Sotto la NIS2 la prima domanda è sempre la stessa: sono in ambito e, se sì, come soggetto essenziale o importante? La distinzione non è formale — determina il regime di vigilanza (ex ante per gli essenziali, ex post per gli importanti) e il tetto delle sanzioni (fino al 2% del fatturato per gli essenziali, fino all’1,4% per gli importanti). In Italia la classificazione discende dagli allegati del D.Lgs. 138/2024 combinati con la regola dimensionale e va dichiarata dal soggetto stesso in fase di registrazione presso l’ACN.
Questa guida spiega come collocarsi nel regime corretto, con una tabella settoriale ed esempi italiani.
Key Takeaways
- La classificazione dipende dal settore (allegati) e dalla dimensione (soglia dei 50 dipendenti / 10 milioni di euro).
- I soggetti essenziali hanno vigilanza ex ante e sanzioni fino a 10 mln o 2% del fatturato mondiale.
- I soggetti importanti hanno vigilanza ex post e sanzioni fino a 7 mln o 1,4% del fatturato.
- Alcuni soggetti rientrano a prescindere dalla dimensione (es. fornitori di reti pubbliche, PA, DNS, registri TLD).
- La auto-classificazione dichiarata all’ACN è un atto di responsabilità, verificabile e sanzionabile se errata.
La logica: settore più dimensione
NIS2 costruisce l’ambito su due assi. Il primo è il settore: gli allegati distinguono i «settori ad alta criticità» (energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e reflue, infrastrutture digitali, gestione dei servizi ICT, PA, spazio) dagli «altri settori critici» (servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e trasformazione alimentare, fabbricazione, fornitori digitali, ricerca).
Il secondo asse è la dimensione: rientrano di norma i soggetti che superano le soglie della media impresa, ossia oltre 50 dipendenti oppure oltre 10 milioni di euro di fatturato o totale di bilancio annuo. Sotto tali soglie, di regola, si è fuori dall’ambito — salvo le eccezioni per criticità.
La tabella: chi è essenziale e chi importante
La combinazione settore-dimensione determina il regime. In prima approssimazione, i grandi soggetti dei settori ad alta criticità sono essenziali; i soggetti dimensionalmente rilevanti degli altri settori critici, e i medi dei settori ad alta criticità, sono importanti.
| Settore (esempi) | Grande impresa | Media impresa |
|---|---|---|
| Energia, trasporti, sanità, acqua, banche | Essenziale | Importante |
| Infrastrutture digitali, servizi ICT | Essenziale | Importante |
| PA centrale e regionale | Essenziale (a prescindere) | Essenziale (a prescindere) |
| Gestione rifiuti, chimica, alimentare | Importante | Importante |
| Fabbricazione (dispositivi, macchinari) | Importante | Importante |
| Fornitori digitali (marketplace, cloud, motori) | Importante | Importante |
Attenzione alle inclusioni a prescindere dalla dimensione: fornitori di reti pubbliche di comunicazione elettronica, prestatori di servizi di comunicazione accessibili al pubblico, gestori di DNS, registri dei nomi di dominio di primo livello (TLD), alcune PA e soggetti individuati come critici rientrano anche se piccoli.
Cosa cambia tra i due regimi
La differenza pratica è sostanziale e va oltre il tetto sanzionatorio.
| Profilo | Soggetti essenziali | Soggetti importanti |
|---|---|---|
| Vigilanza | Ex ante: ispezioni, audit e controlli proattivi | Ex post: intervento in presenza di indizi di violazione |
| Sanzioni | Fino a 10 mln € o 2% del fatturato mondiale | Fino a 7 mln € o 1,4% del fatturato mondiale |
| Obblighi di sicurezza | Art. 21 NIS2 (identici nella sostanza) | Art. 21 NIS2 (identici nella sostanza) |
| Notifica incidenti | 24h / 72h / relazione finale | 24h / 72h / relazione finale |
Le misure di sicurezza e gli obblighi di notifica sono nella sostanza gli stessi per entrambe le categorie: cambia soprattutto l’intensità della vigilanza. Per il dettaglio delle scadenze di notifica si veda la notifica degli incidenti ad ACN entro 24 ore, mentre il quadro generale del recepimento è nella guida alla NIS2 in Italia e al D.Lgs. 138/2024.
