News

Business Digitali

Direttiva NIS 2: cos’è, a chi si rivolge e entrata in vigore

Questo articolo è pensato come una guida semplice e completa per aiutare le imprese a capire rapidamente se rientrano nel perimetro della Direttiva NIS 2. Attraverso un’analisi chiara e dettagliata, vengono illustrati i settori e le categorie di soggetti coinvolti, i requisiti dimensionali e organizzativi, le principali scadenze operative e gli adempimenti richiesti. Viene inoltre approfondito il trattamento specifico per le società collegate al settore pubblico e il regime sanzionatorio previsto. L’articolo offre strumenti pratici per valutare la propria posizione rispetto alla normativa e fornisce consigli utili per adeguarsi, sottolineando l’importanza di affidarsi a professionisti con competenze integrate, tecniche e legali. Un supporto concreto per orientarsi nel panorama normativo e garantire la conformità.

Indice

Cos'è la direttiva NIS 2?

La nuova Direttiva NIS2, adottata con l’obiettivo di armonizzare le strategie di cybersecurity tra gli Stati membri dell’Unione Europea, punta a rafforzare i livelli di sicurezza dei servizi digitali su scala europea. Questa direttiva si integra con altre normative e linee guida sulla protezione dei dati personali e della sicurezza informatica, come il GDPR, il Regolamento DORA e il Cyber Resilience Act, fornendo un quadro normativo coerente per affrontare le crescenti minacce informatiche, che negli ultimi anni hanno registrato un significativo incremento in sofisticazione e portata.

In Italia, il recepimento della Direttiva (UE) 2022/2555, nota come Direttiva NIS2, è stato formalizzato con il Decreto Legislativo n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024. Come previsto dall’iter legislativo, il decreto è entrato in vigore il 16 ottobre 2024, ovvero 15 giorni dopo la pubblicazione.

Quali scadenze prevede la NIS 2?

Quali scadenze prevede la NIS 2?

La normativa prevede diverse scadenze operative per i soggetti coinvolti che, come ricorda l’Agenzia per la
Cibersecurity Nazionale (ACN) nelle sue FAQ, possono essere così riassunte:

  • Registrazione sulla piattaforma ACN (articolo 7, comma 1; articolo 42, comma 1, lettera a):
    • Entro il 17 gennaio 2025 per i fornitori di servizi specifici (ad esempio, servizi di cloud
      computing, data center, piattaforme di social network, motori di ricerca, ecc.) indicati nel
      decreto.
    • Entro il 28 febbraio 2025 per tutti gli altri soggetti rientranti nell’ambito di applicazione
      della direttiva.
  • Autorità Nazionale Competente NIS (ACN):
    • Entro metà aprile 2025:
  • Costituzione dell’elenco dei soggetti NIS.
  • Notifica ai soggetti della loro inclusione nell’elenco.
  • Adozione degli obblighi di base relativi a misure di sicurezza informatica e notifica
    di incidenti.
  • Adempimenti per i soggetti NIS:
    •  Entro metà maggio 2025: Trasmissione e aggiornamento tempestivo delle informazioni (non oltre 14 giorni dalle modifiche).
    • Entro gennaio 2026: Adempimento degli obblighi di base relativi alla notifica di incidenti
      (entro 9 mesi dalla notifica di inserimento nell’elenco).
    • ntro ottobre 2026: Adempimento degli obblighi di base relativi alla sicurezza informatica
      (entro 18 mesi dalla notifica di inserimento nell’elenco).

A chi si applica la Direttiva NIS 2?

La Direttiva e il relativo decreto di attuazione si applicano al ricorrere di ben specifici presupposti.

In primo luogo, è necessario che l'impresa rientri nei settori indicati negli allegati di cui alla normativa e che qui si riportano sinteticamente:

Allegato I: Settori altamente critici

  • Energia: Include l’elettricità, petrolio e gas.
  • Trasporti: Include trasporti aerei, ferroviari, marittimi, fluviali e stradali.
  • Infrastrutture dei mercati finanziari: Include infrastrutture per la gestione dei mercati finanziari.
  • Bancario: Include gli operatori del settore bancario.
  • Sanitario: Include ospedali, cliniche e altre strutture sanitarie.
  • Fornitura e distribuzione di acqua potabile.
  • Gestione dei servizi TIC (Tecnologie dell'Informazione e Comunicazione).
  • Spazio: Include attività legate alle infrastrutture spaziali.

Allegato II: Settori critici

  • Servizi postali e di corriere.
  • Gestione dei rifiuti.
  • Fabbricazione, produzione e distribuzione di sostanze chimiche.
  • Produzione, trasformazione e distribuzione di alimenti.
  • Fabbricazione: Include la fabbricazione di dispositivi medici, computer, apparecchiature elettriche,
    macchinari e mezzi di trasporto.
  • Servizi digitali: Include fornitori di servizi digitali.

