Soggetti NIS2: essenziali vs importanti

Soggetti NIS2: essenziali vs importanti

1. Perché questa distinzione conta davvero per l’ITSM?
2. Cosa rende “essenziale” o “importante” un soggetto NIS2?
3. Obblighi correlati
4. Esempi pratici: in quale categoria rientra la mia azienda?

Perché questa distinzione conta davvero per l’ITSM?

La Direttiva NIS2 ha ridefinito il campo di applicazione della sicurezza informatica in Europa, introducendo due categorie di soggetti: essenziali e importanti

Non è una separazione teorica. La NIS2 determina chi è sottoposto a una vigilanza più intensa, quali misure di sicurezza adottare e quali sanzioni si rischiano in caso di violazioni o ritardi nella notifica di un attacco informatico. 

In altre parole, stabilisce come impostare la gestione del rischio e con quali priorità tradurla in workflow ITSM, dal catalogo servizi alla gestione degli incidenti, dalla continuità operativa alla catena di fornitura. La direttiva indica che i soggetti essenziali e importanti NIS2 devono adottare misure tecniche, organizzative e operative proporzionate ai rischi, con obblighi di governance e incident reporting stringenti.

A livello italiano, la nuova direttiva è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024, che individua l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità competente e punto di contatto unico per la NIS. Da allora, la roadmap nazionale ha previsto fasi di registrazione, aggiornamenti periodici e determinazioni attuative che incidono in modo diretto sulle attività dei team IT e Security.

Cosa rende “essenziale” o “importante” un soggetto NIS2?

Criterio dimensionale (size‑cap) e deroghe

La direttiva adotta una regola di dimensione. Rientrano automaticamente nel perimetro NIS2 le imprese medie e grandi (secondo la raccomandazione UE sulla definizione di impresa), oltre a ulteriori casi specifici a prescindere dalla dimensione (per esempio TLD/DNS, fornitori di rete/servizi elettronici, trust service provider, soggetti unici nel mercato nazionale o pubbliche amministrazioni centrali e talune regionali).

Gli Stati membri possono inoltre includere pubbliche amministrazioni locali e micro/piccole imprese se svolgono un ruolo critico. In sintesi: il fatturato annuo o la grandezza aziendale non sono gli unici driver; contano anche la criticità del servizio e la posizione nel settore.

Criterio settoriale: Allegato I (alta criticità) e Allegato II (altra criticità)

La categoria “soggetti essenziali” corrisponde in generale agli operatori nei settori di alta criticità (Allegato I). Esempi concreti:

  • Energia (produzione, trasmissione, distribuzione elettrica; gas; petrolio; calore/raffrescamento di distretto)
  • Trasporti (aereo, ferroviario, marittimo e stradale)
  • Bancario e Infrastrutture dei mercati finanziari
  • Sanità (strutture sanitarie, produttori di dispositivi diagnostici in vitro in determinate condizioni)
  • Acqua potabile e acque reflue
  • Infrastrutture digitali (cloud, data center, CDN, DNS, TLD, reti e servizi di comunicazioni elettroniche, servizi fiduciari)
  • ICT service management (B2B), inclusi Managed Service Provider e Managed Security Service Provider
  • Pubbliche amministrazioni centrali e talune regionali
  • Spazio (operatori di infrastrutture a terra)

La categoria “soggetti importanti” si concentra sugli operatori dei settori critici dell’Allegato II, tra cui: 

  • Servizi postali e di corriere
  • Gestione rifiuti, chimico (produzione/distribuzione)
  • Agro‑alimentare (produzione/trasformazione/distribuzione)
  • Manifatturiero (ad es. dispositivi medici, apparecchiature elettriche selezionate, macchinari, veicoli)
  • Fornitori digitali (mercati online, motori di ricerca, social) e organizzazioni di ricerca

Come si decide, in pratica? Se l’ente opera in un settore dell’Allegato I (e ricade nella size‑cap o nelle eccezioni), sarà essenziale; se opera nell’Allegato II, sarà importante, salvo specifiche riclassificazioni previste dalla norma nazionale. Gli Stati membri devono mantenere e aggiornare l’elenco dei soggetti essenziali e importanti. In Italia, ACN ha scandito registrazione e aggiornamenti annuali in

