NIS2: sei un soggetto essenziale o importante?
“Ma io ci rientro davvero? E se ci rientro… sono essenziale o importante?”
È la prima domanda che mi sento fare. Te la sciolgo qui, in italiano vero e senza rimandarti a tre decreti. Bastano un settore, una dimensione e due minuti.
Le due categorie della NIS2
La NIS2 non divide il mondo in “dentro” e “fuori”. Chi rientra nell’ambito viene classificato in una di due categorie:
- Soggetti essenziali — quelli su cui lo Stato tiene gli occhi più aperti.
- Soggetti importanti — comunque nell’ambito, ma con una vigilanza più leggera.
Attenzione: gli obblighi di base sono uguali per entrambe. Le misure di gestione del rischio e la notifica degli incidenti significativi valgono allo stesso modo. A cambiare sono la vigilanza e le sanzioni — ci arriviamo tra poco.
Il metodo in 3 passi
1. Sei in un settore coperto?
La NIS2 elenca i settori in due allegati:
- Allegato I — settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali (cloud, data center, DNS, CDN, comunicazioni elettroniche), gestione dei servizi ICT B2B (provider gestiti), Pubblica Amministrazione, spazio.
- Allegato II — altri settori critici: servizi postali e di corriere, gestione dei rifiuti, sostanze chimiche, settore alimentare, fabbricazione (dispositivi medici, elettronica, macchinari, autoveicoli), fornitori di servizi digitali (marketplace, motori di ricerca, social network), ricerca.
Se la tua attività non ricade in nessuno dei due allegati, di norma sei fuori. Se invece la vedi qui, prosegui.
2. Superi la soglia dimensionale?
Qui entra in gioco il criterio dimensionale: nei settori elencati rientrano, in generale, solo le imprese medie e grandi (parametri della Raccomandazione 2003/361/CE):
- Media impresa: da 50 a 249 dipendenti (fatturato fino a 50 M€).
- Grande impresa: 250 dipendenti o più (oppure fatturato oltre 50 M€).
- Micro e piccola impresa (sotto i 50 dipendenti e 10 M€): di norma fuori, salvo eccezioni.
3. Incrocia settore e dimensione
Settore + dimensione ti dicono la categoria:
| Allegato I (alta criticità) | Allegato II (altri critici) | |
|---|---|---|
| Media impresa (50–249) | Soggetto importante | Soggetto importante |
| Grande impresa (≥250) | Soggetto essenziale | Soggetto importante |
Letta in una riga: sei essenziale se sei una grande impresa in un settore ad alta criticità. Negli altri casi all’interno dell’ambito sei importante.
I casi “a prescindere dalla dimensione”
Come sempre, ci sono le eccezioni. Alcuni soggetti rientrano anche se piccoli, per il ruolo che hanno: ad esempio prestatori di servizi fiduciari qualificati, gestori di registri dei nomi di dominio e DNS, alcuni fornitori di comunicazioni elettroniche, parte della Pubblica Amministrazione e i soggetti già qualificati come critici da altre normative. Se sei in una di queste nicchie, la dimensione non ti salva: verifica con attenzione.
Cosa cambia, in pratica
Sapere la categoria non è accademia. Cambia due cose concrete:
- Vigilanza. Gli essenziali sono soggetti a controlli proattivi (ispezioni e audit anche senza un incidente). Gli importanti a una vigilanza reattiva, che scatta in presenza di indizi o dopo un incidente.
- Sanzioni. Il massimale è più alto per gli essenziali che per gli importanti. In entrambi i casi parliamo di cifre che fanno male: non è un rischio da archiviare.
Quello che non cambia: misure di sicurezza, gestione degli incidenti, responsabilità degli organi di gestione e — per entrambe le categorie — l’obbligo di registrarsi sulla piattaforma ACN nella finestra annuale.
Cosa fare adesso
- Verifica la tua posizione con i 3 passi qui sopra e registrati/aggiornati sulla piattaforma ACN.
- Fai il punto sui controlli: dove sei in regola e dove hai dei gap.
- Raccogli le evidenze e tienile pronte per un eventuale audit.
I primi due passi puoi farli a mano. Sul terzo, di solito, è dove si incagliano tutti — ed è esattamente lì che ci penso io: collego i tuoi sistemi Microsoft, verifico i controlli e raccolgo le evidenze al posto tuo. Se vuoi capire da dove parte tutto, ti racconto chi sono nel post la compliance NIS2 senza fogli Excel.
Questo articolo ha scopo informativo e non costituisce consulenza legale. La classificazione definitiva dipende da una valutazione puntuale della tua azienda e dalle determinazioni dell’ACN: nel dubbio, parliamone.
Domande frequenti
- Qual è la differenza tra soggetto essenziale e soggetto importante?
- Gli obblighi di sicurezza di base e di notifica degli incidenti sono gli stessi. Cambiano due cose: la vigilanza (proattiva per gli essenziali, reattiva per gli importanti) e il massimale delle sanzioni (più alto per gli essenziali).
- Le microimprese e le piccole imprese rientrano nella NIS2?
- In linea generale no: si applica il criterio dimensionale, che fa entrare nell'ambito solo le medie e grandi imprese dei settori elencati. Esistono però eccezioni in cui si rientra a prescindere dalla dimensione (ad esempio alcuni fornitori di infrastrutture o servizi digitali critici).
- Opero in più settori degli allegati: come mi classifico?
- Conta la posizione più stringente: se anche una sola delle tue attività ti qualifica come soggetto essenziale, sei essenziale. In caso di dubbio verifica la tua posizione sulla piattaforma ACN.
- Cosa succede se non mi registro sulla piattaforma ACN?
- La registrazione nella finestra annuale è obbligatoria e la mancata registrazione è sanzionabile. Soprattutto, non registrarti non ti esonera: se rientri nell'ambito sei comunque tenuto agli obblighi della NIS2.
- Gli obblighi cambiano molto tra le due categorie?
- Le misure di gestione del rischio e gli obblighi di notifica sono i medesimi. La differenza pratica è nel regime di controllo e nell'esposizione sanzionatoria: per questo conviene sapere fin da subito in quale categoria ti trovi.
Vuoi vedere a che punto sei con la NIS2?
Nispo collega i tuoi sistemi Microsoft e verifica automaticamente i controlli. Senza questionari, senza Excel.
Prenota una demo