EU 2022/2555

Cos'è NIS2?

La Direttiva UE 2022/2555 sulla cibersicurezza, la più importante revisione della regolamentazione UE in materia di cibersicurezza dal 2016.

Simon OrzelSimon Orzel·Laufend geprüft

Panoramica

La Direttiva NIS2 (Direttiva (UE) 2022/2555) è il quadro aggiornato dell'Unione Europea per raggiungere un livello comune elevato di cibersicurezza in tutti gli Stati membri. Sostituisce la Direttiva NIS originaria del 2016.

NIS2 amplia notevolmente l'ambito di applicazione della regolamentazione UE in materia di cibersicurezza: da circa 10.000 soggetti sotto NIS1 a una stima di 160.000 in tutta Europa. Nella sola Germania sono interessate all'incirca 29.500 imprese.

La direttiva impone misure armonizzate di gestione del rischio, obblighi di segnalazione degli incidenti e requisiti di sicurezza della catena di approvvigionamento. Introduce la responsabilità personale degli organi di gestione e sanzioni significativamente più elevate in caso di non conformità.

Date chiave
DataEvento
27 dicembre 2022La Direttiva NIS2 è pubblicata nella Gazzetta ufficiale dell'UE
16 gennaio 2023NIS2 entra in vigore a livello UE
17 ottobre 2024Termine per gli Stati membri per il recepimento nel diritto nazionale
17 aprile 2025Termine per gli Stati membri per istituire i registri dei soggetti
17 ottobre 2027La Commissione europea riesamina il funzionamento della direttiva
Vedi la cronologia completa di NIS2
NIS1 vs NIS2
AspettoNIS1 (2016)NIS2 (2022)
Ambito di applicazione~10.000 soggetti nell'UE~160.000 soggetti nell'UE
Settori7 settori18 settori (11 ad alta criticità + 7 altri settori critici)
Classificazione dei soggettiOperatori di servizi essenziali (OES) + fornitori di servizi digitaliSoggetti essenziali + Soggetti importanti (in base alla dimensione)
SanzioniStabilite dagli Stati membri, molto variabiliArmonizzate: fino a 10 mln EUR o al 2% del fatturato mondiale
Responsabilità degli organi di gestioneNon disciplinataResponsabilità personale degli organi di gestione
Segnalazione degli incidentiSenza indebito ritardoRigida cascata 24h / 72h / 1 mese
Catena di approvvigionamentoNon disciplinataValutazione obbligatoria della sicurezza della catena di approvvigionamento
VigilanzaLasciata agli Stati membriProattiva (soggetti essenziali) + reattiva (soggetti importanti)

18 settori interessati

Allegato I: settori ad alta criticità
I soggetti di grandi dimensioni in questi settori sono classificati come essenziali (soggetti essenziali). I soggetti di medie dimensioni sono classificati come importanti.
  1. 01Energia (energia elettrica, teleriscaldamento/teleraffrescamento, petrolio, gas, idrogeno)
  2. 02Trasporti (aereo, ferroviario, per vie d'acqua, su strada)
  3. 03Settore bancario
  4. 04Infrastrutture dei mercati finanziari
  5. 05Sanità (ospedali, settore farmaceutico, dispositivi medici, laboratori di riferimento)
  6. 06Acqua potabile
  7. 07Acque reflue
  8. 08Infrastrutture digitali (DNS, TLD, cloud, data center, CDN, telecomunicazioni)
  9. 09Gestione dei servizi ICT, B2B (MSP, MSSP)
  10. 10Pubblica amministrazione
  11. 11Spazio
Allegato II: altri settori critici
I soggetti in questi settori sono classificati come importanti, indipendentemente dal fatto che siano di medie o grandi dimensioni.
  1. 01Servizi postali e di corriere
  2. 02Gestione dei rifiuti
  3. 03Sostanze chimiche (fabbricazione, produzione, distribuzione)
  4. 04Prodotti alimentari (commercio all'ingrosso, produzione industriale, trasformazione)
  5. 05Fabbricazione (dispositivi medici, prodotti elettronici, apparecchiature elettriche, macchinari, autoveicoli, altri mezzi di trasporto)
  6. 06Fornitori digitali (mercati online, motori di ricerca, reti sociali)
  7. 07Organizzazioni di ricerca
Soglie dimensionali
NIS2 utilizza la definizione UE di PMI. La classificazione è determinata dal numero di dipendenti OPPURE dai parametri finanziari (per il test finanziario devono essere superati SIA il fatturato SIA lo stato patrimoniale).
DimensioneDipendentiSoglia finanziariaAmbito NIS2
Grande≥ 250> 50 mln EUR di fatturato E > 43 mln EUR di stato patrimonialeRientra nell'ambito
Media≥ 50 (e < 250)> 10 mln EUR di fatturato E > 10 mln EUR di stato patrimonialeRientra nell'ambito
Piccola< 50≤ 10 mln EUR di fatturato E ≤ 10 mln EUR di stato patrimonialeGeneralmente fuori ambito

Determinati tipi di soggetti rientrano nell'ambito indipendentemente dalla dimensione, compresi i fornitori di DNS, i registri dei nomi TLD, i prestatori di servizi fiduciari qualificati, gli operatori KRITIS e i prestatori esclusivi di servizi essenziali.

Obblighi chiave in sintesi
  • Attuare 10 misure obbligatorie di gestione del rischio di cibersicurezza
  • Segnalare gli incidenti significativi entro 24h / 72h / 1 mese
  • Gli organi di gestione devono approvare, sorvegliare ed essere formati sulla cibersicurezza
  • Valutare e gestire i rischi di cibersicurezza nella catena di approvvigionamento
  • Registrarsi presso l'autorità nazionale competente
  • Conservare le evidenze di conformità (audit per gli operatori KRITIS ogni 3 anni)