Chi rientra nell'ambito di NIS 2: il test completo dell'articolo 2
L'articolo 2 NIS 2 fissa un unico test di ambito a livello UE. Tre parti: settore (Allegato I o II), dimensione (media o superiore secondo la Raccomandazione 2003/361/CE) e le deroghe indipendenti dalla dimensione. Questa pagina percorre tutto in ordine, nel modo in cui un controllo di applicabilità deve leggerlo.
La versione breve
Esiste un unico test a livello UE per stabilire se NIS 2 vi vincola. Si trova nell'articolo 2 della Direttiva. Ha tre componenti in movimento. Settore. Dimensione. Deroga. La maggior parte delle spiegazioni copre le prime due e si ferma. La terza è dove le piccole entità vengono attratte ed è dove avvengono la maggior parte delle sorprese.
L'articolo 2(1) è il caso base. Rientrate se vi collocate in un settore elencato nell'Allegato I (settori ad alta criticità) o nell'Allegato II (altri settori critici) e siete almeno una media impresa ai sensi della Raccomandazione 2003/361/CE. L'articolo 2(2) elenca poi i casi in cui rientrate indipendentemente dalla dimensione. Telecomunicazioni, prestatori di servizi fiduciari, DNS, registri di TLD, fornitori unici di servizi essenziali, soggetti della pubblica amministrazione e alcuni altri. Essere al di sotto della soglia dimensionale non significa esserne fuori.
La Germania recepisce lo stesso test nel diritto nazionale tramite il §28 BSIG. La sostanza è identica. La meccanica (quale agenzia, quale modulo, quale scadenza) è nazionale. Eseguite il test una volta, annotate il risultato, conservatelo agli atti. Quel documento è la vostra valutazione di applicabilità.
Articolo 2(1) Direttiva NIS 2 (2022/2555)
La presente direttiva si applica a soggetti pubblici o privati di un tipo indicato nell'allegato I o II che si qualificano come medie imprese ai sensi dell'articolo 2 dell'allegato della raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese previsti al paragrafo 1 di tale articolo, e che prestano i loro servizi o svolgono le loro attività all'interno dell'Unione.
Il test base. Settore (Allegato I o II), dimensione (media o superiore), servizio prestato nell'Unione. L'articolo 2(2) aggiunge poi un elenco di casi indipendenti dalla dimensione. L'articolo 2(3) attrae le entità critiche CER. Gli articoli da 2(5) a 2(11) escludono la sicurezza nazionale, la difesa, i parlamenti, le banche centrali e il settore finanziario (DORA, lex specialis ai sensi dell'articolo 4).
Raccomandazione 2003/361/CE, allegato articolo 2
La categoria delle microimprese, delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di EUR e/o il cui totale di bilancio annuo non supera i 43 milioni di EUR.
La definizione dimensionale ufficiale dell'UE. La media impresa parte da 50 dipendenti e da almeno 10 milioni di EUR di fatturato e 10 milioni di EUR di totale di bilancio. NIS 2 vi cattura a partire dalla media in su. 'Supera i massimali per le medie' nell'articolo 2(1) significa grande impresa ai sensi della stessa Raccomandazione. Le imprese collegate e associate si aggregano, quindi una piccola controllata di una grande capogruppo conta spesso come grande.
§28 BSIG (Germania)
Besonders wichtige Einrichtungen sind Einrichtungen einer in Anlage 1 genannten Art und Größe; wichtige Einrichtungen sind Einrichtungen einer in Anlage 2 genannten Art und Größe.
La Germania suddivide le due categorie dell'UE in 'besonders wichtige' (essenziali) e 'wichtige' (importanti) Einrichtungen utilizzando gli Anlagen 1 e 2 del BSIG, che rispecchiano gli Allegati I e II della Direttiva. Le soglie dimensionali e i casi indipendenti dalla dimensione seguono il testo dell'UE. Altri Stati membri hanno le proprie leggi di recepimento (NL Cyberbeveiligingswet, AT NISG, FR ordonnance n° 2024-1184) che utilizzano lo stesso minimo UE.
Allegato I o Allegato II?
