NIS2 e Cybersicurezza

I Settori Essenziali nella Direttiva NIS2: Chi e Obbligato

Pubblicato il 2026-03-27 3 min di lettura Di Redazione NIS2 Italia

La NIS2 divide i soggetti obbligati in due categorie: essenziali e importanti. La differenza non e solo terminologica — determina il livello di vigilanza, le sanzioni massime e il regime ispettivo a cui l'organizzazione e sottoposta. I soggetti essenziali sono quelli che, se colpiti da un attacco cyber, potrebbero causare danni sistemici all'economia e alla societa.

Ma chi sono esattamente questi soggetti essenziali? E come si fa a capire se la propria azienda rientra in questa categoria? Partiamo dall'elenco completo.

L'elenco completo dei settori essenziali

L'Allegato I della Direttiva NIS2, recepito nell'Allegato I del D.Lgs. 138/2024, individua 11 settori ad alta criticita. Le organizzazioni che operano in questi settori e superano le soglie dimensionali sono classificate come soggetti essenziali.

SettoreSottosettori principaliEsempi
EnergiaElettricita, petrolio, gas, idrogeno, teleriscaldamentoENEL, ENI, gestori rete distribuzione
TrasportiAereo, ferroviario, marittimo, stradaleFerrovie dello Stato, ENAV, autorita portuali
Settore bancarioEnti creditiziBanche, istituti di credito
Infrastrutture mercati finanziariSedi negoziazione, CCPBorsa Italiana, CC&G
SanitaPrestatori assistenza sanitaria, laboratori, R&S farmaciOspedali, ASL, aziende farmaceutiche
Acqua potabileFornitori e distributoriGestori acquedotti
Acque reflueGestori raccolta e trattamentoUtilities idriche
Infrastrutture digitaliIXP, DNS, TLD, cloud, data center, CDNAruba, provider cloud italiani
Gestione servizi ICT B2BMSP e MSSPProvider servizi gestiti
Pubblica amministrazioneEnti governativi centrali e regionaliMinisteri, Regioni
SpazioOperatori infrastrutture terrestriASI, operatori satellitari

Criteri per la classificazione come soggetto essenziale

Non basta operare in un settore essenziale per essere classificato come tale. Servono anche i requisiti dimensionali: 250+ dipendenti oppure fatturato superiore a 50 milioni di euro oppure bilancio superiore a 43 milioni. Le organizzazioni sotto queste soglie ma sopra i 50 dipendenti sono generalmente classificate come soggetti importanti.

Eccezioni importanti Alcuni soggetti sono essenziali indipendentemente dalla dimensione: provider DNS, registri TLD, prestatori di servizi fiduciari qualificati e fornitori di reti pubbliche di comunicazione elettronica. Anche una microimpresa in questi ambiti e un soggetto essenziale.

Obblighi specifici per i soggetti essenziali

I soggetti essenziali hanno gli stessi obblighi di base dei soggetti importanti, ma con un regime di vigilanza piu stringente:

  • Vigilanza proattiva — l'ACN puo condurre ispezioni preventive, non solo post-incidente
  • Sanzioni piu elevate — fino a 10 milioni di euro o il 2% del fatturato annuo mondiale
  • Audit periodici — possono essere richiesti anche in assenza di incidenti
  • Supervisione on-site — l'ACN puo inviare ispettori in loco
  • Sospensione dirigenti — in caso di gravi violazioni, l'ACN puo sospendere temporaneamente i dirigenti

Settore energia: il piu esposto

Il settore energetico e probabilmente il piu critico e il piu esposto agli attacchi cyber. Gli attacchi a infrastrutture energetiche sono in aumento costante: dal sabotaggio del gasdotto Colonial Pipeline negli USA alla campagna Industroyer che ha colpito la rete elettrica ucraina. In Italia, gli operatori energetici sono soggetti a obblighi particolarmente stringenti, con supervisione coordinata tra ACN e autorita settoriali come ARERA.

Settore sanitario: la sfida dei dati

Ospedali e ASL sono bersagli privilegiati del ransomware. I dati sanitari valgono piu dei dati finanziari sul dark web, e un ospedale bloccato non puo semplicemente chiudere — deve continuare a curare i pazienti. Questo rende il settore sanitario particolarmente vulnerabile al ricatto. Nel 2025, diversi ospedali italiani hanno subito attacchi significativi con ripercussioni sull'erogazione dei servizi.

Pubblica amministrazione: il nodo della compliance

L'inclusione della PA tra i soggetti essenziali e una delle novita piu rilevanti della NIS2. Ministeri, Regioni e grandi enti pubblici devono adeguarsi agli stessi standard del settore privato — una sfida non da poco, considerando i vincoli di bilancio e le complessita burocratiche della PA italiana. L'ACN ha previsto un percorso di adeguamento graduale, ma le aspettative sono chiare.

Se la tua organizzazione opera in uno di questi settori, la priorita e chiara: avviare l'adeguamento NIS2 il prima possibile, iniziando dalla registrazione sulla piattaforma ACN e dal risk assessment. I soggetti essenziali saranno i primi ad essere ispezionati.

Approfondimento Scopri anche i settori importanti della NIS2 e tutti gli obblighi per le aziende.

Domande Frequenti

Qual e la differenza tra soggetto essenziale e importante?
I soggetti essenziali operano in settori ad alta criticita (energia, sanita, trasporti, finanza, PA) e sono soggetti a vigilanza proattiva con sanzioni fino al 2% del fatturato. I soggetti importanti operano in settori critici ma con vigilanza ex post e sanzioni fino all'1,4%.
Una PMI nel settore energetico e un soggetto essenziale?
Se ha piu di 250 dipendenti o fatturato superiore a 50 milioni, si. Se e una media impresa (50-249 dipendenti), potrebbe essere classificata come soggetto importante. In ogni caso, e soggetta alla NIS2.
I Comuni sono soggetti essenziali?
Dipende dalla dimensione e dalla classificazione dell'ACN. I Comuni capoluogo e le grandi amministrazioni locali possono rientrare. L'ACN sta definendo i criteri specifici per la PA locale.

Articoli Correlati

ACN: Ruolo e Funzioni dell'Autorita Nazionale per la Cybersicurezza
3 min di lettura
Audit di Cybersecurity: Come Valutare la Sicurezza della Tua Azienda
2 min di lettura
Backup e Disaster Recovery: Strategie per la Continuita Aziendale
3 min di lettura