Obblighi correlati

Governance

La NIS2 impone che il management approvi le politiche di cybersecurity, vigili sulla loro attuazione e riceva formazione adeguata. La responsabilità non è delegabile: in caso di inosservanza grave e ripetuta, gli organi di vigilanza possono imporre misure specifiche verso i vertici. Per il mondo ITSM, significa legare i processi (incident, change, problem, asset/CMDB, fornitore) a obiettivi di rischio e metriche condivise con la direzione.

Misure di sicurezza

Le misure di sicurezza richieste coprono l’intero ciclo: analisi e trattamento del rischio, gestione degli incidenti, continuità operativa e disaster recovery, sicurezza nella supply chain, sicurezza nello sviluppo/procurement di sistemi e applicazioni, gestione delle vulnerabilità e divulgazione coordinata (CVD), testing e audit periodici. L’IT Service Management è il luogo naturale per strutturare queste misure in workflow ripetibili, mediante la tracciatura e la reportizzazione di tutti gli elementi utili a semplificare audit e vigilanza.

Incident reporting 

La NIS2 introduce un percorso di notifica a tappe: early warning entro 24 ore dall’accaduto, notifica dettagliata entro 72 ore, e relazione finale entro un mese, con informazioni su impatto, cause, indicatori di compromissione, misure correttive e cross‑border impact. Questo impatta direttamente sulle procedure operative ITSM: la classificazione di “incidente significativo” (per impatto e gravità) deve essere riflessa nei criteri di escalation, nella comunicazione verso l’autorità competente e nell’informativa agli utenti potenzialmente colpiti.

Regime di vigilanza

La NIS2 distingue anche le modalità di supervisione:

  • per i soggetti essenziali, le autorità competenti possono attivare vigilanza preventiva (audit, ispezioni, richieste di evidenze); 
  • per i soggetti importanti, prevale una vigilanza ex post attivata in presenza di indizi o violazioni. 

Questo si traduce, lato ITSM, nella necessità, soprattutto per gli essenziali, di produrre su richiesta report strutturati su rischi, controlli, incidenti e piani di miglioramento.

Sanzioni

Il sistema sanzionatorio è differenziato: fino a 10 milioni di euro o il 2% del fatturato annuo mondiale per i soggetti essenziali; fino a 7 milioni di euro o l’1,4% per gli importanti (si applica il valore più elevato). Gli Stati membri possono stabilire l’applicabilità di sanzioni alle pubbliche amministrazioni.

In Italia che cosa cambia, concretamente?

Con il D.Lgs. 138/2024, l’Italia ha definito regole nazionali, fasi di registrazione e aggiornamenti verso ACN per soggetti essenziali e importanti. ACN ha pubblicato indicazioni operative e finestre annuali per aggiornare i dati, designare il punto di contatto e, se previsto, il sostituto, nonché per la notifica degli accordi di condivisione delle informazioni sulla sicurezza informatica. Per molti operatori, la compliance non è più un progetto una tantum, ma un processo ricorrente da governare con strumenti e dati tracciabili.

 

Esempi pratici: in quale categoria rientra la mia azienda?

1) Utility idrica regionale (acquedotti e trattamento reflui)

Gestisce servizi essenziali alla collettività. Il settore ricade nell’Allegato I, quindi, se in size‑cap o in base alle eccezioni, l’ente è essenziale, con vigilanza preventiva e oneri di governance più stringenti. L’ITSM dovrà mostrare dipendenze di servizio (CMDB), piani di continuità e reportistica incidenti allineata alle tempistiche NIS2.

2) Data center e fornitore cloud che ospita applicazioni critiche

Ricade nella sezione infrastrutture digitali (cloud, data center, CDN). È tipicamente essenziale, con necessità di capacity & continuity management, test periodici e gestione delle vulnerabilità con SLA sugli aggiornamenti. I contratti con i clienti devono riflettere misure e indicatori di performance coerenti con NIS2.

