Il 28 Febbraio scade l’ultimo termine che il D.Lgs. 138/2024 ha stabilito per la registrazione sulla piattaforma digitale dell’Autorità italiana designata come competente per l’applicazione della cosiddetta Direttiva NIS2.
Si tratta di una Normativa Europea (2022/2555), recepita in Italia lo scorso ottobre, che ha definito una serie di nuove regole, volte a garantire un livello elevato di protezione delle reti e dei sistemi informativi, per contrastare i rischi cibernetici che minacciano il funzionamento efficace dell’economia e della società.
Il perimetro dei soggetti interessati è abbastanza ampio e determinato tendenzialmente in base ad un duplice criterio: limite dimensionale e settore di attività.
In applicazione del primo criterio, in generale, la norma si rivolge principalmente alle imprese che possano definirsi di medie dimensioni, secondo i criteri europei (Raccomandazione 2003/361/CE), vale a dire con almeno 50 unità lavorative ed un fatturato o bilancio annuo totale superiore a 10 milioni di Euro, con l’avvertenza che, in caso di gruppi di imprese, il conteggio deve essere effettuato prendendo in considerazione anche i dati proporzionati delle imprese associate e collegate.
In base al secondo criterio, l’attività esercitata deve rientrare fra quelle menzionati negli Allegati I e II del Decreto (vedi Tabelle sotto riportate*)
Ci sono, poi, alcuni ambiti che ricadono all’interno del nuovo Decreto prescindendo dalla soglia dimensionale, come i fornitori di servizi di comunicazione elettronica accessibili al pubblico e di registrazione dei nomi di dominio ed altri soggetti identificati come “critici” dall’Agenzia Nazionale per la cybersecurity per l’essenzialità del servizio svolto o per l’impatto che potrebbe avere una perturbazione del servizio erogato su sicurezza, incolumità, salute pubblica.
| Settore | Dettaglio | Grandi imprese | Medie imprese | Piccole e micro imprese |
|---|---|---|---|---|
| SETTORI ALTAMENTE CRITICI | ||||
| Energia | 19 tipologie di soggetto | Essenziali | Importanti * | Fuori ambito ** |
| Trasporti | 10 tipologie di soggetto | |||
| Settore bancario | DORA Lex specialis | |||
| Infrastrutture dei mercati finanziari | ||||
| Settore sanitario | 5 tipologie di soggetto | |||
| Acqua potabile | 1 tipologia di soggetto | |||
| Acque reflue | 1 tipologia di soggetto | |||
| Infrastrutture digitali | 9 tipologie di soggetto | |||
| Gestione dei servizi TIC (b2b) | 2 tipologie di soggetto | Importanti * | Fuori ambito ** | |
| Spazio | 1 tipologia di soggetto | |||
| SETTORI CRITICI | ||||
| Servizi postali e di corriere | 1 tipologia di soggetto | Importanti * | Fuori ambito ** | |
| Gestione dei rifiuti | 1 tipologia di soggetto | |||
| Fabbricazione, produzione e distribuzione di sostanze chimiche | 1 tipologia di soggetto | |||
| Produzione, trasformazione e distribuzione di alimenti | 1 tipologia di soggetto | |||
| Fabbricazione | 6 tipologie di soggetto | |||
| Fornitori di servizi digitali | 4 tipologie di soggetto | |||
| Ricerca | 2 tipologie di soggetto | Importanti * | Fuori ambito ** | |
| ULTERIORI TIPOLOGIE DI SOGGETTI | ||||
| Pubblica Amministrazione centrale | 4 categorie di PA | Essenziali | ||
| Pubblica Amministrazione regionale e locale | 11 categorie di PA | Importanti * | ||
| Ulteriori tipologie di soggetti | 4 tipologie di soggetti | Identificazione dell’Autorità | ||
È bene precisare che l’individuazione dei soggetti tenuti all’applicazione della normativa è tutt’altro che semplice e soltanto attraverso le numerose FAQ pubblicate dell’Autorità competente nelle ultime settimane è stato possibile mettere a fuoco molteplici casistiche che inizialmente erano di assai ostica interpretazione.
Alla fine del mese scade dunque l’ultimo termine per registrarsi sulla Piattaforma dell’Autorità, prima tappa per adempiere alla normativa sopra citata.
La mancata registrazione è una violazione sanzionata in via pecuniaria amministrativa con un importo fino al massimo di 0.1% del fatturato annuo del soggetto.
Se hai dei dubbi che la tua impresa possa essere soggetta alla normativa, puoi chiedere informazioni al seguente punto di contatto: Dott.ssa Giulia Ibba, Ufficio Giuridico–Legislativo–Privacy, e-mail: gibba@ra.cna.it; tel. 0544/298622
