NIS2: quali organizzazioni in Europa sono interessate e cosa devono fare

La direttiva NIS2 (2022/2555) amplia considerevolmente il campo di applicazione della regolamentazione in materia di cybersicurezza nell'UE. In Italia, l'ACN (Agenzia per la Cybersicurezza Nazionale) è l'autorità nazionale competente.

I 18 settori coperti

I settori altamente critici (allegato I) comprendono energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, fornitori di servizi ICT, pubblica amministrazione e spazio. I settori critici (allegato II) includono servizi postali, gestione dei rifiuti, chimica, alimentare, fabbricazione, fornitori digitali e ricerca.

Criteri dimensionali

Le entità con almeno 50 dipendenti o un fatturato superiore a 10 milioni di euro che operano in un settore coperto rientrano nell'ambito di applicazione. I soggetti essenziali sono le grandi organizzazioni nei settori altamente critici; i soggetti importanti sono le organizzazioni di medie dimensioni di tutti i settori coperti.

Principali obblighi

La conformità si basa sulla governance della cybersicurezza, la gestione del rischio, la sicurezza della catena di approvvigionamento e la notifica degli incidenti all'ACN — avviso iniziale entro 24 ore, relazione completa entro 72 ore.

*Questo articolo è solo a scopo informativo e non costituisce consulenza legale.*