Come faccio a sapere se la mia organizzazione è essenziale o importante?

Incrocio di due criteri: (1) settore — appartenere all'allegato I (alta criticità) o all'allegato II (altri settori critici) del DLgs 138/2024; (2) dimensione — il Soggetto Essenziale richiede ≥ 250 dipendenti OPPURE ≥ 50 milioni di euro di fatturato; il Soggetto Importante ricade nella fascia media (50-249 dipendenti o 10-50 milioni di euro). Alcuni soggetti sono essenziali per designazione a prescindere dalla dimensione (es. registri di nomi a dominio di primo livello, fornitori DNS).

La mia PMI è fuori dall'ambito del decreto NIS?

Le piccole imprese (< 50 dipendenti E < 10 milioni di euro) tipicamente non rientrano nell'ambito diretto del DLgs 138/2024. Ma se erogano servizi a un soggetto essenziale, l'art. 24 c. 2 lett. d) obbliga quel soggetto a gestire il rischio della catena di approvvigionamento — quindi ricevono clausole contrattuali e questionari di sicurezza. La pressione è indiretta ma concreta.

Le pubbliche amministrazioni rientrano nel decreto NIS?

Sì. Le amministrazioni pubbliche sono incluse direttamente nell'ambito ai sensi dell'art. 3 c. 2 lett. j) del DLgs 138/2024 — comuni, ASL, ospedali pubblici, università pubbliche. A differenza di altri Stati membri non esiste una categoria nazionale separata: la PA è valutata come soggetto essenziale o importante secondo i criteri ordinari.

Cosa significa soggetto essenziale per designazione?

Alcune categorie dell'allegato I sono essenziali a prescindere dalla dimensione dell'impresa: prestatori di servizi fiduciari qualificati, registri di nomi a dominio di primo livello (TLD), fornitori di servizi DNS, fornitori di reti pubbliche di comunicazione elettronica, alcune amministrazioni centrali. L'art. 6 del DLgs enumera i casi.

I soggetti critici CER sono anche soggetti NIS 2?

Sì. I soggetti individuati come critici ai sensi della Direttiva CER (resilienza dei soggetti critici) sono considerati soggetti essenziali ai sensi del DLgs 138/2024 a prescindere dalla soglia dimensionale — accumulano gli obblighi di resilienza fisica con quelli di cibersicurezza NIS 2.

Reglyze

Ambito del decreto NIS — art. 3 + art. 6 DLgs 138/2024

Soggetti essenziali e importanti

Q: Le pubbliche amministrazioni rientrano nel decreto NIS?

Sì. Le amministrazioni pubbliche sono incluse direttamente nell'ambito ai sensi dell'art. 3 c. 2 lett. j) del DLgs 138/2024 — comuni, ASL, ospedali pubblici, università pubbliche. A differenza di altri Stati membri non esiste una categoria nazionale separata: la PA è valutata come soggetto essenziale o importante secondo i criteri ordinari.

Q: Cosa significa soggetto essenziale per designazione?

Alcune categorie dell'allegato I sono essenziali a prescindere dalla dimensione dell'impresa: prestatori di servizi fiduciari qualificati, registri di nomi a dominio di primo livello (TLD), fornitori di servizi DNS, fornitori di reti pubbliche di comunicazione elettronica, alcune amministrazioni centrali. L'art. 6 del DLgs enumera i casi.

Q: I soggetti critici CER sono anche soggetti NIS 2?

Sì. I soggetti individuati come critici ai sensi della Direttiva CER (resilienza dei soggetti critici) sono considerati soggetti essenziali ai sensi del DLgs 138/2024 a prescindere dalla soglia dimensionale — accumulano gli obblighi di resilienza fisica con quelli di cibersicurezza NIS 2.

La prima domanda di ogni operatore italiano: "rientro nel decreto NIS"? L'incrocio del settore (allegato I o II del DLgs 138/2024) con la dimensione dell'organizzazione determina la classificazione — Soggetto Essenziale, Soggetto Importante o fuori ambito. Questa pagina spiega i criteri e mostra come la diagnosi Reglyze restituisce la sua categoria in 2 minuti.

