• italian
  • lawyer
  • tech
  • crypto
  • nerd
Loaded

Cybersicurezza e NIS2: scopri se sei un soggetto obbligato

NIS2 soggetti obbligati

 

La Direttiva (UE) 2022/2555 (NIS2) ha ampliato in modo significativo l’insieme di organizzazioni tenute ad adottare misure di cybersicurezza, a gestire correttamente gli incidenti e a presidiare la sicurezza della catena di fornitura. In Italia, la NIS2 è stata recepita con il D.Lgs. 138/2024, che disciplina criteri, obblighi e procedure (inclusa la registrazione sulla piattaforma ACN).

Se vuoi una valutazione rapida (e documentabile) della tua posizione e dei passi operativi, il team Pixlex può supportarti con un assessment mirato nell’ambito dei servizi Privacy & Cybersecurity.

Come capire in pochi minuti se potresti essere obbligato

In linea generale, potresti rientrare nel perimetro NIS2 se:

  1. Operi in uno dei settori rilevanti (es. energia, trasporti, sanità, infrastrutture digitali, servizi ICT, gestione rifiuti, alimentare, manifattura in ambiti specifici, PA in determinate categorie) e superi determinate soglie dimensionali; oppure

  2. Sei una Pubblica Amministrazione ricompresa nelle categorie interessate, anche indipendentemente dalla dimensione (in base ai criteri applicabili); oppure

  3. Sei un’impresa collegata a un soggetto essenziale o importante e ricadi nei casi previsti dall’art. 3, comma 10 del D.Lgs. 138/2024 (ad es. influenza dominante sulla gestione del rischio, gestione di sistemi da cui dipende il servizio, operazioni di sicurezza, fornitura di servizi ICT/sicurezza).

Attenzione! In caso di dubbio, conviene muoversi “come se” si rientrasse nel perimetro: i requisiti NIS2 impattano governance, controlli e supply chain. Per un supporto end-to-end (applicabilità, gap analysis, misure, compliance), vedi Privacy & Cybersecurity.

Cos’è la NIS2 (e cosa cambia in Italia)

La NIS2 introduce un quadro europeo comune in materia di cybersicurezza che punta a rafforzare la resilienza dei settori strategici e ridurre l’impatto degli incidenti. Il recepimento italiano (D.Lgs. 138/2024) rende operativi, tra gli altri, obblighi su:

  • misure di gestione del rischio (tecniche, organizzative e operative);

  • gestione e notifica degli incidenti significativi;

  • sicurezza della supply chain e dei fornitori;

  • formazione (personale e management) e presidio della governance.

Chi sono i “soggetti obbligati”: essenziali e importanti

La normativa distingue tra:

Soggetti essenziali

Sono sottoposti a una vigilanza più rigorosa e tipicamente devono adottare misure più avanzate, con controlli più incisivi da parte delle autorità competenti.

Soggetti importanti

Sono soggetti a obblighi in larga parte analoghi, ma con un modello di supervisione tendenzialmente meno preventivo e più orientato a verifiche successive e interventi in caso di violazioni o segnalazioni.

Nota pratica: la qualificazione come “essenziale” o “importante” incide sia sull’intensità degli obblighi sia sul regime sanzionatorio. Per questo è utile una valutazione strutturata dell’inquadramento e dei processi minimi da implementare (governance, risk management, incident response, supply chain). Pixlex supporta questi percorsi nella practice Privacy & Cybersecurity.

Registrazione ACN: chi deve farla e quando

I soggetti obbligati devono registrarsi (o aggiornare i dati) sulla piattaforma digitale resa disponibile dall’ACN tra il 1 gennaio e il 28 febbraio di ogni anno.

Sulla base delle informazioni trasmesse, l’ACN determina e comunica entro il 31 marzo:

  • l’inserimento nell’elenco dei soggetti essenziali o importanti;

  • la permanenza negli elenchi;

  • l’eventuale esclusione.

Dati da fornire/aggiornare (fase successiva)

Dal 15 aprile al 31 maggio, tramite piattaforma ACN, i soggetti inseriti negli elenchi aggiornano almeno:

  • spazio di indirizzamento IP pubblico e domini in uso/disponibilità;

  • (se applicabile) Stati membri in cui si erogano servizi rilevanti;

  • responsabili e contatti;

  • sostituto del punto di contatto.

Per alcuni fornitori specifici possono essere richieste anche informazioni su sedi UE e, se extra-UE, sul rappresentante nell’Unione.

