NIS2: a chi si applica?
NIS2, la direttiva UE volta a rafforzare il livello di cybersicurezza comunitario, si avvicina. Il 17 ottobre, termine entro il quale tutti gli Stati membri dovranno recepire la direttiva, è ormai alle porte. Gli Stati sono inoltre tenuti a definire entro il 17 aprile 2025 l’elenco dei soggetti interessati dalla direttiva. Questi vengono identificati essenzialmente secondo tre fattori: settore, dimensioni e fatturato. In Italia il compito spetta all’Agenzia per la Cybersicurezza Nazionale (ACN). Vediamo nel dettaglio a chi si applica NIS2.
Chi è soggetto a NIS2
NIS2 si applica ai soggetti “essenziali” e “importanti” che operano in settori definiti “critici” e “ad alta criticità”. Questi soggetti sono individuati in base al loro livello di digitalizzazione e al grado di interconnessione con gli apparati dello Stato e con la società. La logica alla base della direttiva è che la compromissione di attività fortemente interdipendenti con l’economia di uno Stato potrebbe avere un impatto significativo sulla sicurezza nazionale, sulla salute e sull’incolumità pubblica.
Chi rientra in NIS2 – I settori
I settori ad alta criticità sono:
- energia;
- trasporti;
- banche ed enti creditizi;
- infrastrutture dei mercati finanziari;
- settore sanitario (assistenza sanitaria, laboratori, fabbricazione di farmaci o dispositivi medici);
- fornitori e distributori di acqua potabile;
- acque reflue;
- infrastrutture digitali;
- gestione dei servizi TIC (tecnologie dell’informazione e della comunicazione);
- pubblica amministrazione;
- spazio.
I settori critici sono:
- servizi postali e di corriere;
- gestione dei rifiuti;
- fabbricazione, produzione e distribuzione di sostanze chimiche;
- produzione, trasformazione e distribuzione di alimenti;
- fabbricazione (di dispositivi medici, computer, elettronica, mezzi di trasporto, ecc.);
- fornitori di servizi digitali (mercati online, motori di ricerca, social network);
- ricerca.
Chi rientra in NIS2 – Le aziende
All’interno di questi settori, i soggetti che rientrano nel perimetro di NIS2 sono individuati in base ai criteri di grandezza e fatturato:
- grandi imprese: più di 250 dipendenti oppure più di 50 milioni di fatturato
- medie imprese: più di 50 dipendenti oppure più di 10 milioni di fatturato.
Le piccole e micro imprese possono invece essere oggetto della normativa a discrezione degli Stati membri, che possono individuarle come soggetti essenziali o importanti.
Per maggiore chiarezza circa i soggetti a cui si applica la Direttiva NIS2 è possibile consultare la tabella riepilogativa dell’ACN.
Se ti riconosci tra questi soggetti, puoi rivolgerti a Noratech per valutare e potenziare la tua infrastruttura IT in conformità a NIS2.