La fase attuativa prevede una serie di adempimenti destinati all’imprese (vedi anche Direttiva NIS 2: quali adempimenti richiede alle aziende) definiti con l’obiettivo di rendere le organizzazioni in grado di resistere a un numero sempre crescente di attacchi informativi.
Quali sono, dunque, le aziende che saranno tenute ad applicarli?
La nuova direttiva NIS 2 amplia il numero di soggetti coinvolti
L’attuale normativa abroga la precedente direttiva 2016/1148, recepita con Decreto legislativo 65 del 2018, e in vigore fino a pochi mesi. Tra le principali novità emerge che la direttiva NIS 2 richiede un’analisi dei rischi, prevede misure di sicurezza adeguate alla capacità di spesa delle aziende, e risulta applicabile a un numero maggiore di soggetti.
Aziende che operano in un settore merceologico ad alta criticità
La normativa distingue tra soggetti essenziali e soggetti importanti. Se nella prima categoria rientrano le imprese che operano in settori ad alta criticità, nella seconda rientrano quelle aziende che operano in altri settori critici. L’elenco dei settori merceologici sono definiti negli allegati 1 e 2, che stabiliscono la necessità – per queste realtà – di innalzare gli standard di sicurezza informatica, e che comprendono un’ampia serie di settori (infrastrutture digitali, trasformazione e distribuzione di alimenti, mercato energetico, gestione dei rifiuti, acqua…).
Tali società saranno tenute dunque ad applicare la normativa, registrandosi in maniera autonoma sulla piattaforma dedicata.
Imprese che superano la dimensione di “piccola impresa”
Il decreto di recepimento definisce, tra i requisiti, i limiti dimensionali delle aziende coinvolte, che devono risultare “superiori a una PMI”, individuando in tali limiti:
Un organico che supera i 50 dipendenti
Un fatturato (o bilancio annuo) superiore ai 10 mln di euro
Le aziende che superano congiuntamente tali requisiti saranno dunque interessate agli adempimenti che la NIS 2 introduce, e dovranno dunque elevare i livelli di sicurezza informatica, applicare le misure di gestione del rischio nelle tre principali aree che la direttiva individua: governance, risk management e verifica della supply chain (come visto nell’articolo sui nuovi adempimenti previsti dalla Direttiva NIS 2).
CERCHI IL SUPPORTO DI UN TEAM ESPERTO? PROSSIAMO AIUTARTI.
E riceverai tutte le informazioni di cui hai bisogno
Quali sono le aziende interessate dagli adempimenti NIS 2?
Se nella precedente normativa (NIS 1) i settori coinvolti erano 8, la nuova direttiva NIS 2 si applica a 25 settori, 10 dei quali definiti come altamente critici.
Settori ad alta criticità (come previsto dall’Allegato I)
Energia
Trasporti
Settore bancario
Infrastrutture dei mercati finanziari
Sanità
Acqua potabile
Acque reflue
Infrastrutture digitali
Gestione dei servizi TIC
Spazio
Settori critici (come previsto dall’Allegato II)
Servizi postali e di corriere
Gestione dei rifiuti
Fabbricazione, produzione e distribuzione di sostanze chimiche
Produzione, trasformazione e distribuzione di alimenti
Fabbricazione
Ricerca
Amministrazioni centrali, regionali e locali e altre tipologie
Gli Allegati III e IV riguardano tutti i soggetti pubblici a cui la direttiva NIS 2 si applica. Tali allegati definiscono le categorie delle pubbliche amministrazioni, e soggetti altri, che sono interessati dalle novità introdotte dalla NIS 2, per cui non si applica il requisito dimensionale: tali enti dovranno infatti ottemperare agli adempimenti a prescindere dalla loro dimensione.
Le amministrazioni centrali, regionali e locali individuate dal decreto sono le seguenti.
Il principio di gradualità nell’individuazione di nuove categorie
Nel decreto si precisa che l’elenco delle categorie è soggetto ad aggiornamenti da parte dell’Autorità nazionale competente (ACN), che, con gradualità, si riserva di individuare nuove categorie di pubbliche amministrazioni in maniera coerente con variazione del tasso di rischio della pubblica amministrazione, impatto sociale ed economico, e la probabilità che possano verificarsi incidenti.
In questo caso sarà l’ACN stessa a notificare i soggetti individuati su tali basi, affinché possano procedere con la registrazione e la messa in atto degli adempimenti previsti.