Allegato I (settori ad alta criticità, 11 settori): Energia, Trasporti, Settore bancario, Infrastrutture dei mercati finanziari, Sanità, Acqua potabile, Acque reflue, Infrastrutture digitali, Gestione dei servizi TIC (B2B, MSP e MSSP), Pubblica amministrazione, Spazio. Allegato II (altri settori critici, 7 settori): Servizi postali e di corriere, Gestione dei rifiuti, Sostanze chimiche, Alimenti, Fabbricazione (dispositivi medici, prodotti elettronici, apparecchiature elettriche, macchinari, veicoli), Fornitori digitali (mercati online, motori di ricerca, reti sociali), Ricerca. Se il vostro servizio o attività si colloca in uno dei due Allegati, passate al test dimensionale.
Media impresa o superiore?
La Raccomandazione 2003/361/CE definisce la media impresa come 50 dipendenti o più, OPPURE un fatturato di almeno 10 milioni di EUR E un totale di bilancio di almeno 10 milioni di EUR. L'articolo 2(1) vi cattura a partire dalla media in su. Si applica l'aggregazione delle imprese collegate: se una capogruppo controlla più del 50 percento dei voti, il numero di dipendenti e il fatturato vengono combinati. Una controllata di 30 persone di un gruppo di 5000 persone conta come parte dei dati di quel gruppo.
L'articolo 2(2) o 2(3) vi attrae indipendentemente dalla dimensione?
L'articolo 2(2) deroga al test dimensionale per: i fornitori di reti o servizi pubblici di comunicazione elettronica; i prestatori di servizi fiduciari (eIDAS); i registri dei nomi di TLD e i fornitori di servizi DNS (esclusi i gestori dei server radice dei nomi); i fornitori unici in uno Stato membro di un servizio essenziale per attività sociali o economiche critiche; i soggetti la cui interruzione potrebbe avere un impatto significativo sull'incolumità pubblica, la sicurezza pubblica o la salute pubblica, o indurre un rischio sistemico, o che sono critici per un settore o per settori interdipendenti; i soggetti della pubblica amministrazione. L'articolo 2(3) attrae i soggetti identificati come critici ai sensi della Direttiva CER (Resilienza dei soggetti critici). L'articolo 2(4) consente agli Stati membri di attrarre la pubblica amministrazione a livello regionale.
Il test si esegue per singola persona giuridica, non per gruppo
L'articolo 2(1) attribuisce gli obblighi all'entità, non al gruppo societario. Una struttura di holding con cinque persone giuridiche esegue il test cinque volte. L'applicabilità e gli obblighi ricadono sulla persona giuridica che rientra nell'ambito. I servizi di gruppo possono attuare le misure in modo centralizzato, ma il destinatario giuridico è l'entità. Laddove i dati delle imprese collegate cambiano la dimensione di una controllata, ciò cambia solo l'input del test dimensionale, non chi sostiene l'obbligo. Si veda anche la pagina sull'ambito di controllate e holding.
Essere al di sotto della soglia dimensionale non significa esserne fuori
L'articolo 2(2) è la trappola in cui cadono le piccole entità. I fornitori di telecomunicazioni, i prestatori di servizi fiduciari, i fornitori DNS, i registri di TLD, i fornitori unici di servizi essenziali e taluni soggetti della pubblica amministrazione sono catturati indipendentemente dalla dimensione. Un prestatore di servizi fiduciari eIDAS di cinque persone rientra. Un fornitore DNS di 20 persone rientra. Il test dimensionale vale solo per il caso base; verificate l'elenco delle deroghe prima di scrivere 'fuori ambito'.
BSI / §28 BSIG e lo strumento di applicabilità
Il BSI pubblica sul proprio sito web uno strumento 'Betroffenheitsprüfung' che percorre l'Anlage 1 e l'Anlage 2 BSIG. Le entità si auto-classificano e si registrano tramite il portale di registrazione del BSI. Il §28 BSIG suddivide l'ambito in 'besonders wichtige' (essenziali, per lo più Allegato I) e 'wichtige' (importanti, per lo più Allegato II) Einrichtungen, con massimali di sanzione diversi ai sensi del §65 BSIG.
Tracker di recepimento ENISA
ENISA, l'agenzia dell'UE per la cibersicurezza, pubblica un tracker di recepimento che mostra a che punto è ciascuno Stato membro nel recepire NIS 2 nel diritto nazionale. A maggio 2026, diversi Stati erano stati deferiti alla CGUE per recepimento tardivo. La Direttiva stessa si applica dal 18 ottobre 2024 a prescindere; la legge nazionale aggiunge solo l'apparato locale di applicazione.
