di servizi fiduciari;
  • gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • fornitori di servizi di registrazione dei nomi di dominio;
  • pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate al punto III.

 

 

SOGGETTI ESSENZIALI E IMPORTANTI

Una volta definito l’ambito di applicazione della normativa, è necessario verificare se un soggetto appartiene alla categoria degli essenziali o degli importanti. Questo passaggio è cruciale ai fini dell’applicazione proporzionale degli obblighi nonché dell’esercizio dei poteri ispettivi e sanzionatori dell’Autorità nazionale competente NIS.

I SOGGETTI ESSENZIALI:

  • Soggetti di cui all’allegato I che superano i massimali per le medie imprese;
  • Indipendentemente dalle loro dimensioni, i soggetti identificati come soggetti critici ai sensi del decreto legislativo che recepisce la Direttiva (UE) 2022/2557;
  • i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico di cui all’articolo 3, comma 5, lettera b) del Decreto NIS2, che siconsiderano almeno medie imprese ai sensi dell’articolo 2 dell’allegato alla raccomandazione 2003/361/CE;
  • indipendentemente dalle loro dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio di cui all’articolo 3, comma 5, lettere c) e d); indipendentemente dalle loro dimensioni, le pubbliche amministrazioni centrali;
  • i soggetti eventualmente individuati dall’Autorità competente NIS. Tali soggetti riceveranno una specifica notifica di individuazione.

Tutti gli altri soggetti rientranti nell’ambito di applicazione del decreto che non sono considerati essenziali, sono considerati importanti

 
 
 
READ MORE