Maggio 2024

La Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cybersecurity nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (Direttiva NIS 2), testo rilevante ai fini del SEE.

La Direttiva (UE) 2022/2555, è in vigore dal 17 gennaio 2023. Da quel momento in poi, gli Stati membri dell’Unione europea hanno a disposizione 21 mesi per adottare e pubblicare i relativi atti nazionali di recepimento (17 ottobre 2024).

 OGGETTO

  1. La direttiva stabilisce misure volte a garantire un livello comune elevato di CYBERSECURITY nell’Unione Europea in modo da migliorare il funzionamento del mercato interno
  2. A tal fine, la direttiva stabilisce:
  1. obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cybersecurity e di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica (CSIRT);
  2. misure in materia di gestione dei rischi di cybersecurity e obblighi di segnalazione per i soggetti di un tipo di cui all’allegato I o II nonché per soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557;
  3. norme e obblighi in materia di condivisione delle informazioni sulla cybersecurity;
  4. obblighi in materia di vigilanza ed esecuzione per gli Stati membri.

 LE MISURE TECNICHE

La Direttiva NIS2 prevede che gli Stati Membri debbano fare in modo che le società rientranti nel suo ambito di applicazione debbano “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.”

Secondo la direttiva queste misure tecniche, operative ed organizzative devono comprendere almeno quanto segue:

  1. policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
  2. sistemi di gestione degli incidenti;
  3. sistemi di business continuity, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
  4. misure di gestione della sicurezza della supply chain;
  5. la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
  6. policy e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
  7. pratiche di igiene informatica di base [i.e., regole fondamentali per garantire la cybersecurity] e formazione in materia di sicurezza informatica;
  8. policy e procedure relative all’uso della crittografia e, se del caso, della cifratura crittografia;
  9. misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset; e
  10. l’uso di soluzioni di autenticazione a più fattori [i.e., la c.d. multi-factor authentication] o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.

Quindi esiste un principio generale di adeguatezza delle misure da adottare, ma gli Stati Membri devono specificare ulteriormente gli obblighi e la direttiva stessa già prevede un elenco alquanto dettagliato di misure minime.

SUPPLY CHAIN

Inoltre, la direttiva prevede che nell’analisi della adeguatezza delle misure di sicurezza si debba tener conto anche delle misure adottate dai fornitori delle società rientranti nell’ambito della Direttiva NIS2. Questo rappresenta un argomento di notevole rilievo già attualmente per le aziende che sono fornitrici delle società rientranti nel perimetro di sicurezza nazionale perché gli obblighi in materia di cybersecurity si estendono indirettamente anche a loro.

LA GESTIONE DEL RISCHIO: LA NORMA ISO 27001

Il framework NIS2 per la prima volta introduce requisiti di governance espliciti, che richiedono al management dei soggetti obbligati di approvare e supervisionare le misure di gestione del rischio cyber e di presidiare la formazione sulla sicurezza delle informazioni. Per quanto riguarda la gestione del rischio cyber, la direttiva NIS2 richiede che le misure siano “appropriate” e “proporzionate” in relazione anche alla dimensione dei soggetti; tuttavia, essa aggiunge una serie di elementi minimi di sicurezza che devono essere previsti in ogni caso, e che saranno stabiliti mediante specifiche tecniche e metodologiche emanate dalla Commissione Europea. Tra gli elementi di novità, NIS2 introduce requisiti espliciti per gestire i rischi di terzi nelle catene di approvvigionamento e nelle relazioni con i fornitori (supply chain security). Inoltre, NIS2 prevede che i soggetti possano (e alcuni soggetti essenziali debbano) dimostrare la propria conformità ottenendo la certificazione della cybersecurity prevista dal recente Regolamento UE 2019/881, noto come EU Cybersecurity Act. Nel 2021 l’EU Cybersecurity Act si è concretizzato con le prime proposte da parte dell’ENISA di schemi di certificazione europea di prodotto in ambito cybersecurity. Il primo di essi, riguarda i prodotti ICT e si chiama EUCC (Common Criteria based European candidate cybersecurity certification scheme): esso si basa sullo schema internazionale dei Common Criteria ISO/IEC 15408. Sono in sviluppo un secondo schema che copre i servizi cloud (EUCS) e un terzo sulle reti 5G (EU5G). Gli schemi di certificazione industriali, come ISO27001, BSI C5 (Germania), SecNumCloud (Francia), CSA Cloud Controls Matrix, NIST 800-53, SOC 2 Trust Services Criteria e PCI DSS, non sono di competenza dell’ENISA ma potranno essere proposti e approvati come schemi formali europei di certificazione della cybersecurity per servizi e per processi.

