Se i settori essenziali della NIS2 sono quelli il cui blocco causerebbe un'emergenza nazionale, i settori importanti sono quelli il cui malfunzionamento provocherebbe danni significativi ma non necessariamente sistemici. E una distinzione sottile ma concreta: determina il livello di vigilanza, le sanzioni e le modalita di ispezione.
E proprio nei settori importanti che si nasconde la sorpresa maggiore per molte aziende italiane. Manifattura, alimentare, chimica, gestione rifiuti: settori che fino a ieri non si occupavano di cybersecurity normativa si trovano ora con obblighi precisi da rispettare.
L'elenco dei settori importanti
| Settore | Sottosettori | Esempi tipici |
|---|---|---|
| Servizi postali e corrieri | Servizi postali, servizi di corriere | Poste private, corrieri espresso |
| Gestione rifiuti | Raccolta, trattamento, riciclaggio | Multiutility, aziende rifiuti |
| Fabbricazione prodotti chimici | Produzione, distribuzione | Industria chimica, petrolchimica |
| Produzione alimentare | Trasformazione, distribuzione ingrosso | Industria alimentare, GDO |
| Fabbricazione dispositivi medici | Produzione, distribuzione | Medicale, biomedicale |
| Fabbricazione elettronica | Computer, elettronica, ottica | Elettronica industriale |
| Fabbricazione macchinari | Apparecchiature meccaniche | Meccanica, automazione |
| Fabbricazione autoveicoli | Veicoli, rimorchi, semirimorchi | Automotive, componentistica |
| Fornitori servizi digitali | Marketplace, social, motori ricerca | E-commerce, piattaforme online |
| Ricerca scientifica | Organizzazioni di ricerca | Enti ricerca, universita |
Soglie dimensionali per i soggetti importanti
Per rientrare come soggetto importante, un'organizzazione deve superare la soglia delle medie imprese: almeno 50 dipendenti OPPURE fatturato superiore a 10 milioni di euro. Le organizzazioni che superano le soglie dei soggetti essenziali (250+ dipendenti o 50M+ fatturato) in settori importanti restano classificate come soggetti importanti, ma con obblighi analoghi nella sostanza.
Differenze di regime tra essenziali e importanti
Le differenze principali riguardano la vigilanza e le sanzioni, non gli obblighi sostanziali:
- Vigilanza ex post — le ispezioni scattano dopo segnalazioni o incidenti, non preventivamente
- Sanzioni ridotte — massimo 7 milioni di euro o 1,4% del fatturato (vs 10M o 2% per gli essenziali)
- Niente sospensione dirigenti — questa misura si applica solo ai soggetti essenziali
- Stessi obblighi di base — risk assessment, misure di sicurezza, notifica incidenti, formazione, supply chain
L'industria manifatturiera: il caso piu complesso
Per l'industria manifatturiera italiana, la NIS2 rappresenta una sfida particolare. Queste aziende hanno tipicamente infrastrutture IT/OT ibride, con sistemi industriali (SCADA, PLC) che non sono stati progettati pensando alla cybersicurezza. Un attacco a un sistema OT puo fermare una linea produttiva, causare danni fisici agli impianti o mettere a rischio la sicurezza dei lavoratori.
Il problema e che molte aziende manifatturiere italiane — specialmente le medie — non hanno mai avuto un responsabile della sicurezza informatica. L'IT e spesso gestito da un'unica persona o esternalizzato. Con la NIS2, questo approccio non e piu sostenibile.
Il settore alimentare: dalla fattoria alla tavola
L'inclusione del settore alimentare tra i soggetti importanti riflette la crescente digitalizzazione della filiera. Tracciabilita, logistica, sistemi di produzione automatizzati: un attacco cyber alla filiera alimentare potrebbe avere conseguenze sulla sicurezza alimentare e sulla salute pubblica. Per un'azienda alimentare italiana con piu di 50 dipendenti, la NIS2 impone di proteggere non solo i dati ma anche i processi produttivi.
Come prepararsi
Il fatto che la vigilanza sia ex post non significa che si possa procrastinare. Un incidente significativo attiva automaticamente il meccanismo ispettivo, e a quel punto l'ACN verifichera se l'azienda era conforme. Se non lo era, le sanzioni si sommano ai danni dell'incidente. Il consiglio e trattare gli obblighi con la stessa serieta dei soggetti essenziali, anche se il regime di vigilanza e meno stringente.