Gli articoli 2 e 3 della direttiva (UE) 2022/2555 stabiliscono chi rientra in NIS2 — e lo fanno meccanicamente. I soggetti essenziali e importanti NIS2 non si designano a intuito: un soggetto è nell'ambito di applicazione quando figura in uno dei due allegati e supera una soglia dimensionale, oppure quando uno dei casi speciali elimina del tutto la questione della dimensione.
Il rischio operativo sta nell'ordine della scoperta. Le imprese che falliscono su NIS2 raramente falliscono prima sulle misure; falliscono sul perimetro, apprendendo da una lettera dell'autorità che una riga dell'allegato II o una designazione nazionale le copriva da mesi. Quattro test, eseguiti in sequenza e documentati, producono la risposta che un regolatore accetterà — e l'articolo 3, paragrafi 3 e 4, trasforma quella risposta in un obbligo di registrazione con un termine di aggiornamento di due settimane.
Test 1 — il test settoriale: 18 settori in due allegati
L'allegato I della direttiva nomina undici «settori ad alta criticità»: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC (business-to-business), pubblica amministrazione e spazio. L'allegato II aggiunge sette «altri settori critici»: servizi postali e di corriere, gestione dei rifiuti, prodotti chimici, alimenti, fabbricazione, fornitori di servizi digitali e ricerca. Diciotto settori in totale — ma l'intestazione del settore non è il test.
La direttiva si applica ai «soggetti di un tipo elencato nell'allegato I o II». L'unità operativa è il tipo di soggetto elencato nell'allegato, non l'etichetta dell'industria. La fabbricazione, per esempio, copre un elenco chiuso di sottosettori — dispositivi medici, computer e prodotti elettronici, apparecchiature elettriche, macchinari, autoveicoli e altri mezzi di trasporto. I fornitori di servizi digitali coprono esattamente tre tipi: mercati online, motori di ricerca online e piattaforme di social network. Un editore di software logistico non figura in nessuno dei tre; la stessa impresa può invece comparire nell'allegato I, nella gestione dei servizi TIC, come fornitore di servizi gestiti.
Il modo di fallire più frequente consiste nello scorrere le diciotto intestazioni e fermarsi lì. La nota di perimetro cita la riga dell'allegato alla lettera — settore, sottosettore, tipo di soggetto — oppure conclude, riga per riga, che nessuna si applica. L'autovalutazione NIS2 in 3 domande percorre gli allegati esattamente in quest'ordine.
Test 2 — la regola del massimale di dimensione: 50 dipendenti o 10 milioni di euro
L'articolo 2, paragrafo 1 applica la direttiva ai tipi di soggetti degli allegati I e II che si qualificano come medie imprese ai sensi della raccomandazione 2003/361/CE della Commissione — o che ne superano i massimali — e che prestano i loro servizi o svolgono le loro attività nell'Unione. Tradotto: un soggetto è nell'ambito a partire da 50 dipendenti, oppure da un fatturato annuo e un totale di bilancio superiori a 10 milioni di euro.
La stessa aritmetica fissa il taglio superiore. I soggetti dell'allegato I che superano i massimali delle medie imprese — 250 dipendenti, oppure più di 50 milioni di euro di fatturato e 43 milioni di totale di bilancio — sono soggetti essenziali ai sensi dell'articolo 3, paragrafo 1, lettera a). I soggetti medi dell'allegato I, e i soggetti dell'allegato II nell'ambito qualunque sia la loro dimensione, ricadono per difetto nella categoria dei soggetti importanti.
Due trappole si nascondono nella raccomandazione. Organico, fatturato e bilancio si valutano includendo le imprese associate e collegate — una controllata di 30 persone di un grande gruppo può superare la soglia con i soli numeri consolidati. E i numeri si muovono: un soggetto che ha superato i 50 dipendenti nell'ultimo esercizio chiuso è nell'ambito adesso, non alla prossima revisione annuale.
Test 3 — nell'ambito a prescindere dalla dimensione: articolo 2(2) a 2(4)
L'articolo 2, paragrafo 2 elimina il massimale di dimensione per casi definiti. La lettera a) copre tre tipi di soggetti per ciò che sono: fornitori di reti o di servizi pubblici di comunicazione elettronica, prestatori di servizi fiduciari, e registri dei nomi di dominio di primo livello insieme ai fornitori di servizi DNS. Le lettere b) a e) coprono i soggetti che uno Stato membro designa individualmente — il fornitore unico di un servizio essenziale, un soggetto la cui perturbazione inciderebbe in modo significativo sulla sicurezza pubblica, l'incolumità pubblica o la salute pubblica, una fonte di rischio sistemico transfrontaliero, oppure un soggetto di specifica importanza nazionale o regionale. La lettera f) aggiunge i soggetti della pubblica amministrazione dell'amministrazione centrale.