Su questo tema, diviene opportuno un raffronto con gli obiettivi delle certificazioni internazionali per i sistemi di gestione, in primis la norma sui sistemi di gestione della sicurezza delle informazioni ISO/IEC27001:2022 e il codice di pratica per la gestione della sicurezza delle informazioni ISO/IEC 27002:2022. Quest’ultimo, aggiornato di recente e con un focus ancora più esplicito sulla cybersecurity e sulla protezione dei dati personali, propone una serie di controlli operativi, intesi come misure che l’organizzazione attua al fine di mantenere o modificare il rischio sulla sicurezza delle informazioni. I controlli sono classificati in quattro macrotemi che coincidono con i tradizionali pilastri a cui è associata la sicurezza delle informazioni: controlli organizzativi, fisici, tecnologici e delle persone. L’approccio risk-based si conferma requisito sistematico, strutturato e proattivo per la governance di un’organizzazione secondo ISO27001. Inoltre, il ciclo di pianificazione, preparazione, valutazione e decisione nel gestire gli incidenti di sicurezza delle informazioni, la prontezza dell’ICT per la continuità aziendale, il monitoraggio delle minacce (threat intelligence) e la segnalazione di eventi di sicurezza sono gli aspetti più innovativi previsti dal novellato codice di pratica ISO 27002 e valutati in sede di certificazione di un’organizzazione.

Tali norme possono pertanto rappresentare un valido riferimento sul piano tecnico e metodologico per il percorso di adeguamento richiesto ai soggetti essenziali e importanti, ma anche per le eventuali garanzie di accountability esigibili dai soggetti coinvolti nelle loro supply chain.

AMBITO DI APPLICAZIONE

  1. La presente direttiva si applica ai soggetti pubblici o privati delle tipologie di cui all’allegato I o II che sono considerati medie imprese* ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione Europea.

L’articolo 3, paragrafo 4**, dell’allegato a tale raccomandazione non si applica ai fini della presente direttiva.

