Riprendiamo l’analisi delle principali norme sulla cibersicurezza.

Nel corso dell’Alert del 10 ottobre 2024 si era fornita una panoramica delle principali caratteristiche delle norme sulla sicurezza cibernetica.

In questa tornata affrontiamo l’ambito applicativo e i punti strategici di ciascuna norma.

Ambito di applicazione delle norme sulla cybersecurity

Le norme dell’Unione sulla cibersicurezza hanno differenti ambiti applicativi, come evidenziato di seguito.

Direttiva NIS 2 (2022/2555)

La direttiva NIS 2, attuata nel nostro ordinamento dal Dlgs. n. 138/2024, si rivolge a soggetti che erogano servizi o forniscono prodotti al sistema paese e senza i quali si creerebbero squilibri economici, sociali e politici, secondo parametri, basati sulla dimensione del soggetto e sul suo fatturato.

La NIS 2 introduce la “regola della soglia di dimensione“, superando il sistema precedente in cui gli Stati membri determinavano gli “operatori di servizi essenziali”. Ora, tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientrano nel suo ambito di applicazione.

Vengono definite due categorie di settori: “altamente critici” e “critici” (articolo 3, e all. I e II, Dlgs 138/2024) e due nuove categorie di attori: “soggetti essenziali” e “soggetti importanti“.

Alcuni soggetti sono inclusi indipendentemente dalla loro dimensione, come specificato nel citato articolo 3, nell’allegato III (pubbliche amministrazioni) e nell’allegato IV (ulteriori tipologie di soggetti).

In sintesi, l’ambito di applicazione della norma è suddiviso come segue:

• Settori ritenuti altamente critici (allegato I)
• Settori ritenuti critici (allegato II)
• Categorie della PA (allegato III)
• Ulteriori tipologie di soggetti (allegato IV).

Continua…