Attenzione: la qualifica può cambiare nel tempo (dimensioni e M&A)

Un aspetto spesso sottovalutato è che l’inquadramento NIS2 può mutare:

  1. Da “importante” a “essenziale” (ad esempio, se cambiano dimensioni o perimetro di attività).

  2. Da escluso a obbligato (tipicamente dopo operazioni di M&A o ampliamenti del business verso settori rilevanti).

In questi casi è fondamentale aggiornare in modo tempestivo l’analisi di applicabilità e allineare misure, contratti e presidi operativi (in particolare sulla supply chain). Per un supporto integrato legale + organizzativo, puoi fare riferimento ai servizi Privacy & Cybersecurity.

Implicazioni per PMI e fornitori: quando la NIS2 può “arrivare” anche fuori perimetro

Anche se molte PMI non rientrano automaticamente nel campo di applicazione, gli obblighi possono estendersi alle imprese collegate o ai fornitori che, in concreto, incidono sulla sicurezza del soggetto essenziale/importante. In particolare, l’art. 3, comma 10 del D.Lgs. 138/2024 considera rilevanti, tra gli altri, i casi in cui un’azienda:

  • esercita influenza dominante sulle decisioni di gestione del rischio;

  • gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi;

  • effettua operazioni di sicurezza informatica per il soggetto;

  • fornisce servizi ICT o di sicurezza (anche gestiti) al soggetto.

Per i software vendor e i fornitori ICT, questo significa che può diventare necessario dimostrare standard e controlli coerenti con le aspettative NIS2, soprattutto in contesti di supply chain “critica”.

Aziende extra-UE: rappresentante nell’Unione e comunicazioni ad ACN

Le aziende che operano nell’Unione europea ma hanno sede fuori dall’UE, se rientrano nel perimetro NIS2, possono dover designare un rappresentante nell’Unione e comunicarne i dati all’ACN. La corretta impostazione di questo adempimento è essenziale per ridurre rischi di non conformità e gestione inefficiente delle comunicazioni con l’Autorità.

Cosa fare adesso: checklist operativa (7 passi)

  1. Identifica settore e servizi effettivamente erogati (mappatura attività).

  2. Verifica dimensioni (soglie applicabili) e struttura del gruppo.

  3. Analizza i rapporti di collegamento/controllo e i casi art. 3, co. 10 (imprese collegate).

  4. Valuta se esistono profili da PA o enti assimilabili secondo i criteri applicabili.

  5. Prepara la registrazione/aggiornamento ACN (dati, contatti, domini, IP, Stati membri).

  6. Esegui una gap analysis su misure minime: risk management, incident response, supply chain, formazione.

  7. Attiva un piano di adeguamento con priorità e governance.

Se vuoi rendere questo percorso rapido e “audit-ready”, Pixlex può affiancarti con un assessment e un piano di adeguamento nell’ambito della practice Privacy & Cybersecurity.

FAQ 

Come faccio a sapere se sono un soggetto obbligato NIS2?

Verifica (i) settore di attività, (ii) dimensioni, (iii) eventuale qualifica PA, (iv) collegamenti e ruoli nella supply chain (anche come impresa collegata). Se c’è incertezza, conviene svolgere un’analisi di applicabilità documentata.

Chi decide se sono “essenziale” o “importante”?

La qualificazione viene determinata dall’ACN sulla base delle informazioni trasmesse e dei criteri previsti dal recepimento nazionale.

Quando devo registrarmi sulla piattaforma ACN?

La finestra ordinaria è dal 1 gennaio al 28 febbraio (registrazione o aggiornamento dati). Successivamente sono previsti ulteriori aggiornamenti informativi in finestre annuali.

Le PMI sono sempre escluse?

Non necessariamente: alcuni casi (es. impresa collegata o ruoli critici nella sicurezza/supply chain) possono determinare l’applicazione di obblighi anche indipendentemente dalla dimensione.

Cosa succede se faccio una fusione o acquisizione?

Operazioni di M&A possono modificare settore, perimetro e dimensioni e quindi far scattare (o intensificare) gli obblighi. È consigliabile inserire controlli NIS2 già in due diligence e nel piano di integrazione post-deal.

Facebook
Telegram
LinkedIn
WhatsApp

    Prev
    Determina ACN 9 febbraio 2026: tassonomia degli incidenti e obblighi di segnalazione NIS2
    Next
    Synthesis and Future Prospects on the Convergence of Blockchain and Artificial Intelligence
    • No Comments
    Comments are closed.