Case history Vendor Selection CIO & Innovation Analytics Cloud Computing Edge Computing Sostenibilità Industria 4.0 Intelligenza Artificiale Software TechTarget Resource Center

normative

NIS2 e servizi ICT infragruppo: quando scatta l’obbligo di registrazione

Home TechTarget SearchSecurity
Partecipa al dibattito
Indirizzo copiato

Molte aziende si ritengono esenti dalla NIS2 perché operano in settori non critici. Ma non sempre è così: la fornitura attiva di servizi ICT infragruppo può renderle soggette alla normativa. ACN chiarisce quando scatta l’obbligo

Pubblicato il 22 dic 2025
Shutterstock_2694644261

Una delle questioni che ha generato più discussioni nel 2025 riguarda l’applicazione della NIS2 ai fornitori ICT infragruppo. Molte aziende che operano in settori non inclusi nella direttiva – come moda, lusso o food – hanno ritenuto di non dover avviare alcuna registrazione.

In occasione di un convegno coordinato con il Clusit, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha però chiarito che questa interpretazione può risultare errata, perché il vero criterio non è il settore, ma la natura dei servizi ICT erogati all’interno del gruppo.

L’errore interpretativo: settore di attività vs servizi ICT erogati

Secondo Milena Rizzi (Prefetto capo servizio autorità e sanzioni, ACN), l’errore più comune è ritenere che la non appartenenza ai settori elencati dalla direttiva equivalga automaticamente all’esenzione. «La materia è complessa, quindi è comprensibile che alcune organizzazioni, per loro natura, non risultino riconducibili ai settori previsti dalla direttiva».

Prosegue spiegando che «l’errore ricorrente è ritenere che operare in un settore non indicato come core dalla direttiva significhi essere automaticamente esenti».

Il punto corretto non è il settore in cui si opera, ma il ruolo che l’organizzazione svolge nella gestione ICT del gruppo.

Se un’azienda non opera in un settore NIS2 ma eroga servizi ICT alle controllate, deve porsi la domanda: questa attività mi qualifica come soggetto NIS2?

Quando un’azienda diventa fornitore ICT infragruppo

Molte organizzazioni tendono istintivamente a cercare argomenti per escludersi dalla normativa. Come osserva Rizzi: «Se ci si pone nell’ottica di voler allontanare questo “amaro calice”, si cercano tutte le scuse per evitarlo. Ma bisogna considerare un aspetto», ovvero che la classificazione dipende da come i servizi sono effettivamente erogati.

Per valutare correttamente la propria posizione, Rizzi ricorda che occorre «capire se si tratti di un’erogazione attiva, con un’integrazione dei sistemi del fornitore con la rete e i sistemi del committente».

Il test dell’integrazione attiva e la domanda da porsi

Per stabilire se un’azienda eroga servizi ICT infragruppo rilevanti ai fini NIS2, Rizzi suggerisce un litmus test molto concreto:

«I servizi vengono erogati con amministrazione attiva, personale dedicato e integrazione dei sistemi con quelli delle controllate?».

Se la risposta è sì, si tratta di un’erogazione attiva e l’azienda ricade nel perimetro.

Tra gli esempi che comportano attrazione:

  • una capogruppo che gestisce un datacenter utilizzato da tutte le controllate
  • un SOC interno che monitora la sicurezza per l’intero gruppo
  • un reparto ICT che gestisce Active Directory o identity management per tutte le società

Esempi che invece non comportano attrazione:

  • semplice distribuzione di licenze software
  • acquisto centralizzato di servizi cloud senza personalizzazioni
  • funzioni meramente amministrative di procurement ICT

Come sintetizza Rizzi: «Se i servizi vengono erogati in prima persona, con proprie reti, sistemi e personale, allora ci si deve registrare».

Le conseguenze dell’attrazione nella NIS2

Una volta attratta nella NIS2, l’organizzazione può essere classificata anche come soggetto essenziale, soprattutto se le sue attività ICT sostengono settori critici o un gruppo di grandi dimensioni.

