Servizio Clienti
Home / Blog

Direttiva NIS 2: i soggetti destinatari

Sicurezza Informatica

La Direttiva NIS 2 entra in vigore: a chi si rivolge ? Quali sono i soggetti destinatari delle disposizioni normative ? Quali imprese devono tassativamente seguire le indicazioni previste dal testo di legge ?

In questo articolo approfondiamo l’insieme delle entità coinvolte dalla normativa comunitaria in materia di sicurezza delle reti e dei sistemi informativi.

Scopriremo che non riguarda solo le pubbliche amministrazioni e le aziende medio-grandi ma tutte le imprese coinvolte dalla filiera di fornitura. La battaglia si combatte tutti insieme. Scopriamo perché !

L’ambito di applicazione della Direttiva NIS 2

Per iniziare a definire il perimetro dei soggetti interessati, guardiamo l’articolo 2.

Articolo 2 – Ambito di applicazione

La presente direttiva si applica ai soggetti pubblici o privati delle tipologie di cui all’allegato I o II che sono considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione

Dunque medie e grandi imprese che prestano servizi nell’Unione Europea dei settori descritti dagli allegati I e II.

Ecco i settori dell’allegato I:

  • Energia, elettricità, petrolio, gas naturale, idrogeno
  • Trasporti (aerei, ferroviari, marittimi, stradali)
  • Banche e Infrastrutture del mercato finanziario
  • Salute e sanità inclusi ospedali e cliniche private
  • Approvvigionamento idrico (acqua potabile inclusa la catena di distribuzione e acque reflue)
  • Amministrazione pubblica
  • Industria spaziale
  • ICT Service Management (B to B legato al mondo ICT)
  • Infrastrutture digitali (inclusi data center services providers, cloud computing services providers, electronic communication services, internet exchange point…)
  • Produzione di prodotti farmaceutici (inclusi i vaccini)

Questi i settori dell’allegato II:

  • Gestione dei rifiuti
  • Servizi postali e corrieri
  • Ricerca
  • Produzione, lavorazione, distribuzione alimenti
  • Industria chimica
  • Fabbricazione:
    • Medical devices & in vitro medical devices
    • Computer, prodotti elettronici ed ottici
    • Apparecchiature elettroniche
    • Macchinari ed attrezzature
    • Veicoli a motore e altri mezzi di trasporto
  • Digital Providers

Le medie e grandi imprese dei settori sopra citati sono direttamente coinvolti.

I fornitori di servizi essenziali

L’elenco fornito dagli allegati I e II non è completo, guardiamo ancora l’articolo 2:

  1. La presente direttiva si applica anche ai soggetti, indipendentemente dalle loro dimensioni, delle tipologie di cui all’allegato I o II qualora:
    a) i servizi siano forniti da:
    i) fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico;
    ii) prestatore di servizi di fiducia;
    iii) registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
    b) il soggetto sia l’unico fornitore in uno Stato membro di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
    c) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
    d) una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
    e) il soggetto sia critico in ragione della sua particolare importanza a livello nazionale regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nello Stato membro;
    f) il soggetto è un ente della pubblica amministrazione:
    i) dell’amministrazione centrale quale definito da uno Stato membro conformemente al diritto nazionale; o
    ii) a livello regionale quale definito da uno Stato membro conformemente al diritto nazionale che, a seguito di una valutazione basata sul rischio, fornisce servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche.
  2. La presente direttiva si applica ai soggetti, indipendentemente dalle loro dimensioni, identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557.
  3. La presente direttiva si applica ai soggetti, indipendentemente dalle loro dimensioni, che forniscono servizi di registrazione dei nomi di dominio.
  4. Gli Stati membri possono prevedere che la presente direttiva si applichi a:
    a) enti della pubblica amministrazione a livello locale;
    b) istituti di istruzione, in particolare ove svolgano attività di ricerca critiche.

Indipendentemente dalla dimensione, la Direttiva NIS 2 coinvolge espressamente pubbliche amministrazioni, soggetti critici, fornitori di servizi di registrazione dei nomi a dominio, fornitori unici di servizi essenziali e tutti quei soggetti sui quali una perturbazione del servizio fornito potrebbe comportare un rischio significativo per la vita economica e sociale dei paesi membri.

Dunque, la NIS 2 si applica anche alle aziende con meno di 50 dipendenti se forniscono un servizio essenziale in uno Stato membro, se il loro servizio è cruciale per la sicurezza pubblica, la sicurezza o la salute.

Soggetti essenziali e importanti

La Direttiva NIS 2 chiarisce quanto gli oneri debbano essere proporzionali ai rischi cibernetici ed agli impatti sulla società. Pertanto individua due grandi categorie di destinatari denominati Soggetti essenziali e importanti con compiti diversi per ciascuno di essi.

Articolo 3 – Soggetti essenziali e importanti

  1. Ai fini della presente direttiva, sono considerati soggetti essenziali i seguenti:
    a) soggetti di cui all’allegato I che superano i massimali per le medie imprese di cui all’articolo 2, paragrafo 1, dell’allegato della raccomandazione 2003/361/CE;
    b) prestatori di servizi fiduciari qualificati e registri dei nomi di dominio di primo livello, nonché prestatori di servizi DNS, indipendentemente dalle loro dimensioni;
    c) fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese ai sensi dell’articolo 2, dell’allegato alla raccomandazione 2003/361/CE;
    d) i soggetti della pubblica amministrazione di cui all’articolo 2, paragrafo 2, lettera f), punto i);
    e) qualsiasi altro soggetto di cui all’allegato I o II che uno Stato membro identifica come soggetti essenziali ai sensi dell’articolo 2, paragrafo 2, lettere da b) a e);
    f) soggetti identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557, di cui all’articolo 2, paragrafo 3 della presente direttiva;
    g) se lo Stato membro lo prevede, i soggetti che tale Stato membro ha identificato prima del 16 gennaio 2023 come operatori di servizi essenziali a norma della direttiva (UE) 2016/1148 o del diritto nazionale.
  2. Ai fini della presente direttiva, sono considerati soggetti importanti i soggetti di una tipologia elencata negli allegati I o II che non sono considerati soggetti essenziali ai sensi del paragrafo 1 del presente articolo. Ciò comprende soggetti identificati dagli Stati membri come soggetti importanti ai sensi dell’articolo 2, paragrafo 2, lettere da b) a e);

In sintesi: sono Soggetti essenziali le grandi imprese dell’allegato I, rientrano nei Soggetti importanti tutti gli altri.

La catena di fornitura

Elenco terminato ? Per niente ! Guardiamo cosa dice l’articolo 21. Tutta la catena di fornitori è coinvolta.

Articolo 21 – Misure di gestione dei rischi di cibersicurezza

  1. Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.
    Tenuto conto delle conoscenze più aggiornate in materia e, se del caso, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione, le misure di cui al primo comma assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di
    esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.
  2. Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:
    a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
    b) gestione degli incidenti;
    c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
    d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;

Eccola qui, la catena di approvvigionamento. La celebre Supply-Chain. I fornitori di terze parti dei soggetti essenziali e importanti. Per dirla in breve: tutto il tessuto produttivo è coinvolto.

Concludendo

Rientri nell’ambito di applicazione ? Non preoccuparti, nei prossimi articoli ti spieghiamo cosa fare !

Interessato ? Dubbi ? Contattaci !