
«La NIS2? Non ci riguarda, siamo troppo piccoli.» È la frase che sentiamo più spesso — ed è anche quella che espone di più le aziende. Perché il perimetro della Direttiva NIS2 non si decide solo sulla dimensione, ma sull’incrocio di tre fattori: settore, dimensione e catena di fornitura. Vediamoli con ordine.
Non conta solo quanto sei grande
La NIS2 individua i soggetti obbligati a partire dal settore in cui operano. La Direttiva distingue due gruppi: i settori ad alta criticità dell’Allegato I (energia, trasporti, sanità, banche e infrastrutture dei mercati finanziari, acqua, infrastrutture digitali, gestione dei servizi ICT B2B, PA, spazio) e gli altri settori critici dell’Allegato II (produzione e distribuzione alimentare e chimica, gestione dei rifiuti, servizi postali, fabbricazione di dispositivi e macchinari, fornitori di servizi digitali, ricerca).
Solo dopo entra in gioco la dimensione. In estrema sintesi: le aziende grandi (almeno 250 dipendenti oppure oltre 50 milioni di fatturato) nei settori dell’Allegato I sono in genere Soggetti Essenziali; le medie imprese, e le grandi e medie dei settori dell’Allegato II, rientrano come Soggetti Importanti. Sotto le soglie dimensionali si è di norma esclusi — ma con eccezioni rilevanti (fornitori di reti pubbliche di comunicazione, DNS, registri di dominio, trust service, PA) che rientrano a prescindere dalle dimensioni.
La sorpresa che arriva dai clienti
Anche se la tua azienda non è un soggetto diretto, la NIS2 ti raggiunge lo stesso attraverso la catena di fornitura. I soggetti Essenziali e Importanti devono gestire il rischio dei propri fornitori: significa che le aziende regolate iniziano a chiedere garanzie di sicurezza a chi fornisce loro software, servizi IT o componenti. Non essere pronti a rispondere a un questionario di sicurezza, oggi, vuol dire perdere gare e contratti domani.
Essenziale o Importante: cosa cambia davvero
La distinzione non è formale. Cambia l’intensità della vigilanza (proattiva per gli Essenziali, ex-post per gli Importanti) e cambiano le sanzioni: fino a 10 milioni di euro o il 2% del fatturato mondiale per gli Essenziali, fino a 7 milioni o l’1,4% per gli Importanti. In entrambi i casi restano gli obblighi sostanziali: misure di gestione del rischio, notifica degli incidenti significativi entro finestre rapide e — novità che cambia le priorità in CDA — la responsabilità diretta degli organi di gestione.
Come verificarlo in 3 minuti
Capire dove ti collochi non richiede un progetto: richiede le domande giuste, nell’ordine giusto. Abbiamo messo online un navigatore gratuito che in poche domande — settore, dimensione, rapporto con la catena di fornitura e con il settore finanziario — ti dice se sei probabilmente Soggetto Essenziale, Importante o fuori dal perimetro diretto, e se ti riguarda anche DORA.
Sei dentro o fuori dal perimetro NIS2?
Scoprilo in 3 minuti con il NIS2/DORA Navigator, lo strumento gratuito di ArcaSafe.
Il perimetro NIS2 non è una questione da rimandare: le autorità di vigilanza (in Italia l’ACN) sono già operative e i primi controlli sono in corso. Sapere per tempo dove ti trovi è il primo passo per arrivarci con una roadmap, non in emergenza.