Le categorie del decreto NIS

Soggetto Essenziale
Grandi imprese (≥ 250 dipendenti OPPURE ≥ 50 milioni di euro di fatturato) in settori dell'allegato I del DLgs 138/2024. Le misure dell'art. 24 si applicano nella versione più stringente, con vigilanza ex ante rafforzata.
Sanzione massima
Fino a 10 M€ o 2 % del fatturato annuo mondiale
Vigilanza
Ex ante (proattiva — l'ACN può ispezionare in qualsiasi momento)
art. 3 + art. 6 DLgs 138/2024 + Direttiva NIS 2 art. 3
Esempi
- Distributori di energia elettrica e gas
- Operatori di trasporto ferroviario
- Banche e infrastrutture dei mercati finanziari
- Ospedali e grandi strutture sanitarie
- Gestori del servizio idrico integrato
- Operatori di telecomunicazioni e data center
Soggetto Importante
Medie imprese (50-249 dipendenti OPPURE 10-50 milioni di euro) in settori dell'allegato I o II, e grandi imprese in settori dell'allegato II. Stesse misure minime dell'art. 24 c. 2 ma vigilanza meno intensa.
Sanzione massima
Fino a 7 M€ o 1,4 % del fatturato annuo mondiale
Vigilanza
Ex post (reattiva — dopo un incidente o una segnalazione)
art. 3 + art. 6 DLgs 138/2024 + Direttiva NIS 2 art. 3 c. 2
Esempi
- PMI in settori essenziali (acqua, sanità, energia)
- Operatori di data center indipendenti
- Industria chimica e farmaceutica
- Industria manifatturiera (allegato II)
- Fornitori di servizi digitali non essenziali
- Imprese di gestione dei rifiuti
Fuori ambito (con possibile pressione indiretta)
Piccole imprese e microimprese (< 50 dipendenti E < 10 milioni di euro) che non erogano servizi essenziali per designazione. Tipicamente fuori dall'ambito diretto del decreto NIS — ma potenzialmente esposte a pressione indiretta come fornitore rilevante (si veda la sezione dedicata).
Sanzione massima
Nessuna sanzione NIS 2 diretta
Vigilanza
Nessuna vigilanza diretta dell'ACN
Raccomandazione 2003/361/CE (soglie dimensionali)
Esempi
- Microimprese ICT senza ruolo critico designato
- Piccole software house B2B (< 50 dipendenti)
- Studi professionali e consulenze di piccole dimensioni
- Esercizi commerciali e artigianali

Pubblica amministrazione: a differenza di altri Stati membri (es. Portogallo, che crea una categoria nazionale separata), l'Italia include direttamente le amministrazioni pubbliche nell'ambito ai sensi dell'art. 3 c. 2 lett. j) del DLgs 138/2024 — comuni, ASL, ospedali pubblici e università pubbliche sono valutati come soggetti essenziali o importanti secondo i criteri ordinari.

Criterio di dimensione

La Raccomandazione 2003/361/CE definisce le categorie dimensionali usate dal decreto NIS. Basta soddisfare uno dei limiti per rientrare nella categoria corrispondente:

Categoria	Dipendenti	Fatturato OPPURE bilancio
Grande impresa	≥ 250	> 50 milioni di euro OPPURE bilancio > 43 M€
Media impresa	50-249	≤ 50 milioni di euro OPPURE bilancio ≤ 43 M€
Piccola impresa	10-49	≤ 10 milioni di euro OPPURE bilancio ≤ 10 M€
Microimpresa	< 10	< 2 milioni di euro OPPURE bilancio < 2 M€

Regola pratica: grande impresa in allegato I → essenziale. Media impresa in allegato I/II → importante. Grande impresa in allegato II → importante. Piccola o microimpresa in qualsiasi allegato → fuori dall'ambito diretto (ma potenzialmente soggetta a pressione indiretta — si veda la sezione sotto).

Settori — allegato I vs allegato II del DLgs

Allegato I — Alta criticità

11 settori

· Energia (elettricità, gas, petrolio, idrogeno, teleriscaldamento)
· Trasporti (aereo, ferroviario, per vie d'acqua, su strada)
· Settore bancario
· Infrastrutture dei mercati finanziari
· Sanità (ospedali, fabbricanti di dispositivi medici)
· Acqua potabile
· Acque reflue
· Infrastrutture digitali (DNS, IXP, data center, cloud)
· Gestione dei servizi ICT B2B (MSP, MSSP)
· Pubblica amministrazione (centrale e regionale)
· Spazio

Allegato II — Altri settori critici

7 settori

· Servizi postali e di corriere
· Gestione dei rifiuti
· Fabbricazione, produzione e distribuzione di sostanze chimiche
· Produzione, trasformazione e distribuzione di alimenti
· Fabbricazione (industria manifatturiera)
· Fornitori di servizi digitali (motori di ricerca, social, marketplace)
· Ricerca

È fuori ambito? Forse no.

Anche se la sua organizzazione non rientra direttamente nell'ambito del decreto NIS (microimpresa o piccola impresa che non eroga servizi essenziali), può essere soggetta a pressione indiretta attraverso la catena di approvvigionamento.

Fornitore rilevante di un soggetto essenziale (art. 24 c. 2 lett. d DLgs)

L'art. 24 c. 2 lett. d) del DLgs 138/2024 obbliga i soggetti essenziali a gestire il rischio della catena di approvvigionamento. Se eroga servizi ICT o altri servizi critici a una banca, un ospedale o una utility italiana, riceverà:

· Questionari di sicurezza delle informazioni da compilare periodicamente;
· Clausole contrattuali obbligatorie di cibersicurezza;
· Richieste di audit di terze parti indipendenti;
· Obblighi di notifica degli incidenti al cliente entro 24 ore.

Questo significa che la postura di sicurezza informale accettabile fino al 2024 cessa di essere un'opzione praticabile per le imprese che vendono B2B al settore regolamentato in Italia.

Riassunto — flusso di decisione

1. Il settore della mia organizzazione è nell'allegato I o II del DLgs?
- No → potenzialmente fuori dall'ambito diretto; vada al passo 4.
- Sì → continui.
2. Soddisfo i criteri di media o grande impresa (≥ 50 dipendenti OPPURE ≥ 10 milioni di euro)?
- No → piccola o microimpresa, tipicamente fuori dall'ambito diretto.
- Sì → continui.
3. Settore in allegato I + grande impresa → Soggetto Essenziale. Settore in allegato II o media impresa → Soggetto Importante.
4. Sono una pubblica amministrazione? Sì → inclusa direttamente nell'ambito (art. 3 c. 2 lett. j), valutata come essenziale o importante.
5. Erogo servizi critici a un soggetto essenziale italiano? Sì → fornitore rilevante (pressione indiretta via art. 24 c. 2 lett. d).

Lasci a Reglyze l'incrocio dei criteri. La diagnosi interattiva pone le domande giuste e restituisce la sua classificazione in 2 minuti, con la base giuridica esplicita.

Domande frequenti

Come faccio a sapere se la mia organizzazione è essenziale o importante?: Incrocio di due criteri: (1) settore — appartenere all'allegato I o II del DLgs 138/2024; (2) dimensione — il Soggetto Essenziale richiede ≥ 250 dipendenti OPPURE ≥ 50 milioni di euro di fatturato; il Soggetto Importante ricade nella fascia media (50-249 dipendenti o 10-50 milioni di euro). Alcuni soggetti sono essenziali per designazione a prescindere dalla dimensione.
La mia PMI è fuori dall'ambito del decreto NIS?: Le piccole imprese (< 50 dipendenti E < 10 milioni di euro) tipicamente non rientrano nell'ambito diretto. Ma se erogano servizi a un soggetto essenziale, l'art. 24 c. 2 lett. d) obbliga quel soggetto a gestire il rischio della catena di approvvigionamento — quindi ricevono clausole contrattuali e questionari di sicurezza. La pressione è indiretta ma concreta.
Le pubbliche amministrazioni rientrano nel decreto NIS?: Sì. Le amministrazioni pubbliche sono incluse direttamente nell'ambito ai sensi dell'art. 3 c. 2 lett. j) del DLgs 138/2024 — comuni, ASL, ospedali pubblici, università pubbliche. A differenza di altri Stati membri non esiste una categoria nazionale separata.
Cosa significa "soggetto essenziale per designazione"?: Alcune categorie dell'allegato I sono essenziali a prescindere dalla dimensione: prestatori di servizi fiduciari qualificati, registri di nomi a dominio di primo livello (TLD), fornitori DNS, fornitori di reti pubbliche di comunicazione elettronica, alcune amministrazioni centrali. L'art. 6 del DLgs enumera i casi.
I soggetti critici CER sono anche soggetti NIS 2?: Sì. I soggetti individuati come critici ai sensi della Direttiva CER (resilienza dei soggetti critici) sono considerati soggetti essenziali ai sensi del DLgs 138/2024 a prescindere dalla soglia dimensionale.

Risorse correlate

Scopra la sua categoria in 2 minuti

La diagnosi Reglyze pone le domande giuste (settore, dimensione, categoria speciale, stato di registrazione ACN, fornitore rilevante) e restituisce la sua categoria con la base giuridica esplicita. Senza carta di credito.