Circolare n. 27/2025
Cybersicurezza: ambito di applicazione del decreto NIS 2
La direttiva europea sulla sicurezza delle reti e dei sistemi informativi (c.d. NIS 2), recepita nel nostro ordinamento con il D.L. 138/2024, ha introdotto un insieme di prescrizioni in funzione della prevenzione e gestione del rischio sicurezza informatica.
I nuovi obblighi si applicano ai soggetti pubblici e privati che la normativa identifica come soggetti NIS tuttavia, anche le organizzazioni che fanno parte della catena di approvvigionamento di un soggetto NIS, dovranno adempiere ad obblighi contrattuali che derivano dall’applicazione del decreto sulla cybersicurezza.
Il D.Lgs.138/2024, c.d. “Decreto NIS 2”, ha recepito nell’ordinamento nazionale la Direttiva UE 2022/2555 che stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.
L’Agenzia per la cybersicurezza nazionale (ACN), ha recentemente aggiornato le FAQ presenti sul proprio sito, per guidare l’interpretazione delle norme e fornire un modello operativo cui le imprese devono conformarsi per costruire il proprio sistema di gestione della sicurezza informatica.
- Ambito di applicazione e implementazione
Gli obblighi previsti dal decreto[1] si applicano ai soggetti pubblici e privati, sottoposti a giurisdizione nazionale, che rientrano nelle tipologie di soggetti appartenenti ai settori altamente critici (allegato I) e critici (allegato II), nelle categorie di pubbliche amministrazioni (allegato III) e nelle ulteriori tipologie di soggetti, che devono essere identificati da ACN (allegato IV).
Il decreto si applica, inoltre, a prescindere dalle dimensioni anche a imprese o pubbliche amministrazioni che forniscono servizi o esercitano attività che presentano un significativo grado di esposizione a minacce informatiche o per cui eventuali interruzioni e incidenti possano avere effetti sistemici.
I soggetti c.d. NIS dovranno adottare misure tecniche, operative e organizzative proporzionate alla gestione dei rischi alla sicurezza dei sistemi informativi e di rete che utilizzano nella propria attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti.
I gruppi di imprese
Il decreto si applica, indipendentemente dal settore e dalle dimensioni, all’impresa collegata, associata o parte di un gruppo di imprese, ad un soggetto NIS, che può avere un impatto in termini di processi decisionali o tecnici sul soggetto NIS (es: gruppo di imprese che, pur non rientrando nei settori previsti dagli allegati e indipendentemente dalle dimensioni, esercitano un determinato controllo sulla gestione del rischio per la sicurezza informatica oppure offrono, anche in forma residuale, determinati servizi a soggetti NIS collegati o associati ad essi).
La sicurezza della catena di approvvigionamento
Le organizzazioni che non soddisfano i criteri per qualificarsi come soggetto NIS non rientrano automaticamente nell’ambito di applicazione della presente normativa.
Tuttavia, come indicato nella Risposta 2.16 delle FAQ dell’ACN, “i soggetti NIS, al fine di gestire il rischio informatico che deriva dalla propria catena di approvvigionamento, digitale o meno, dovranno imporre obblighi contrattuali ai propri fornitori.
Pertanto, le organizzazioni che fanno parte della catena di approvvigionamento di un soggetto NIS dovranno adempiere a degli obblighi contrattuali che derivano dall’applicazione del decreto NIS, ma non sono automaticamente soggetti NIS e non sono pertanto tenuti a rispettare le previsioni di cui al decreto NIS né soggetti alle attività di supervisione dell’Autorità nazionale competente NIS”.
[1] Art. 3 del D.L. 138/2024
Lo Studio rimane a disposizione per eventuali ulteriori chiarimenti.
Ultime Circolari
Circolare n. 949 – Dichiarazione dei redditi delle Persone Fisiche- Modello 730/2022 e Modello Redditi persone fisiche 2022
Le persone fisiche dovranno presentare entro il prossimo 30 novembre la dichiarazione dei redditi relativa all’anno 2021 (Modello Redditi 2022).
I dipendenti e i pensionati possono, in alternativa, presentare il Modello 730 entro il termine ultimo del 30 settembre, ottenendo così il rimborso dell’IRPEF a credito direttamente nella busta paga (a partire dal mese di luglio) o nella rata di pensione (a partire dal mese di agosto o settembre).
In allegato, l’elenco dei dati e documenti, da produrre allo Studio entro il prossimo 15 Aprile necessari per la compilazione della dichiarazione dei redditi. In considerazione dell’emergenza epidemiologica, i Sigg. Clienti sono invitati ad inviare i documenti allo Studio via email o in alternativa, sono pregati di mettersi in contatto con lo Studio per concordare le modalità di consegna.
Circolare n. 898 – SPID, CIE e CNS
Il D.L. 76/2020 ha stabilito che l’accesso dei cittadini ai servizi della Pubblica Amministrazione dovrà avvenire solamente attraverso lo SPID, la CIE o la CNS.
Per quanto riguarda invece imprese e professionisti, nulla cambia nell’immediato.
Circolare n. 886 – Gestione separata INPS
Con la circolare n. 12 del 5 febbraio 2021, l’INPS ha comunicato le aliquote per il calcolo dei contributi dovuti da tutti i soggetti iscritti alla Gestione separata dell’INPS, il valore minimale e il valore massimale annuo del reddito per l’anno 2021.
Anni di esperienza
Clienti Soddisfatti
Dottori Commercialisti
Contattaci
Le tematiche fiscali e amministrative possono risultare complesse, vieni a parlarne con noi, ti aiuteremo a trovare la soluzione che fa per te!