Il paragrafo 3 estende la direttiva a ogni soggetto identificato come critico ai sensi della direttiva (UE) 2022/2557, la direttiva sulla resilienza dei soggetti critici. Il paragrafo 4 aggiunge i soggetti che forniscono servizi di registrazione dei nomi di dominio, di nuovo senza soglia minima di dimensione.
La direttiva non chiede se un'impresa si sente critica. Chiede se figura in un allegato, supera una soglia o è stata nominata da un'autorità — in quest'ordine.
La conseguenza pratica: un fornitore DNS di cinque persone è nell'ambito, e una lettera di designazione ai sensi delle lettere b) a e) prevale su ogni calcolo dimensionale agli atti. Le designazioni arrivano tramite gli atti nazionali di recepimento — per questo il fascicolo di perimetro segue dove stanno i quattro grandi mercati sul recepimento NIS2: è la legge nazionale, non la direttiva, a dire chi firma la lettera.
Test 4 — essenziale o importante: cosa cambia tra i due regimi
L'articolo 3, paragrafo 1 elenca i soggetti essenziali: i grandi soggetti dell'allegato I; i prestatori di servizi fiduciari qualificati, i registri di primo livello e i fornitori DNS a prescindere dalla dimensione; i fornitori medi di comunicazioni elettroniche pubbliche; i soggetti dell'amministrazione centrale; i soggetti designati da uno Stato membro ai sensi dell'articolo 2, paragrafo 2, lettere b) a e); e i soggetti identificati come critici ai sensi della direttiva 2022/2557. L'articolo 3, paragrafo 2 rende ogni altro soggetto nell'ambito un soggetto importante. Gli obblighi sostanziali sono identici — le stesse misure dell'articolo 21, lo stesso orologio di notifica degli incidenti, gli stessi doveri dell'organo di gestione ai sensi dell'articolo 20 della direttiva.
Quello che cambia è l'esposizione. I soggetti essenziali affrontano una vigilanza ex ante ai sensi dell'articolo 32: audit, ispezioni in loco e richieste di informazioni senza sospetto richiesto. I soggetti importanti affrontano una vigilanza ex post ai sensi dell'articolo 33 — l'autorità agisce quando dispone di prove o indizi di una violazione. I massimali delle sanzioni divergono allo stesso modo: almeno 10 milioni di euro o il 2 % del fatturato annuo mondiale per i soggetti essenziali ai sensi dell'articolo 34, paragrafo 4; almeno 7 milioni o l'1,4 % ai sensi del paragrafo 5 per gli importanti. Come le autorità nazionali costruiscono quella sanzione NIS2 è un'aritmetica da leggere prima di firmare la nota di categorizzazione.
La categoria finisce inoltre in un registro. L'articolo 3, paragrafo 3 imponeva agli Stati membri di stabilire un elenco dei soggetti essenziali e importanti entro il 17 aprile 2025, riesaminato almeno ogni due anni. Il paragrafo 4 mette l'onere sul soggetto: presentare il nome, l'indirizzo e i recapiti aggiornati — compresi indirizzi email, intervalli di IP e numeri di telefono —, il settore e il sottosettore dell'allegato I o II, e gli Stati membri in cui sono prestati servizi nell'ambito. Ogni modifica si notifica senza ritardo e, in ogni caso, entro due settimane.
Com'è quando è ben fatto
Tre artefatti chiudono la questione del perimetro in una forma che un'autorità di vigilanza può leggere:
- Una nota di perimetro datata — che cita la riga esatta dell'allegato, fissa organico, fatturato e totale di bilancio alla data della valutazione, applica i quattro test in ordine e conclude essenziale, importante o fuori ambito, firmata dal legale e dal CISO.
- La ricevuta di registrazione — la conferma di presentazione dell'autorità nazionale ai sensi dell'articolo 3, paragrafo 4, archiviata con un registro delle modifiche che mostra ogni aggiornamento fatto nella finestra di due settimane.
- Un verbale del consiglio che registra la categorizzazione — il regime, la conseguenza in termini di vigilanza, il massimale di sanzione applicabile e il dovere di approvazione che ne deriva per l'organo di gestione.
Nessuno dei tre richiede un consulente. Richiedono che la risposta a «la mia impresa rientra in NIS2?» sia scritta, datata e archiviata — prima che l'autorità chieda chi avrebbe dovuto registrarsi.
Fonti
- Direttiva (UE) 2022/2555, articoli 2 e 3, allegati I e II.
- Direttiva (UE) 2022/2557 relativa alla resilienza dei soggetti critici, articolo 6 (individuazione dei soggetti critici).
- Raccomandazione 2003/361/CE della Commissione relativa alla definizione delle microimprese, piccole e medie imprese.
- ENISA — orientamenti sull'ambito di applicazione NIS2 e sulla categorizzazione dei soggetti (citati per nome).