Rizzi chiarisce: «Nel caso di un’organizzazione estesa che opera in settori non considerati dalla direttiva, ma in cui la capogruppo eroga servizi infragruppo — direttamente o tramite una società veicolo — questo determina l’attrazione nell’ambito di applicazione».

La classificazione come “essenziale” comporta obblighi più stringenti:

Per molte aziende, scoprire di rientrare nella normativa per via dei servizi ICT e non del settore rappresenta un cambio di prospettiva significativo.

L’orientamento europeo: non è un’anomalia italiana

Una domanda frequente posta ad ACN è se questa interpretazione sia un’anomalia nazionale.

Rizzi risponde chiarendo che non è così: «Quando è emersa la problematica, l’Italia — che ha recepito per prima, insieme al Belgio, la NIS2 — si è attivata per interagire con la Commissione e rappresentare il proprio orientamento».

Da Bruxelles è arrivata conferma della coerenza interpretativa, e il Belgio ha fornito chiarimenti «nella stessa direzione».

Si tratta quindi di un orientamento europeo, non di una peculiarità italiana.

Cosa fare se ci si riconosce in questa descrizione

Se un’azienda si rende conto di aver erogato servizi ICT infragruppo ma non si è registrata, la domanda naturale è se questo possa comportare sanzioni.

Rizzi incoraggia ad agire tempestivamente: «Meglio prima che mai, e soprattutto prima di quando potremmo scoprirlo noi; è un po’ il principio — usato impropriamente — del cosiddetto ravvedimento operoso».

L’autosegnalazione all’apertura della finestra di gennaio 2026 è quindi preferibile rispetto all’attesa di un controllo.

L’errore iniziale è comprensibile: «Potrei essere stato ingannato dal fatto che la mia attività si svolge in un altro settore, e quindi inizialmente non ci ho fatto caso», dice Rizzi.

Ciò che ACN non accetta è l’omissione consapevole dopo aver compreso l’obbligo.

L’importanza dell’autodichiarazione corretta

Le aziende che sospettano di rientrare nella definizione di fornitori ICT infragruppo dovrebbero predisporre una valutazione documentata dei servizi erogati. Questa attività permette di:

  • chiarire internamente i processi e le responsabilità
  • presentare una autodichiarazione accurata
  • dimostrare due diligence in caso di ispezioni
  • ridurre possibili contestazioni future

È un passaggio non solo normativo, ma di trasparenza e governance.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mattia Lanzarone
Appassionato di videogiochi, musica e cultura digitale, ho sempre vissuto la tecnologia prima di tutto come spazio di scoperta e immaginazione. Dopo la laurea in Scienze Umanistiche per la Comunicazione all’Università degli Studi di Milano e un master in Editoria e Produzione Musicale e Audiovisiva alla Scuola di Comunicazione IULM, mi sono dedicato alla creazione di contenuti e alla definizione del linguaggio di progetti innovativi. Ho lavorato su tone of voice e brand book per esperienze tecnologiche come Futura by Plenitude, affiancando brand e istituzioni nella narrazione di percorsi immersivi e digitali

Leggi anche:

guest
0 Commenti
Più recenti Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Aziende

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Shutterstock_2291084033

  • Infrastrutture

    OVHcloud: operativo il nuovo data center italiano

    12 Dic 2025

    di Redazione

    Condividi
  • Shutterstock_2231242951

  • guida

    Digital Employee Experience: come evolvono le piattaforme per il nuovo workplace ibrido

    11 Nov 2025

    di Federico Parravicini

    Condividi
  • Google ransomware 

  • Cybersecurity

    Google introduce nuove difese AI contro i ransomware in Drive

    08 Ott 2025

    di Roberta Fiorucci

    Condividi
  • Employee Wallet

  • Digital360 Awards 2025

    Employee Wallet: la soluzione InfoCert per la gestione delle credenziali professionali

    17 Set 2025

    Condividi