Appurata l’appartenenza ad uno dei suddetti settori, è necessario che l'impresa superi i seguenti limiti dimensionali e di fatturato:

+ 50 dipendenti
+ 10 mln di fatturato

Tuttavia, anche laddove l’impresa non superi tali limiti, è possibile che la stessa rientri nel perimetro NIS 2 al ricorrere di ben definiti requisiti:

    • identificata come soggetto critico ai sensi del d.lgs. 134/2024 che recepisce la Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 (Direttiva CER – Resilience of Critical Entities);
      fornitore di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico (allegato I); prestatore di servizi fiduciari (allegato I);
    • gestore di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio (allegato I);
    • fornitore di servizi di registrazione dei nomi di dominio (allegato II);
    • pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III;
    • imprese associate o collegate ad un soggetto essenziale o importante che soddisfano almeno uno dei seguenti criteri:
      • adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
      • detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
      • effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
      • forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Tali soggetti dovranno riconoscersi in base ai suddetti criteri, autoidentificarsi e manifestarsi all’Autorità nazionale competente NIS attraverso l’apposita registrazione sulla piattaforma digitale messa a disposizione da ACN (articolo 7, comma 1).

Inoltre, l’Autorità Nazionale Competente NIS (ACN) su proposta delle Autorità di settore, può identificare:

  • sulla base di una valutazione del rischio:
    • i soggetti che forniscono servizi di trasporto pubblico locale (allegato IV);
    • gli istituti di istruzione che svolgono attività di ricerca (allegato IV);
    • i soggetti che svolgono attività di interesse culturale (allegato IV);
    • le società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175 (allegato IV);
  • ulteriori soggetti, indipendentemente dalle loro dimensioni, che appartengono ai settori o alle tipologie di cui agli allegati I, II, III e IV che soddisfano almeno uno dei seguenti criteri:
    • il soggetto era stato già identificato come operatore di servizi essenziali ai sensi del decreto legislativo 18 maggio 2018, n. 65 (NIS) ossia prima della data di entrata in vigore del decreto di recepimento della NIS2;
    • il soggetto è l’unico fornitore nazionale di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali;
    • una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
    • una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
    • il soggetto è critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;
    • il soggetto è considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.

Tali soggetti, alla conclusione della procedura di identificazione di cui all’articolo 3, comma 13, riceveranno
una specifica notifica da parte dell’Autorità nazionale competente NIS e di conseguenza dovranno
successivamente registrarsi sulla piattaforma di ACN (articolo 7, comma 1)

Come funziona per i gruppi di impresa?

Il Decreto 138 afferma che i limiti dimensionali si ritengono superati al ricorrere di alcune condizioni soddisfatte da imprese associate o collegate ad altre imprese come definite nella Raccomandazione 2003/361/CE.

In particolare, per le imprese associate o collegate, i limiti di fatturato, sono determinati sulla base dei conti e di altri dati dell’impresa oppure, se disponibili, sulla base dei conti consolidati dell’impresa o di conti consolidati in cui l’impresa è ripresa tramite consolidamento.

Ai dati dell’impresa, in sostanza, si aggregano i dati delle eventuali imprese associate dell’impresa in questione, situate immediatamente a monte o a valle di quest’ultima. L’aggregazione è effettuata in proporzione alla percentuale di partecipazione al capitale o alla percentuale di diritti di voto detenuti (si sceglie la percentuale più elevata fra le due). Per le partecipazioni incrociate si applica la percentuale più elevata. Ai dati di cui al primo e al secondo comma si aggiunge il 100% dei dati relativi alle eventuali imprese direttamente o indirettamente collegate all’impresa in questione che non siano già stati ripresi nei conti tramite consolidamento.

Capire cosa si intende con impresa collegata o associate diventa quindi essenziale per capire se si applica o meno la NIS 2.

A tal riguardo, in base alla Raccomandazione 2003/361/CE, si definiscono “imprese associate“; tutte le imprese non identificabili come imprese collegate e tra le quali esiste la relazione seguente: un’impresa (impresa a monte) detiene, da sola o insieme a una o più imprese collegate ai sensi del paragrafo 3, almeno il 25 % del capitale o dei diritti di voto di un’altra impresa (impresa a valle).

Un’impresa può tuttavia essere definita autonoma, dunque priva di imprese associate, anche se viene raggiunta o superata la soglia del 25 %, qualora siano presenti le categorie di investitori elencate qui di seguito, a condizione che tali investitori non siano individualmente o congiuntamente collegati ai sensi del paragrafo 3 con l’impresa in questione:

a) società pubbliche di partecipazione, società di capitale di rischio, persone fisiche o gruppi di persone fisiche, esercitanti regolare attività di investimento in capitali di rischio (“business angels”) che investono fondi propri in imprese non quotate, a condizione che il totale investito da suddetti “business angels”; in una stessa impresa non superi 1250000 EUR;

b) università o centri di ricerca senza scopo di lucro;

c) investitori istituzionali, compresi i fondi di sviluppo regionale;

d) autorità locali autonome aventi un budget annuale inferiore a 10 milioni di EUR e meno di 5000 abitanti.

