Riferimento6 risposte
Domande frequenti, risposte chiare.
La NIS2 è entrata in vigore il 17 ottobre 2024. Gli Stati membri dovevano recepirla entro tale data. L’applicazione nazionale varia da Paese a Paese, ma gli obblighi sostanziali si applicano ora ai soggetti rientranti nell’ambito.
I soggetti essenziali operano nei settori più critici (energia, trasporti, banche, sanità, pubblica amministrazione oltre soglie, ecc.) e sono soggetti a vigilanza ex ante. I soggetti importanti sono soggetti a vigilanza ex post ma sono tenuti al medesimo set di obblighi di base ai sensi dell’articolo 21.
In generale la NIS2 si applica ai soggetti medi e grandi (>50 dipendenti o >10 M€ di fatturato) nei settori coperti. Alcuni soggetti rientrano a prescindere dalle dimensioni — fornitori DNS, registri TLD e taluni prestatori critici.
Fino a 10 M€ o il 2 % del fatturato annuo mondiale per i soggetti essenziali, prendendo il valore più alto. Fino a 7 M€ o l’1,4 % per i soggetti importanti. Gli amministratori possono essere ritenuti personalmente responsabili.
No. La NIS2 impone la notifica solo per gli incidenti significativi — quelli che hanno causato o possono causare gravi disservizi operativi o perdite finanziarie, o che hanno coinvolto altre persone fisiche o giuridiche.
Si sovrappongono ma coprono angolazioni diverse. Il GDPR tutela i dati personali. DORA è specifica per il settore finanziario. Il CRA copre i prodotti con elementi digitali. La NIS2 fissa il set di obblighi di base in materia di cybersicurezza per i soggetti rientranti, in 18 settori.
Azione · Avviare l’autovalutazione§ Azione
Pronti a mettere numeri su tutto questo?
Fate l’autovalutazione in 21 punti. Punteggio in due minuti. Uscite con un piano d’azione prioritizzato, pronto per essere portato all’organo di amministrazione.