  1. La presente direttiva si applica anche ai soggetti, indipendentemente dalle loro dimensioni, delle tipologie di cui all’allegato I o II (in fondo al documento) qualora:
  2. a) i servizi siano forniti da:
  1. fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico;
  2. prestatore di servizi di fiducia;
  3. registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  1. b) il soggetto sia l’unico fornitore in uno Stato membro di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
  2. c) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
  3. d) una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
  4. e) il soggetto sia critico in ragione della sua particolare importanza a livello nazionale regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nello Stato membro;
  5. f) il soggetto è un ente della pubblica amministrazione:
  6. dell’amministrazione centrale quale definito da uno Stato membro conformemente al diritto nazionale; o
  7. livello regionale quale definito da uno Stato membro conformemente al diritto nazionale che, a seguito di una valutazione basata sul rischio, fornisce servizi la cui perturbazione                 potrebbe avere un impatto significativo su attività sociali o economiche critiche.
  8. La presente direttiva si applica ai soggetti, indipendentemente dalle loro dimensioni, identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557.
  9. La presente direttiva si applica ai soggetti, indipendentemente dalle loro dimensioni, che forniscono servizi di registrazione dei nomi di dominio.
  10. Gli Stati membri possono prevedere che la presente direttiva si applichi a:
  11. enti della pubblica amministrazione a livello locale;
  12. istituti di istruzione, in particolare ove svolgano attività di ricerca critiche.
  13. La presente direttiva lascia impregiudicata la responsabilità degli Stati membri di tutelare la sicurezza nazionale e il loro potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell’integrità territoriale dello Stato e il mantenimento dell’ordine pubblico.
  14. La presente direttiva non si applica agli enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza o della difesa, del contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati.
  15. Gli Stati membri possono esentare soggetti specifici che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o del contrasto, compresi la prevenzione, l’indagine, l’accertamento e il perseguimento di reati, o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui al paragrafo 7 del presente articolo, dal rispetto degli obblighi di cui all’articolo 21 o all’articolo 23 per quanto riguarda tali attività o servizi. In tali casi, le misure di vigilanza e di applicazione di cui al capo VII non si applicano in relazione a tali attività o servizi specifici. Qualora i soggetti svolgano attività o prestino servizi esclusivamente del tipo di cui al presente paragrafo, gli Stati membri possono anche decidere di esentare tali enti dagli obblighi di cui agli articoli 3 e 27.
  16. I paragrafi 7 e 8 non si applicano quando un soggetto agisce in qualità di prestatore di servizi fiduciari.
  17. La presente direttiva non si applica ai soggetti che gli Stati membri hanno esentato dall’ambito di applicazione del regolamento (UE) 2022/2554 ai sensi dell’articolo 2, paragrafo 4, di tale regolamento.
  18. Gli obblighi stabiliti nella presente direttiva non comportano la fornitura di informazioni la cui divulgazione sia contraria agli interessi essenziali degli Stati membri in materia di sicurezza nazionale, pubblica sicurezza o difesa.
  19. La presente direttiva si applica fatti salvi il regolamento (UE) 2016/679, la direttiva 2002/58/CE, le direttive 2011/93/UE(27). (27) Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).e 2013/40/UE(28). (28)Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pag. 8). del Parlamento europeo e del Consiglio e la direttiva (UE) 2022/2557.
  20. Fatto salvo l’articolo 346 TFUE, le informazioni riservate ai sensi della normativa dell’Unione o nazionale, quale quella sulla riservatezza commerciale, sono scambiate con la Commissione e con altre autorità competenti conformemente alla presente direttiva solo nella misura in cui tale scambio sia necessario ai fini dell’applicazione della presente direttiva. Le informazioni scambiate sono limitate alle informazioni pertinenti e commisurate a tale scopo. Lo scambio di informazioni tutela la riservatezza di dette informazioni e protegge la sicurezza e gli interessi commerciali di soggetti interessati. IT Gazzetta ufficiale dell’Unione europea 27.12.2022 L 333/109.
  21. I soggetti, le autorità competenti, i punti di contatto unici e i CSIRT trattano i dati personali nella misura necessaria ai fini della presente direttiva e conformemente al regolamento (UE) 2016/679, in particolare tale trattamento si basa sull’articolo 6 dello stesso. Il trattamento dei dati personali a norma della presente direttiva da parte dei fornitori di reti pubbliche di comunicazione elettronica o dei fornitori di comunicazioni elettroniche accessibili al pubblico viene effettuato in conformità della legislazione dell’Unione in materia di protezione dei dati e della legislazione dell’Unione in materia di riservatezza, segnatamente la direttiva 2002/58/CE.

MISURE DI VIGILANZA E DI ESECUZIONE RELATIVE A SOGGETTI ESSENZIALI

  1. Gli Stati membri provvedono affinché le misure di vigilanza o di esecuzione imposte ai soggetti essenziali per quanto riguarda gli obblighi di cui alla presente direttiva siano effettive, proporzionate e dissuasive, tenuto conto delle circostanze di ciascun singolo caso.
  2. Gli Stati membri provvedono affinché le autorità competenti, nell’esercizio dei rispettivi compiti di vigilanza nei confronti dei soggetti importanti, abbiano il potere di sottoporre tali soggetti come minimo a:
  1. ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati;
  2. audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un’autorità competente;
  3. audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale;
  4. d) scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato;
  5. richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cybersecurity adottate dal soggetto interessato, comprese le politiche di cybersecurity documentate, nonché il rispetto dell’obbligo di trasmettere informazioni alle autorità competenti a norma dell’articolo 27;
  6. richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza;
  7. richieste di dati che dimostrino l’attuazione di politiche di cybersecurity, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova.

Gli audit sulla sicurezza mirati di cui al primo comma, lettera b), si basano su valutazioni del rischio effettuate dall’autorità competente o dal soggetto sottoposto ad audit o su altre informazioni disponibili in materia di rischi. I risultati di eventuali audit sulla sicurezza mirati sono messi a disposizione dell’autorità competente. I costi di tale audit sulla sicurezza mirato svolto da un organismo indipendente sono a carico del soggetto sottoposto ad audit, salvo in casi debitamente giustificati in cui l’autorità competente decida altrimenti.

SANZIONI (CONDIZIONI GENERALI)

Soggetti essenziali: sanzioni pecuniarie amministrative pari a un massimo di almeno 10 000 000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore.

Soggetti importanti: sanzioni pecuniarie amministrative pari a un massimo di almeno 7 000 000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto importante appartiene, se tale importo è superiore.

ALLEGATO I
SETTORI AD ALTA CRITICITÀ

  1. ENERGIA
  2. a) Energia Elettrica
  • Impresa elettrica quale definita all’articolo 2, punto 57), della direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio(1)che esercita attività di «fornitura» quale definita all’articolo 2, punto 12), di tale direttiva
  • Gestori del sistema di distribuzione quali definiti all’articolo 2, punto 29), della direttiva (UE) 2019/944
  • Gestori del sistema di trasmissione quali definiti all’articolo 2, punto 35), della direttiva (UE) 2019/944
  • Produttori quali definiti all’articolo 2, punto 38), della direttiva (UE) 2019/944
  • Gestori del mercato elettrico designato quali definiti all’articolo 2, punto 8), del regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio(2)
  • Partecipanti al mercato dell’energia elettrica quali definiti all’articolo 2, punto 25), del regolamento (UE) 2019/943 che forniscono servizi di aggregazione, gestione della domanda o stoccaggio di energia quali definiti all’articolo 2, punti 18), 20) e 59) della direttiva (UE) 2019/944
  • Gestori di un punto di ricarica responsabili della gestione e del funzionamento di un punto di ricarica che fornisce un servizio di ricarica a utenti finali, anche in nome e per conto di un fornitore di servizi di mobilità
  1. b) Teleriscaldamento e teleraffrescamento

Gestori di teleriscaldamento o teleraffrescamento quali definiti all’articolo 2, punto 19), della direttiva (UE) 2018/2001 del Parlamento europeo e del Consiglio(3).

  1. c) Petrolio
  • Gestori di oleodotti
  • Gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio
  • Organismi centrali di stoccaggio quali definiti all’articolo 2, lettera f), della direttiva 2009/119/CE del Consiglio(4)
  1. d) Gas
  • Imprese fornitrici quali definite all’articolo 2, punto 8), della direttiva 2009/73/CE del Parlamento europeo e del Consiglio(5)
  • Gestori del sistema di distribuzione quali definiti all’articolo 2, punto 6), della direttiva 2009/73/CE
  • Gestori del sistema di trasporto quali definiti all’articolo 2, punto 4), della direttiva 2009/73/CE
  • Gestori dell’impianto di stoccaggio quali definiti all’articolo 2, punto 10), della direttiva 2009/73/CE
  • Gestori del sistema GNL quali definiti all’articolo 2, punto 12), della direttiva 2009/73/CE
  • Imprese di gas naturale quali definite all’articolo 2, punto 1), della direttiva 2009/73/CE
  • Gestori di impianti di raffinazione e trattamento di gas naturale
  1. e) Idrogeno