Di contro, si definiscono “imprese collegate”; le imprese fra le quali esiste una delle relazioni seguenti:

a) un’impresa detiene la maggioranza dei diritti di voto degli azionisti o soci di un’altra impresa;

b) un’impresa ha il diritto di nominare o revocare la maggioranza dei membri del consiglio di amministrazione, direzione o sorveglianza di un’altra impresa;

c) un’impresa ha il diritto di esercitare un influenza dominante su un’altra impresa in virtù di un contratto concluso con quest’ultima oppure in virtù di una clausola dello statuto di quest’ultima;

d) un’impresa azionista o socia di un’altra impresa controlla da sola, in virtù di un accordo stipulato con altri azionisti o soci dell’altra impresa, la maggioranza dei diritti di voto degli azionisti o soci di quest’ultima.

Sussiste una presunzione juris tantum che non vi sia influenza dominante qualora gli investitori di cui al paragrafo 2, secondo comma, non intervengano direttamente o indirettamente nella gestione dell’impresa in questione, fermi restando i diritti che essi detengono in quanto azionisti o soci.

Le imprese fra le quali intercorre una delle relazioni di cui al primo comma tramite una o più altre imprese, o con degli investitori di cui al paragrafo 2, sono anch’esse considerate imprese collegate.

Individuato il collegamento, ai fini dell’applicabilità della NIS 2 il Decreto 138 prevede un’ulteriore specifica:

Per determinare se un soggetto è da considerarsi una media o grande impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, si applica l’articolo 6, paragrafo 2, del medesimo allegato, salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce

Pertanto, anche ove si verificassero i suddetti requisiti di collegamento e associazione con superamento dei limiti dimensionali di cui sopra, ove l’impresa fosse nei fatti un soggetto indipendente in termini di sistemi informativi, la stessa potrebbe ritenersi esclusa dall’ambito di applicazione NIS 2.

Come funziona per le società collegate al settore pubblico?

L’allegato 4 del Decreto 138 prevede che rientrino nell’ambito NIS2 anche le “società in house”, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175.

A tal riguardo occorre precisare che la normativa italiana fornisce le seguenti definizioni:

«partecipazione»: la titolarità di rapporti comportanti la qualità di socio in società o la titolarità di strumenti finanziari che attribuiscono diritti amministrativi;

«controllo»: la situazione descritta nell’articolo 2359 del codice civile. Il controllo può sussistere anche quando, in applicazione di norme di legge o statutarie o di patti parasociali, per le decisioni finanziarie e gestionali strategiche relative all’attività sociale è richiesto il consenso unanime di tutte le parti che condividono il controllo;

Quali sono le sanzioni?

Al di là delle sanzioni amministrative pecuniarie di cui può essere destinatario l’ente (sino ad un Massimo di 10.000.000 o il 20% del fatturato globale), il decreto di recepimento della Direttiva NIS 2 introduce sanzioni accessorie che riguardano direttamente:

  • gli organi di amministrazione;
  • le persone fisiche responsabili di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso;
  • l’amministratore delegato;
  • i legali rappresentanti del soggetto essenziale o importante.

Essi, ad esempio, non potranno svolgere funzioni dirigenziali all’interno dell’ente, finché lo stesso non avrà adottato le misure necessarie a porre rimedio alle carenze riscontrate dall’Agenzia per la Cybersicurezza Nazionale, o finché non si sarà conformato alle prescrizioni indicate dalla stessa.

Consigli pratici per adeguarsi alla NIS 2

Il consiglio principale è di non sottovalutare la questione, per evitare di trovarsi impreparati davanti alle scadenze e incorrere in sanzioni. La scelta migliore è affidarsi a un partner strutturato, capace di integrare competenze tecniche e legali. Purtroppo, molti si rivolgono a professionisti che operano esclusivamente in ambito informatico o legale, commettendo un grave errore. Gli adempimenti richiesti dalla normativa, infatti, abbracciano diverse aree e non possono essere gestiti efficacemente né dal più giurista degli informatici né dal più informatico dei giuristi. Proprio per rispondere a questa esigenza, BSD Legal offre un servizio strutturato, collaborando con partner selezionati e con cui intrattiene rapporti consolidati da anni.
Questo approccio garantisce soluzioni complete e affidabili, all'altezza delle aspettative più elevate. Se
volete approfondire vi consigliamo di visitare la pagina relativa ai servizi offerti da BSD Legal a tutte le
imprese che intendono adeguarsi alla normative NIS 2.

Articoli correlati

DPO: è obbligatorio? Quali sono i suoi compiti?
Decreto whistleblowing: cosa impone?
Tutte le news