Leggi nazionali di recepimento
Paesi Bassi: Cyberbeveiligingswet (NCSC come autorità competente). Austria: NISG (BMI). Francia: ordonnance n° 2024-1184 (ANSSI). Belgio: NIS2-Wet (CCB). Il test di ambito è identico perché gli Allegati I e II sono a livello UE. Ciò che differisce: i portali di registrazione, le scadenze di comunicazione ai sensi del diritto procedurale nazionale, con quale agenzia si dialoga per prima.
Abbiamo meno di 50 dipendenti, quindi NIS 2 non si applica.
Non necessariamente. L'articolo 2(2) attrae i fornitori di telecomunicazioni, servizi fiduciari, DNS, registri di TLD, i fornitori unici di servizi essenziali e taluni soggetti della pubblica amministrazione indipendentemente dalla dimensione. Un prestatore di servizi fiduciari eIDAS di quattro persone rientra. Eseguite il controllo delle deroghe prima di fermarvi alla soglia dimensionale.
Siamo un organismo del settore pubblico, quindi siamo fuori.
Dipende. L'articolo 2(2)(i) copre i soggetti della pubblica amministrazione a livello centrale e (dove lo Stato membro lo sceglie) regionale. Gli articoli da 2(5) a 2(11) escludono la sicurezza nazionale, la difesa, l'attività di contrasto, la magistratura, i parlamenti e le banche centrali, ma la maggior parte degli altri soggetti della pubblica amministrazione rientra. Il §28 BSIG tedesco e lo strumento di applicabilità del BSI mostrano il taglio locale.
La nostra controllata è piccola, quindi è fuori.
L'aggregazione delle imprese collegate ai sensi della Raccomandazione 2003/361/CE somma il numero di dipendenti e il fatturato della capogruppo ai dati della controllata quando la capogruppo controlla più del 50 percento dei voti. Una controllata di 30 persone di un gruppo di 5000 persone esegue il test dimensionale sui dati combinati, non su quelli locali. Si veda la pagina sull'ambito di controllate e holding per la regola completa.
Il test completo dell'articolo 2 richiede circa dieci minuti se lo eseguite in ordine. Prima il settore (un'occhiata agli Allegati I e II). Poi la dimensione (i vostri ultimi dati annuali più l'aggregazione delle imprese collegate se avete una capogruppo). Poi le deroghe (articolo 2(2), 2(3), 2(4) e le esclusioni da 2(5) a 2(11)). Poi il risultato. Tre pagine di appunti sono sufficienti.
Mettetelo per iscritto. Datatelo. Firmatelo. Quel documento è la vostra Anwendbarkeitsprüfung. Le autorità nazionali si aspettano che siate in grado di mostrare come siete arrivati a 'in ambito' o 'fuori ambito', non solo la conclusione. Se i dati cambiano (una fusione, una nuova linea di business, il superamento di una soglia), rieseguite il test e conservate la versione precedente. La tracciabilità della decisione conta quanto la decisione stessa.
Il controllo di applicabilità su nisd2.eu percorre l'intero albero dell'articolo 2, in ordine. Selezione del settore dagli Allegati I e II. Dimensione con aggregazione delle imprese collegate. Elenco delle deroghe dall'articolo 2(2) e 2(3). Esclusioni dall'articolo 2(5) a 2(11). L'output è una Anwendbarkeitsprüfung scritta con il vostro settore, il numero di dipendenti e i dati di fatturato, lo stato delle deroghe e la classificazione (besonders wichtig, wichtig, o fuori).
Il controllo è gratuito. Ottenete il documento come PDF e come record versionato all'interno della piattaforma. Rieseguitelo ogni volta che i vostri dati cambiano. Ogni versione è marcata temporalmente e firmata dall'utente che l'ha eseguita, così la tracciabilità è integrata.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 2 e Allegati I e II — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Raccomandazione 2003/361/CE della Commissione, definizione di micro, piccole e medie imprese — eur-lex.europa.eu/eli/reco/2003/361/oj
- Direttiva (UE) 2022/2557 (CER), resilienza dei soggetti critici — eur-lex.europa.eu/eli/dir/2022/2557/oj
- BSI-Gesetz (BSIG), §28 come modificato dal NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- BSI Betroffenheitsprüfung — bsi.bund.de/dok/nis-2-betroffenheitspruefung
- Tracker di recepimento NIS 2 di ENISA (al maggio 2026)