Gestori di impianti di produzione, stoccaggio e trasporto di idrogeno

  1. TRASPORTI
  2. Trasporto aereo
  • Vettori aerei quali definiti all’articolo 3, punto 4), del regolamento (CE) n. 300/2008 utilizzati a fini commerciali
  • Gestori aeroportuali quali definiti all’articolo 2, punto 2), della direttiva 2009/12/CE del Parlamento europeo e del Consiglio(6), aeroporti quali definiti all’articolo 2, punto 1), di tale direttiva, compresi gli aeroporti centrali di cui all’allegato II, sezione 2, del regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio(7), e soggetti che gestiscono impianti annessi situati in aeroporti
  • Operatori attivi nel controllo della gestione del traffico che forniscono un servizio di controllo del traffico aereo quali definiti all’articolo 2, punto 1), del regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio(8)
  1. Trasporto ferroviario
  •  Gestori dell’infrastruttura quali definiti all’articolo 3, punto 2), della direttiva 2012/34/UE del Parlamento europeo e del Consiglio(9)
  • Imprese ferroviarie quali definiti all’articolo 3, punto 1), della direttiva 2012/34/UE, compresi gli operatori degli impianti di servizio quali definiti all’articolo 3, punto 12), di tale direttiva
  1. Trasporto per vie d’acqua
  • Compagnie di navigazione per il trasporto per vie d’acqua interne, marittimo e costiero di passeggeri e merci quali definite per il trasporto marittimo all’allegato I del regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio(10), escluse le singole navi gestite da tale compagnia
  • Organi di gestione dei porti quali definiti all’articolo 3, punto 1), della direttiva 2005/65/CE del Parlamento europeo e del Consiglio(11), compresi i relativi impianti portuali quali definiti all’articolo 2, punto 11), del regolamento (CE) n. 725/2004, e soggetti che gestiscono opere e attrezzature all’interno di porti
  • Gestori di servizi di assistenza al traffico marittimo (VTS) quali definiti all’articolo 3, lettera o), della direttiva 2002/59/CE del Parlamento europeo e del Consiglio(12)
  1. Trasporto su strada
  •  Autorità stradali quali definite all’articolo 2, punto 12), del regolamento delegato (UE) 2015/962 della Commissione(13)responsabili del controllo della gestione del traffico, esclusi i soggetti pubblici per i quali la gestione del traffico o la gestione di sistemi di trasporto intelligenti costituiscono soltanto una parte non essenziale della loro attività generale
  • Gestori di sistemi di trasporto intelligenti quali definiti all’articolo 4, punto 1), della direttiva 2010/40/UE del Parlamento europeo e del Consiglio(14)
  1. SETTORE BANCARIO

Enti creditizi quali definiti all’articolo 4, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio(15)

  1. INFRASTRUTTURE DEI MERCATI FINANZIARI
  • Gestori delle sedi di negoziazione quali definiti all’articolo 4, punto 24), della direttiva 2014/65/UE del Parlamento europeo e del Consiglio(16)
  • Controparti centrali (CCP) quali definite all’articolo 2, punto 1), del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio(17)
  1. SETTORE SANITARIO
  • Prestatori di assistenza sanitaria quali definiti all’articolo 3, lettera g), della direttiva 2011/24/UE del Parlamento europeo e del Consiglio (18)
  • Laboratori di riferimento dell’UE quali definiti all’articolo 15 del regolamento (UE) 2022/2371 del Parlamento europeo e del Consiglio (19)
  • Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali quali definiti all’articolo 1, punto 2), della direttiva 2001/83/CE del Parlamento europeo e del Consiglio(20)
  • Soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici di cui alla sezione C, divisione 21, della NACE Rev. 2
  • Soggetti che fabbricano dispositivi medici considerati critici durante un’emergenza di sanità pubblica (elenco dei dispositivi critici per l’emergenza di sanità pubblica) di cui all’articolo 22 del regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio (21)
  1. ACQUA POTABILE

Fornitori e distributori di acque destinate al consumo umano, quali definiti all’articolo 2, punto 1, lettera a), della direttiva (UE) 2020/2184 del Parlamento europeo e del Consiglio(22), ma esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione di altri prodotti e beni.

  1. ACQUE REFLUE

Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali quali definite all’articolo 2, punti da 1), 2) e 3), della direttiva 91/271/CEE del Consiglio(23), escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, domestiche o industriali è una parte non essenziale della loro attività generale.

  1. INFRASTRUTTURE DIGITALI
  • Fornitori di punti di interscambio internet
  • Fornitori di servizi DNS, esclusi gli operatori dei server dei nomi radice
  •  Registri dei nomi di dominio di primo livello (TLD)
  • Fornitori di servizi di cloud computing
  • Fornitori di servizi di data center
  • Fornitori di reti di distribuzione dei contenuti (content delivery network)
  • Fornitori di servizi fiduciari
  • Fornitori di reti pubbliche di comunicazione
  • Fornitori di servizi di comunicazione elettronica accessibili al pubblico
  1. GESTIONE DEI SERVIZI TIC (business-to-business)
  • Fornitori di servizi gestiti
  • Fornitori di servizi di sicurezza gestiti
  1. PUBBLICA AMMINISTRAZIONE
  • Enti della pubblica amministrazione delle amministrazioni centrali quali definiti da uno Stato membro conformemente al diritto nazionale
  • Enti della pubblica amministrazione a livello regionale quali definiti da uno Stato membro conformemente al diritto nazionale
  1. SPAZIO

Operatori di infrastrutture terrestri possedute, gestite e operate dagli Stati membri o da privati, che sostengono la fornitura di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica.

Allegato II ALTRI SETTORI CRITICI

  1. SERVIZI POSTALI E DI CORRIERE

Fornitori di servizi postali quali definiti all’articolo 2, punto 1 bis), della direttiva 97/67/CE, tra cui i fornitori di servizi di corriere

  1. GESTIONE DEI RIFIUTI

Imprese che si occupano della gestione dei rifiuti quali definite all’articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio(1), escluse quelle per cui la gestione dei rifiuti non è la principale attività economica

  1. FABBRICAZIONE, PRODUZIONE E DISTRIBUZIONE DI SOSTANZE CHIMICHE

Imprese che si occupano della fabbricazione di sostanze e della distribuzione di sostanze o miscele di cui all’articolo 3, punti 9) e 14), del regolamento (CE) n. 1907/2006 del Parlamento europeo e del Consiglio(2)e imprese che si occupano della produzione di articoli quali definite all’articolo 3, punto 3), del medesimo regolamento, da sostanze o miscele.

  1. PRODUZIONE, TRASFORMAZIONE E DISTRIBUZIONE DI ALIMENTI

Imprese alimentari quali definite all’articolo 3, punto 2), del regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio(3)che si occupano della distribuzione all’ingrosso e della produzione industriale e trasformazione

  1. FABBRICAZIONE
  • Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro: Soggetti che fabbricano dispositivi medici quali definiti all’articolo 2, punto 1), del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio(4)e soggetti che fabbricano dispositivi medico- diagnostici in vitro quali definiti all’articolo 2, punto 2), del regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio(5)ad eccezione dei soggetti che fabbricano dispositivi medici di cui all’allegato I, punto 5), quinto trattino, della presente direttiva
  • Fabbricazione di computer e prodotti di elettronica e ottica: Imprese che svolgono attività economiche di cui alla sezione C, divisione 26, della NACE Rev. 2
  • Fabbricazione di apparecchiature elettriche: Imprese che svolgono attività economiche di cui alla sezione C, divisione 27, della NACE Rev. 2
  • Fabbricazione di macchinari e apparecchiature n.c.a.: Imprese che svolgono attività economiche di cui alla sezione C, divisione 28, della NACE Rev. 2
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi: Imprese che svolgono attività economiche di cui alla sezione C, divisione 29, della NACE Rev. 2
  • Fabbricazione di altri mezzi di trasporto: Imprese che svolgono attività economiche di cui alla sezione C, divisione 30, della NACE Rev. 2
  1. FORNITORI DI SERVIZI DIGITALI
  • Fornitori di mercati online
  • Fornitori di piattaforme di servizi di social network
  1. RICERCA

Organizzazioni di ricerca

Contatta il team Alfa Consult per saperne di più in merito alla Direttiva NIS: o al numero 327 028 3651.

Articoli correlati

IL RISK MANAGEMENT NELLE GARE DI APPALTO ISO 31000 -2018 Guida alla formazione, abilitazione e al ruolo dei revisori per la rendicontazione di sostenibilità: tutto quello che ci dice la CSRD COMPLIANCE & INTEGRAZIONE DIRETTIVA EUROPEA WHISTLEBLOWING