Verifica di applicabilità NIS2
La Direttiva NIS2 (Direttiva (UE) 2022/2555) si applica alle organizzazioni in 35 settori in tutti i 27 Stati membri dell'UE. Crea due categorie -- Soggetti essenziali e Soggetti importanti -- con regimi di supervisione, livelli di sanzione e scadenze di registrazione fondamentalmente diversi. La maggior parte delle PMI nei settori coperti non sa in quale categoria ricade o se è nel campo di applicazione. Questo strumento usa le regole di classificazione degli Allegati I e II della Direttiva per fornire una risposta istantanea e deterministica. Senza registrazione. Senza consulenza a pagamento.
Verifica applicabilità NIS2
Determini se la Sua organizzazione è Essenziale, Importante o fuori ambito ai sensi della Direttiva (UE) 2022/2555
Selezioni il settore principale in cui opera la Sua organizzazione. Se opera in più settori, selezioni quello che con maggiore probabilità La colloca nella categoria più alta.
Organico totale in tutte le entità del Suo gruppo (Art. 3, Direttiva 2022/2555 utilizza la definizione di PMI dalla Racc. 2003/361/CE).
Fatturato annuo complessivo del gruppo in milioni di EUR. Utilizzi il totale di bilancio se il fatturato non è applicabile al Suo tipo di entità.
Il Suo stabilimento principale nell'UE. Determina quale autorità nazionale deve effettuare la registrazione e quale scadenza si applica.
Classificazione basata sulla Direttiva 2022/2555 Annex I e II. Le leggi nazionali di recepimento possono aggiungere settori o modificare le soglie. Non costituisce consulenza legale.
Domande frequenti
Qual è la differenza tra un Soggetto essenziale e un Soggetto importante?
I Soggetti essenziali sono soggetti a supervisione proattiva: le autorità possono verificarli in qualsiasi momento. I Soggetti importanti sono soggetti a supervisione reattiva: le autorità indagano solo dopo un reclamo o un incidente. Entrambi devono attuare le stesse 10 misure di sicurezza informatica. Le sanzioni arrivano fino a 10 milioni di euro o 2% del fatturato per i soggetti essenziali, e 7 milioni di euro o 1,4% per i soggetti importanti.
Cosa succede se la mia azienda opera in più settori NIS2?
Se la tua organizzazione raggiunge le soglie in più settori, si applica la classificazione più alta. Un'azienda in entrambi gli Allegati I e II che supera la soglia di grande impresa (250+ dipendenti o 50 milioni di euro+ di fatturato) è classificata come Soggetto essenziale.
Quali sono le 10 misure di sicurezza informatica NIS2 ai sensi dell'Art. 21?
L'Art. 21 richiede: (1) analisi dei rischi e politiche di sicurezza, (2) gestione degli incidenti, (3) continuità operativa e gestione delle crisi, (4) sicurezza della catena di fornitura, (5) sicurezza nell'acquisizione di sistemi, (6) valutazione dell'efficacia delle misure, (7) igiene informatica di base e formazione, (8) politiche di crittografia, (9) sicurezza delle risorse umane e controllo degli accessi, (10) autenticazione multi-fattore e comunicazioni sicure.
Cosa succede se perdo la scadenza di registrazione NIS2?
La mancata registrazione costituisce un'infrazione soggetta a sanzioni. Le autorità nazionali hanno avviato l'applicazione. La scadenza varia per paese -- alcune sono già trascorse. Registrati il prima possibile e documenta il tuo tentativo di registrazione.
NIS2 si applica alle aziende non UE che servono clienti UE?
Sì, con condizioni. Se la tua organizzazione fornisce servizi coperti da NIS2 nell'UE ma non è stabilita nell'UE, devi designare un rappresentante in uno Stato membro UE (Art. 26). Le soglie dimensionali si applicano comunque in base all'attività rivolta all'UE.