Direttiva NIS 2, ambito di applicazione soggettivo: una panoramica sui criteri normativi

Una corretta analisi dell’ambito di applicazione soggettivo della Direttiva NIS 2 consente di stabilire e adottare le misure necessarie a garantire un livello comune elevato di cybersicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.

Ricordando che la Direttiva NIS 2 è entrata in vigore il 17 gennaio 2023, ma dovrà essere recepita dagli Stati membri (mediante apposita legge nazionale di recepimento) entro il 17 ottobre 2024, facciamo una panoramica generale della disciplina.

Ambito di applicazione soggettivo della Direttiva NIS 2

In primo luogo, è necessario considerare l’art. 2 paragrafo 1 della NIS 2, il quale prevede che la stessa si applichi a:

1. soggetti pubblici o privati;
2. appartenenti alle tipologie elencate all’Allegato I o II alla Direttiva che sono considerati medie imprese (art. 2 Direttiva NIS 2) o che superano i massimali per le medie imprese;
3. che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione europea.

Pertanto, sono tre i criteri da considerare per effettuare l’analisi sull’ambito di applicazione soggettivo della NIS 2. Tali criteri sono:

1. il criterio del dimensionamento: le società in perimetro NIS2 sono, ai sensi dell’art. 2 par. 1, quelle qualificate come medie imprese o quelle che superano i massimali delle medie imprese;
2. il criterio del settore merceologico: l’art. 2 par. 1 della NIS2 si applica ai soggetti pubblici o privati delle tipologie di cui all’Allegato I o II della presente Direttiva. Tali allegati presentano i settori merceologici da considerare per quanto riguarda l’applicazione della NIS2, distinguendo tra settori ad alta criticità (Allegato I) e altri settori critici (Allegato II). Si osserva che, tendenzialmente, i soggetti rientranti nei settori dell’Allegato I sono considerati come soggetti essenziali, mentre i soggetti rientranti nell’Allegato II sono considerati come soggetti importanti. Tuttavia, ai sensi della Direttiva, la Commissione si riserva di determinare un elenco preciso di soggetti essenziali e importanti entro il 17 aprile 2025.
3. il criterio della territorialità: i soggetti pubblici o privati appartenenti alle tipologie di cui all’Allegato I o II della Direttiva qualificati come medie imprese o più e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione europea rientrano nell’ambito di applicazione della NIS2.

Per maggiore chiarezza, si considera la Raccomandazione 2003/361/CE, la quale chiarisce quali imprese si qualifichino come medie, piccole e micro:

1. media impresa: occupa meno di 250 persone, e realizza un fatturato annuo che non supera i 50 milioni di euro oppure il totale di bilancio annuo non supera i 43 milioni di euro;
2. piccola impresa: occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro;
3. microimpresa: occupa meno di 10 persone e realizza un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di euro.

Direttiva NIS 2: eccezioni al criterio del dimensionamento

Tuttavia, il criterio del dimensionamento non è assoluto, dal momento che l’art. 2 par. 2 della Direttiva prevede delle eccezioni a tale criterio.

Nello specifico, la sopracitata disposizione stabilisce che la Direttiva NIS 2 si applica indipendentemente dalle dimensioni dell’impresa se ricorre una delle seguenti casistiche:

• i servizi sono forniti da:

1. fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico;
2. prestatori di servizi di fiducia;
3. registri di nomi di dominio di primo livello e fornitori di servizi DNS (domain name system, sistema dei nomi di dominio);

• il soggetto sia l’unico fornitore in uno Stato membro di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
• una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
• una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
• il soggetto sia critico in ragione della sua particolare importanza a livello nazionale regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nello Stato membro;
• il soggetto è un ente della pubblica amministrazione:

1. dell’amministrazione centrale quale definito da uno Stato membro conformemente al diritto nazionale; oppure
2. a livello regionale quale definito da uno Stato membro conformemente al diritto nazionale che, a seguito di una valutazione basata sul rischio, fornisce servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche;

• ai soggetti identificati come critici ai sensi della Direttiva (UE) 2022/2557 (Direttiva CER) relativa alla resilienza dei soggetti critici;
• ai soggetti che forniscono servizi di registrazione dei nomi di dominio.

Attenzione ai soggetti qualificati come critici

È bene considerare che l’articolo 2, paragrafo 3 della Direttiva NIS 2, come già evidenziato nell’elenco di cui sopra, prevede una specifica eccezione al criterio del dimensionamento sopra indicato nel caso in cui un soggetto sia già identificato quale “soggetto critico” ai sensi della direttiva 2022/2557 (Direttiva CER), specificando che “La presente direttiva si applica ai soggetti, indipendentemente dalle loro dimensioni, identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557”.

La Direttiva CER, fornisce la seguente definizione di “soggetto critico” all’articolo 2, paragrafo 1: “un soggetto pubblico o privato che è stato individuato da uno Stato membro ai sensi dell’articolo 6 come appartenente a una delle categorie di cui alla terza colonna della tabella di cui all’allegato”.

Ciò significa che potrebbero esserci alcuni soggetti inglobati sia nell’ambito di applicazione della Direttiva CER che della Direttiva NIS 2.

Si pensi, ad esempio, a un soggetto rientrante in un settore individuato all’interno dell’Allegato alla CER e anche in uno degli Allegati alla NIS 2 (si prenda, a titolo esemplificativo, il settore del gas). In tal caso, a tale soggetto sarà applicabile sia la Direttiva CER (in quanto soggetto critico), sia la Direttiva NIS 2, indipendentemente dalle dimensioni dello stesso.

Si precisa, tuttavia, che entro il 17 luglio 2026, ogni Stato membro individua i soggetti critici per i settori e i sottosettori di cui all’allegato. Pertanto, dovremo aspettarci ulteriori specifiche in tal senso.

Soggetti esclusi dall’ambito di applicazione della NIS 2

Di seguito, un elenco dei soggetti a cui non si applica la Direttiva NIS2:

1. gli enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza o della difesa, del contrasto, prevenzione, indagini, accertamento e perseguimento dei reati (art. 2 par. 7);
2. specifici soggetti che gli stati membri hanno esentato dall’ambito di applicazione della NIS 2 e che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, compresi la prevenzione, l’indagine, l’accertamento e il perseguimento di reati, oppure che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui al punto precedente (art. 2 par. 8);
3. soggetti che gli stati membri hanno esentato dall’ambito di applicazione del regolamento (UE) 2022/2554 (Regolamento DORA) ai sensi dell’articolo 2, paragrafo 4 di tale regolamento (art. 2 par. 10).

Conclusioni

La Direttiva NIS 2 rappresenta un passo importante per porre un freno ai numerosi limiti ed inefficienze derivanti dalla precedente Direttiva NIS, la quale sarà abrogata con effetto a decorrere dal 18 ottobre 2024 ai sensi dell’art. 44 della Direttiva NIS 2.

In più, si ricorda che la Commissione europea, entro il 17 aprile 2025, definirà un elenco di soggetti essenziali e importanti, il quale sarà sicuramente utile per avere una panoramica ancora più chiara dell’ambito di applicazione soggettivo della stessa.

Nel frattempo, è importante restare in attesa degli ulteriori e importanti sviluppi in arrivo.