NIS2Compliance

Chi è soggetto a NIS2 in Italia (e chi non è esente come pensa)

Settori essenziali, importanti, soglie dimensionali e i casi-borderline (catene di fornitura, gestori IT) che spesso credono di essere fuori scope.

2 min di lettura

TL;DR

NIS2 in Italia (D.Lgs. 138/2024) si applica a circa 20.000-40.000 entità dirette in 18 settori, divise in essenziali e importanti. La maggior parte degli MSP italiani è dentro per via della catena di fornitura.

Il criterio di applicabilità

Tre condizioni vanno verificate:

  1. Settore: essere in uno dei 18 settori dell'allegato I (essenziali) o II (importanti).
  2. Dimensione: medio-grande (50+ dipendenti o fatturato > 10M €) — alcune eccezioni per microimprese in settori specifici.
  3. Territorio: avere stabilimento in Italia o offrire servizi in Italia.

Tre sì = soggetti a NIS2.

I 18 settori

Essenziali (Allegato I)

Energia, trasporti, settore bancario, infrastrutture finanziarie, sanità, acqua potabile, acque reflue, infrastruttura digitale, gestione servizi ICT, pubblica amministrazione, spazio.

Importanti (Allegato II)

Servizi postali e di corriere, gestione rifiuti, prodotti chimici, alimentare, manifatturiero (specifici), provider digitali, ricerca.

I casi borderline

MSP che fornisce servizi a entità essenziali

Tecnicamente l'MSP non è in lista, ma se gestisce DR, sicurezza o cloud per un cliente NIS2, ricade nella catena di fornitura: il cliente vi chiederà attestazioni e SLA cyber. In pratica = soggetto.

Aziende manifatturiere

Dipende dalla NACE. Manifattura di "prodotti critici" (es. chimica, dispositivi medici, alcuni alimentari) rientra. Il manifatturiero generico no.

Cloud provider

I cloud provider sono in "infrastruttura digitale" — essenziali sopra una certa soglia.

Studi professionali

In genere fuori, eccetto se forniscono servizi a entità essenziali con dati critici.

Cosa fare per verificare

  1. Identificare il proprio codice NACE.
  2. Confrontare con allegati I e II.
  3. Verificare la soglia dimensionale.
  4. Verificare se siete fornitori critici di entità essenziali.

In caso di dubbio: registrazione cautelativa al portale ACN. Costa zero, riduce il rischio.

FAQ

Le PMI sotto 50 dipendenti sono fuori?

In genere sì, salvo essere in settori dove "tutte le entità" sono soggette (es. registri TLD, infrastrutture digitali specifiche).

Le società extra-UE che operano in Italia?

Sì se offrono servizi sul territorio italiano. Devono nominare un rappresentante.

Le filiali italiane di multinazionali?

Sì, se la filiale è autonoma fiscalmente e supera le soglie.

Per le sanzioni e le deadline, NIS2: deadline e sanzioni. Per il rapporto con GDPR, NIS2 vs GDPR.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo