"La mia azienda è coinvolta dalla NIS2?" — è la prima domanda che ogni imprenditore italiano dovrebbe porsi. La risposta dipende dal settore in cui operate, dalla dimensione dell'azienda e dal ruolo che svolgete nella catena di fornitura. Ecco la guida completa per orientarvi.
I due livelli: essenziali e importanti
La NIS2 classifica i soggetti in due categorie con obblighi e regime di vigilanza diversi.
Settori ad alta criticità (Allegato I) — Soggetti essenziali
Questi settori sono soggetti alla vigilanza proattiva dell'ACN. Le sanzioni arrivano fino a 10M€ / 2% del fatturato.
1. Energia
| Sotto-settore | Esempi di soggetti | |---------------|-------------------| | Elettricità | Produttori, gestori di rete, distributori (Enel, Terna, A2A) | | Petrolio | Operatori oleodotti, raffinerie, stoccaggio | | Gas | Distributori, operatori GNL, gestori di rete (Snam, Italgas) | | Idrogeno | Produttori e distributori | | Teleriscaldamento | Operatori reti di calore |
2. Trasporti
| Sotto-settore | Esempi di soggetti | |---------------|-------------------| | Aereo | Compagnie aeree, gestori aeroportuali (Aeroporti di Roma, SEA) | | Ferroviario | Gestori infrastruttura, imprese ferroviarie (RFI, Trenitalia, Italo) | | Marittimo | Compagnie di navigazione, porti (Autorità portuali) | | Stradale | Gestori autostrade, sistemi di trasporto intelligente (Autostrade per l'Italia) |
3. Settore bancario
Enti creditizi secondo il regolamento UE 575/2013. Include tutte le banche italiane vigilate dalla Banca d'Italia e dalla BCE.
4. Infrastrutture dei mercati finanziari
Gestori di sedi di negoziazione e controparti centrali (Borsa Italiana, Cassa di Compensazione e Garanzia).
5. Sanità
| Soggetto | Criterio | |----------|----------| | Ospedali e ASL | Prestatori di assistenza sanitaria | | Laboratori di analisi UE | Laboratori di riferimento | | Produttori farmaceutici | Dispositivi medici critici | | Aziende farmaceutiche | Ricerca e produzione |
6. Acqua potabile
Fornitori e distributori di acqua destinata al consumo umano (acquedotti comunali, multiutility).
7. Acque reflue
Imprese che raccolgono, smaltiscono o trattano acque reflue urbane o industriali.
8. Infrastrutture digitali
| Soggetto | Esempi | |----------|--------| | Fornitori di punti di interscambio Internet (IXP) | MIX Milano, NaMeX Roma | | Fornitori di servizi DNS | Operatori DNS autoritativi | | Registri di nomi di dominio TLD | Registro.it | | Fornitori di servizi cloud | Data center italiani | | Fornitori CDN | Content Delivery Networks | | Prestatori di servizi fiduciari | Fornitori firma digitale (InfoCert, Aruba PEC) | | Fornitori di reti pubbliche | Operatori telecomunicazioni (TIM, Vodafone, WindTre) |
9. Gestione dei servizi TIC (B2B)
Fornitori di servizi gestiti (MSP) e di sicurezza gestiti (MSSP). Se gestite l'infrastruttura IT di altre aziende, siete probabilmente coinvolti.
10. Pubblica amministrazione
Enti della pubblica amministrazione centrale. L'AgID coordina l'applicazione per questo settore in collaborazione con l'ACN.
11. Spazio
Operatori di infrastrutture terrestri che supportano servizi spaziali (ASI, centri di controllo).
Settori critici (Allegato II) — Soggetti importanti
Vigilanza reattiva dell'ACN. Sanzioni fino a 7M€ / 1,4% del fatturato.
12. Servizi postali e di corriere
Fornitori di servizi postali e di corriere, inclusi i servizi di consegna pacchi (Poste Italiane, corrieri privati).
13. Gestione dei rifiuti
Imprese di raccolta, trasporto, trattamento e smaltimento dei rifiuti (escluse le acque reflue).
14. Fabbricazione, produzione e distribuzione di sostanze chimiche
Industria chimica di base, specialità chimiche, prodotti per l'agricoltura.
15. Produzione, trasformazione e distribuzione di alimenti
Industria alimentare e grande distribuzione organizzata (Barilla, Ferrero, COOP, Esselunga).
16. Fabbricazione
| Sotto-settore | Esempi | |---------------|--------| | Dispositivi medici | Produttori e distributori | | Computer e prodotti elettronici | Componentistica, assemblaggio | | Apparecchiature elettriche | Motori, trasformatori | | Macchinari e apparecchiature | Industria meccanica | | Veicoli a motore | Automotive (Stellantis e supply chain) | | Altri mezzi di trasporto | Aerospaziale, nautica, ferroviario |
17. Fornitori di servizi digitali
| Soggetto | Esempi | |----------|--------| | Mercati online | E-commerce, marketplace | | Motori di ricerca | Servizi di ricerca online | | Piattaforme social | Social network |
18. Ricerca
Organizzazioni di ricerca il cui scopo principale è la ricerca applicata o lo sviluppo sperimentale (CNR, INFN, politecnici).
Il criterio dimensionale
La NIS2 prevede una soglia dimensionale per escludere le micro e piccole imprese:
| Criterio | Soglia di esclusione | |----------|---------------------| | Dipendenti | < 50 | | Fatturato annuo | < 10M€ | | Bilancio annuo | < 10M€ |
Ma attenzione — ci sono eccezioni importanti. Siete coinvolti a prescindere dalla dimensione se:
- Siete fornitori di servizi DNS, registri TLD, fornitori di servizi fiduciari
- Siete l'unico fornitore di un servizio essenziale in uno Stato membro
- Una perturbazione del vostro servizio potrebbe avere un impatto sulla sicurezza pubblica
- Siete identificati come critici da una valutazione nazionale del rischio
Come verificare se siete nel perimetro
Autodiagnosi in 5 domande
- Il vostro settore è nell'elenco sopra?
- La vostra dimensione supera le soglie (50 dipendenti o 10M€)?
- Siete fornitori di un soggetto essenziale?
- L'ACN vi ha notificato l'inclusione nel perimetro?
- Operate in infrastrutture digitali o servizi fiduciari?
Se la risposta è sì ad almeno una domanda, dovete approfondire.
Registrazione presso l'ACN
L'ACN ha predisposto una piattaforma di registrazione per i soggetti NIS2. La registrazione è obbligatoria e prevede:
- Comunicazione dei dati identificativi
- Dichiarazione del settore di appartenenza
- Elenco dei servizi erogati
- Punti di contatto per la gestione degli incidenti
Conclusione
Il perimetro NIS2 è ampio e va oltre i settori "tradizionalmente critici". La catena di fornitura, le infrastrutture digitali e i servizi gestiti portano nel perimetro migliaia di aziende italiane che non erano coperte dalla NIS1. Se avete dubbi, meglio una verifica in più che una sanzione in meno.
Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.