3) Manifatturiero automotive con 800 dipendenti

Il settore manifatturiero indicato in Allegato II rientra tra i soggetti importanti. Focus su gestione del rischio di supply chain (componentistica, firmware), change management rigoroso in produzione, e notifica incidenti con criteri oggettivi (impatto su produzione/logistica).

4) MSP/MSSP che fornisce servizi IT gestiti a più aziende

L’ICT service management (B2B) è esplicitamente incluso tra i settori di alta criticità (Allegato I): l’operatore è quindi essenziale (se in size‑cap o per le eccezioni), con obblighi più pesanti su governance e vigilanza. Il disegno dei runbook di risposta e dei piani di escalation deve tenere conto delle notifiche entro 24/72 ore e della gestione di incidenti multi‑cliente.

5) Struttura sanitaria privata multi‑sede

Il comparto sanità ricade in Allegato I (essenziale). L’attenzione è massima su continuità clinica, protezione dati e integrazione con CSIRT/autorità competenti. L’ITSM deve garantire prioritizzazione clinico‑assistenziale in caso di crisi e comunicazioni tempestive agli utenti.

Gli obblighi NIS2 sono processi operativi che trovano concreta attuazione nella piattaforma HDA ITSM:

  • la gestione del rischio si traduce in policy di change, valutazioni di impatto e priorità degli interventi
  • la sicurezza delle reti e dei sistemi diventa catalogo servizi con controlli in fase di richiesta, SLA per patching e remediation;
  • l’incident reporting assume significato operativo con stati, tempi e contenuti allineati a Art. 23
  • la supply chain si governa con schede fornitore, KPI di rischio, e accordi di condivisione delle informazioni notificati ad autorità competenti secondo le regole italiane
  • la governance si concretizza in cruscotti per CDA e Compliance, che mettono insieme rischi, audit, incidenti e piani di miglioramento

Le capacità sopracitate derivano dalla natura ITIL‑compliant e process‑driven della soluzione HDA (disponibile cloud e on‑premise), che permette di modellare policy‑to‑workflow e di integrare con gli strumenti già in uso. L’obiettivo non è “aggiungere schermate”, ma tagliare tempi di esecuzione e di audit, migliorando qualità e tracciabilità.

In Italia, ACN coordina vigilanza e attuazione, mentre il decreto legislativo prevede strumenti regolatori (e, con DPCM, criteri applicativi) che richiedono tracciabilità e prontezza da parte dei soggetti. L’ITSM è quindi il motore che permette di dimostrare, e non solo dichiarare, la conformità.

Le domande più frequenti

  1. Come può un Risk & Compliance Manager identificare se l’azienda è soggetto essenziale o importante?
    Verifica settore (Allegato I vs II), size‑cap UE (≥250 dip., ≥50 M€) e deroghe nazionali.
  2. Quali differenze operative deve conoscere un IT Manager tra vigilanza preventiva ed ex post?
    Soggetti essenziali: audit/ispezioni periodiche; soggetti importanti: controllo solo dopo segnali o violazioni.
  3. Quali step di registrazione ACN deve seguire un Security Ops Manager?
    Finestra annuale di registrazione, aggiornamento dati, designazione punto di contatto (e sostituto).

Trasforma la direttiva NIS2 in un vantaggio operativo

La distinzione tra soggetti essenziali e importanti non è un’etichetta: orienta priorità, livelli di vigilanza e rischio sanzionatorio. Portare la NIS2 dentro l’ITSM significa fare della sicurezza informatica una disciplina misurabile, ripetibile e dimostrabile, dal catalogo servizi alla continuità, dalla supply chain alla notifica incidenti, riducendo tempi e incertezze.

Con un ITSM process‑driven come HDA, è possibile accorciare il time‑to‑compliance, abbattere il tempo di audit e contenere il rischio di sanzioni di milioni di euro.

Scarica il nostro eBook gratuito che approfondisce criteri, obblighi e workflow ITSM per i soggetti essenziali e importanti NIS2.