Articolo 3 – Ambito di applicazione

Home » CAPO I – Disposizioni Generali (art. 1- 8) » Articolo 3 –  Ambito di applicazione

Sintesi articolo 3

Il decreto individua il proprio raggio di applicazione. I soggetti destinatari di obblighi e tutele sono distinti, e debitamente elencati nei quattro allegati a corredo del testo normativo, in soggetti attivi in settori altamente critici, attivi nei settori critici, soggetti pubblici e settori ulteriori. La normativa si applica a imprese aventi un fatturato annuo fino a 10 milioni di EUR e che occupano un numero inferiore a 50 dipendenti, presentando tuttavia alcune eccezioni per via della significatività dell’impatto sulla salute pubblica e la sicurezza di un eventuale incidente, la possibilità di un impatto transfrontaliero di un incidente che interessi tale servizio, o l’assenza di altri fornitori di detto servizio sul territorio nazionale. Con uno o più decreti del Presidente del Consiglio dei Ministri possono essere apportate modifiche all’elenco dei soggetti pubblici.

  1. Nell’ambito di applicazione del presente decreto rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV, che costituiscono parte integrante del presente decreto, che sono sottoposti alla giurisdizione nazionale ai sensi dell’articolo 5. Gli allegati I e II descrivono i settori ritenuti, rispettivamente, altamente critici e critici, nonché i relativi sottosettori e le tipologie di soggetti. Gli allegati III e IV descrivono, rispettivamente, le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetto a cui si applica il presente decreto.
  2. Il presente decreto si applica ai soggetti delle tipologie di cui all’allegato I e II, che superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE.
  3. L’articolo 3, paragrafo 4, dell’allegato alla raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, non si applica ai fini del presente decreto.
  4. Per determinare se un soggetto è da considerarsi una media o grande impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, si applica l’articolo 6, paragrafo 2, del medesimo allegato, salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce.
  5. Il presente decreto si applica, indipendentemente dalle loro dimensioni, anche:
    a) ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo, che recepisce la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
    b) ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
    c) ai prestatori di servizi fiduciari;
    d) ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
    e) ai fornitori di servizi di registrazione dei nomi di dominio.
  6. Il presente decreto si applica, altresì, anche indipendentemente dalle loro dimensioni, alle pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III.
  7. Sulla base di un criterio di gradualità, dell’evoluzione del grado di esposizione al rischio della pubblica amministrazione, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale ed economico, tenuto conto anche dei criteri di cui al comma 9, con uno o più decreti del Presidente del Consiglio dei ministri adottati secondo le modalità di cui all’articolo 40, comma 2, possono essere individuate ulteriori categorie di pubbliche amministrazioni a cui si applica il presente decreto al fine di adeguare l’elenco di categorie di cui all’allegato III.
  8. Il presente decreto si applica, altresì, indipendentemente dalle loro dimensioni, anche ai soggetti delle tipologie di cui all’allegato IV, individuati secondo le procedure di cui al comma 13.
  9. Il presente decreto si applica, altresì, anche ai soggetti dei settori o delle tipologie di cui agli allegati I, II, III e IV, indipendentemente dalle loro dimensioni, individuati secondo le procedure di cui al comma 13, qualora:
    a) il soggetto sia identificato prima della data di entrata in vigore del presente decreto come operatore di servizi essenziali ai sensi del decreto legislativo 18 maggio 2018, n. 65;
    b) il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
    c) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
    d) una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
    e) il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;
    f) il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.
  10. Il presente decreto si applica, infine, indipendentemente dalle sue dimensioni, all’impresa collegata ad un soggetto essenziale o importante, se soddisfa almeno uno dei seguenti criteri:
    a) adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
    b) detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
    c) effettua operazioni di sicurezza informatica del soggetto importante o essenziale;
    d) fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.
  11. Resta ferma la disciplina in materia di protezione dei dati personali di cui al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e al decreto legislativo 30 giugno 2003, n. 196, nonché in materia di lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile di cui al decreto legislativo 4 marzo 2014, n. 39.
  12. L’Autorità nazionale competente NIS applica la clausola di salvaguardia di cui al comma 4, secondo i criteri per la determinazione individuati con le modalità di cui all’articolo 40, comma 1.
  13. I soggetti di cui ai commi 8 e 9 sono individuati dall’Autorità nazionale competente NIS, su proposta delle Autorità di settore, secondo le modalità di cui all’articolo 40, comma 4.
    L’Autorità nazionale competente NIS notifica a tali soggetti la loro individuazione ai fini della registrazione di cui all’articolo 7, comma 1.
  14. Le disposizioni di cui all’articolo 17 e ai Capi IV e V del presente decreto non si applicano ai soggetti identificati come essenziali o importanti dei settori 3 e 4 di cui all’allegato I, ai quali si applica la disciplina di cui al regolamento (UE) 2022/2554.
  15. Il presente decreto non si applica, ai sensi dell’articolo 2, comma 10, della direttiva, ai soggetti esentati dall’ambito di applicazione del regolamento (UE) 2022/2554.

Articolo precedente

Articolo successivo

Tutti gli Articoli