L’auto-classificazione dichiarata all’ACN
Il modello NIS2 è di auto-identificazione: in fase di registrazione sulla piattaforma dell’ACN il soggetto dichiara settore, attività e — di conseguenza — la propria classificazione. Non è un adempimento neutro: una classificazione errata o omessa espone a sanzioni e va documentata con un’analisi difendibile. Conviene conservare traccia della valutazione (settore, soglie, eventuali inclusioni a prescindere dalla dimensione) come si fa per il registro dei trattamenti nel GDPR.
Molti soggetti scoprono di rientrare non per la propria attività principale ma per un ramo secondario o per il ruolo di fornitore critico di un altro soggetto in ambito: la sicurezza della catena di fornitura estende di fatto il perimetro. Chi tratta anche dati personali dovrà coordinare l’inquadramento NIS2 con quello del GDPR, come illustra il confronto NIS2 vs GDPR.
Legiscope supporta la documentazione dell’auto-classificazione e il registro delle misure; per valutare gli strumenti disponibili è utile la panoramica sul software per la conformità NIS2.
Effetto a cascata sulla catena di fornitura
Uno degli aspetti più sottovalutati è che la NIS2 estende la propria pressione oltre i soggetti direttamente in ambito. I soggetti essenziali e importanti devono presidiare la sicurezza della propria catena di fornitura: valutano i fornitori, impongono requisiti contrattuali di sicurezza e verificano le loro pratiche. In concreto, un’azienda che di per sé non rientra nell’ambito NIS2 può trovarsi a dover rispettare requisiti stringenti perché è fornitore critico di un soggetto essenziale.
Questo effetto a cascata cambia il calcolo per molte PMI tecnologiche: anche se non superate le soglie dimensionali, se fornite software o servizi ICT a una banca, a un ospedale o a un operatore energetico, i vostri clienti in ambito NIS2 vi chiederanno garanzie di sicurezza, clausole contrattuali e talvolta audit. Prepararsi per tempo diventa un vantaggio commerciale, non solo un obbligo.
Errori frequenti nell’inquadramento
Nella pratica ricorrono alcuni errori di classificazione da evitare:
- Guardare solo l’attività principale: un soggetto può rientrare per un ramo secondario che ricade in un settore critico.
- Ignorare le inclusioni a prescindere dalla dimensione: operatori di reti pubbliche, DNS, registri TLD e alcune PA rientrano anche se piccoli.
- Confondere gruppo e singola entità: la valutazione dimensionale segue regole precise sul calcolo di dipendenti e fatturato a livello di impresa.
- Non documentare l’analisi: l’auto-classificazione non scritta è indifendibile in sede di verifica.
In caso di dubbio, la scelta prudente è documentare un’analisi difendibile e, dove il confine è incerto, propendere per l’inclusione: restare fuori per errore espone a sanzioni ben più gravi dell’onere di conformarsi.
FAQ
Come faccio a sapere se sono un soggetto essenziale o importante?
Incrociate due elementi: il settore in cui operate (allegati del D.Lgs. 138/2024) e la vostra dimensione. In linea generale, i grandi soggetti dei settori ad alta criticità sono essenziali; i medi di quei settori e i soggetti degli altri settori critici sono importanti. Alcune categorie rientrano a prescindere dalla dimensione.
Qual è la soglia dimensionale per rientrare nella NIS2?
La soglia coincide con quella della media impresa: oltre 50 dipendenti oppure oltre 10 milioni di euro di fatturato o totale di bilancio annuo. Sotto queste soglie si è di norma fuori ambito, salvo inclusioni specifiche per soggetti critici come operatori di reti pubbliche, DNS, registri TLD e alcune PA.
Gli obblighi di sicurezza sono diversi per essenziali e importanti?
No, nella sostanza sono gli stessi: entrambe le categorie applicano le misure dell’art. 21 NIS2 e gli stessi obblighi di notifica. Cambia il regime di vigilanza — ex ante per gli essenziali, ex post per gli importanti — e il tetto massimo delle sanzioni.
Chi decide la mia classificazione?
Il soggetto stesso, tramite auto-classificazione dichiarata in fase di registrazione sulla piattaforma ACN. È una dichiarazione di responsabilità, verificabile dall’Agenzia: una classificazione errata o l’omessa registrazione costituiscono violazioni sanzionabili. Conviene documentare l’analisi che la sostiene.
Fonti ufficiali: Agenzia per la Cybersicurezza Nazionale · Direttiva (UE) 2022/2555 (NIS2) su EUR-Lex
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial