La Direttiva (UE) 2022/2555, nota come “Direttiva NIS 2”, entrata in vigore il 16 gennaio 2023, verrà recepita dagli Stati Membri entro il 17 ottobre 2024. La normativa ha l’obiettivo di raggiungere una strategia cyber comune a tutti gli stati membri, aumentando i livelli di sicurezza dei servizi digitali in tutta l’area UE.

Entro la data stabilita la normativa italiana di recepimento fornirà indicazioni puntuali per quel che concerne l’ambito di applicazione soggettivo e le misure tecniche di dettaglio che le società dovranno implementare. Per questo, il 10 giugno 2024 il Consiglio dei Ministri ha approvato in via preliminare la bozza di decreto legislativo di recepimento della direttiva europea, nel quale sono previsti i seguenti punti fondamentali.

A CHI SI APPLICA LA NIS2?

Sulla base delle disposizioni ad oggi note, le aziende italiane che saranno chiamate ad applicare la NIS2 dovranno possedere – congiuntamente – i seguenti requisiti:

1. Operare in un settore merceologico ad alta criticità.

La direttiva, negli allegati 1 e 2 (https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555&from=EN), individua i soggetti che operano in settori ad alta criticità (soggetti essenziali) e in altri settori critici (soggetti importanti). In tali allegati, sono elencati i settori merceologici a cui verrà imposto l’innalzamento degli standard di cibersicurezza: i settori sono alquanto eterogenei: mercato energetico, acqua potabile, acque reflue, infrastrutture digitali, gestione dei rifiuti, fabbricazione, trasformazione e distribuzione di alimenti, ecc.

La bozza di decreto conferma i settori merceologici già individuati in direttiva, aggiungendo un ulteriore adempimento: le società che ricadono nell’applicazione della normativa dovranno registrarsi in autonomia in un’apposita piattaforma.

2. Superare la dimensione di “piccola impresa”

UPDATE D.LGS. N. 138/2024: il decreto di recepimento amplia la categoria dei destinatari. La normativa si applica a chi supera, congiuntamente, i limiti dimensionali di PMI previsti dall’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE”: “Nella categoria delle PMI si definisce piccola impresa un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EU“.

Ergo, la NIS 2 dovrà essere rispettata dalle aziende che, congiuntamente, impiegano più di 50 dipendenti ed hanno un fatturato o bilancio annuo maggiore di 10 milione di Euro.

I soggetti che, secondo i criteri sopracitati, ricadono nel perimetro della direttiva dovranno innalzare i propri livelli di cybersicurezza. La direttiva indica le misure di gestione del rischio di cibersicurezza delineando tre principali aree di intervento: governance, risk management e verifica della supply chain. 

La Direttiva (UE) 2022/2555, nota come “Direttiva NIS 2”, entrata in vigore il 16 gennaio 2023, verrà recepita dagli Stati Membri entro il 17 ottobre 2024. La normativa ha l’obiettivo di raggiungere una strategia cyber comune a tutti gli stati membri, aumentando i livelli di sicurezza dei servizi digitali in tutta l’area UE.

Entro la data stabilita la normativa italiana di recepimento fornirà indicazioni puntuali per quel che concerne l’ambito di applicazione soggettivo e le misure tecniche di dettaglio che le società dovranno implementare. Per questo, il 10 giugno 2024 il Consiglio dei Ministri ha approvato in via preliminare la bozza di decreto legislativo di recepimento della direttiva europea, nel quale sono previsti i seguenti punti fondamentali.

A CHI SI APPLICA LA NIS2?

Sulla base delle disposizioni ad oggi note, le aziende italiane che saranno chiamate ad applicare la NIS2 dovranno possedere – congiuntamente – i seguenti requisiti:

1. Operare in un settore merceologico ad alta criticità.

La direttiva, negli allegati 1 e 2 (https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555&from=EN), individua i soggetti che operano in settori ad alta criticità (soggetti essenziali) e in altri settori critici (soggetti importanti). In tali allegati, sono elencati i settori merceologici a cui verrà imposto l’innalzamento degli standard di cibersicurezza: i settori sono alquanto eterogenei: mercato energetico, acqua potabile, acque reflue, infrastrutture digitali, gestione dei rifiuti, fabbricazione, trasformazione e distribuzione di alimenti, ecc.

La bozza di decreto conferma i settori merceologici già individuati in direttiva, aggiungendo un ulteriore adempimento: le società che ricadono nell’applicazione della normativa dovranno registrarsi in autonomia in un’apposita piattaforma.

2. Superare la dimensione di “piccola impresa”

UPDATE D.LGS. N. 138/2024: il decreto di recepimento amplia la categoria dei destinatari. La normativa si applica a chi supera, congiuntamente, i limiti dimensionali di PMI previsti dall’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE”: “Nella categoria delle PMI si definisce piccola impresa un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EU“.

Ergo, la NIS 2 dovrà essere rispettata dalle aziende che, congiuntamente, impiegano più di 50 dipendenti ed hanno un fatturato o bilancio annuo maggiore di 10 milione di Euro.

I soggetti che, secondo i criteri sopracitati, ricadono nel perimetro della direttiva dovranno innalzare i propri livelli di cybersicurezza. La direttiva indica le misure di gestione del rischio di cibersicurezza delineando tre principali aree di intervento: governance, risk management e verifica della supply chain.