NIS2Settori

Settori essenziali vs importanti in NIS2: cosa cambia

Differenze concrete fra entità essenziali e importanti: controlli, sanzioni massime, frequenze di audit. Esempi per ciascuna categoria.

2 min di lettura

TL;DR

NIS2 distingue entità essenziali (allegato I) da entità importanti (allegato II). Le essenziali sono soggette a controlli proattivi e sanzioni più alte; le importanti a controlli reattivi e sanzioni più contenute. Le misure tecniche richieste sono però identiche.

Le differenze in pratica

| Aspetto | Essenziali | Importanti | |---|---|---| | Sanzione massima | 10M € o 2% fatturato | 7M € o 1,4% fatturato | | Tipo di vigilanza | Proattiva (controlli preventivi) | Reattiva (post-incidente) | | Misure tecniche | Articolo 21 (10 punti) | Articolo 21 (10 punti) | | Notifica incidenti | 24h, 72h, 1 mese | 24h, 72h, 1 mese | | Frequenza audit | Annuale possibile | Solo su segnalazione |

Le misure sono uguali. La differenza è come l'autorità vigila.

Esempi di settori essenziali

  • Energia: produttori, distributori, gestori delle reti.
  • Trasporti: ferrovie, aerei, marittimi sopra soglia.
  • Banche e infrastrutture finanziarie.
  • Sanità: ospedali, ASL, laboratori critici.
  • Acqua potabile e reflue (operatori sopra soglia).
  • Infrastruttura digitale: cloud provider grossi, IXP, registri TLD, certificati.
  • ICT service management: provider B2B di servizi critici.
  • Pubblica amministrazione (definita dal Decreto).

Esempi di settori importanti

  • Servizi postali e di corriere.
  • Gestione rifiuti.
  • Manifatturiero di prodotti specifici (chimica, dispositivi medici, automotive).
  • Servizi digitali: marketplace online, motori di ricerca, social network.
  • Provider di ricerca.

La trappola: settori "ibridi"

Alcune aziende sono in entrambi i ruoli:

  • un grande ospedale è essenziale, ma il suo ICT vendor è importante in linea generale ma essenziale come fornitore critico;
  • un cloud provider è essenziale, e i suoi clienti possono ricadere come importanti.

Verificare sempre il proprio ruolo nella supply chain.

Cosa cambia operativamente

  • Le essenziali devono prepararsi a ispezioni programmate: documentazione sempre pronta, evidenze archiviate.
  • Le importanti possono permettersi un approccio "reactive", ma se arriva un incidente la documentazione deve esserci.

In pratica: stesse misure tecniche, frequenze di test e cura della documentazione diverse.

FAQ

Posso "scegliere" di essere importante invece che essenziale?

No. È determinato dal settore e dalla dimensione, non dalla scelta dell'entità.

Se sono importante posso fare meno?

Tecnicamente sì, ma la differenza in costi è bassa rispetto al rischio. Conviene allinearsi al livello essenziale.

Le sanzioni accessorie (sospensione) si applicano a entrambe?

Sì, ma in pratica vengono applicate più spesso alle essenziali per il rischio sistemico.

Per le misure tecniche, Misure tecniche minime NIS2. Per chi è soggetto, Chi è soggetto a NIS2.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo