1. La presente direttiva si applica agli enti pubblici o privati di cui agli allegati I o II che si qualificano come medie imprese ai sensi dell'articolo 2 dell'allegato alla raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che forniscono i loro servizi o svolgono le loro attività all'interno dell'Unione.
L'articolo 3, paragrafo 4, dell'allegato di tale raccomandazione non si applica ai fini della presente direttiva.
2. Indipendentemente dalle loro dimensioni, la presente direttiva si applica anche agli enti di cui all'allegato I o II, qualora:
(a) i servizi sono forniti da:
(i) fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
(ii) servizio fiduciarioServizio fiduciario Si intende un servizio elettronico normalmente fornito a titolo oneroso che consiste: (a) nella creazione, verifica e convalida di firme elettroniche, sigilli elettronici o marche temporali elettroniche, servizi elettronici di consegna raccomandata e certificati relativi a tali servizi, o (b) nella creazione, verifica e convalida di certificati per l'autenticazione di siti web; o (c) nella conservazione di firme elettroniche, sigilli o certificati relativi a tali servizi - Definizione ai sensi dell'articolo 3, punto (16), del regolamento (UE) n. 910/2014 fornitori;
(iii) i registri dei nomi di dominio di primo livello e i fornitori di servizi di sistema di nomi di dominio;
(b) il entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) è l'unico fornitore in uno Stato membro di un servizio essenziale per il mantenimento di attività sociali o economiche critiche;
(c) l'interruzione del servizio fornito dall'ente potrebbe avere un impatto significativo sulla sicurezza pubblica, sulla pubblica sicurezza o sulla salute pubblica;
(d) l'interruzione del servizio fornito dall'entità potrebbe indurre una significativa crisi sistemica. rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)in particolare per i settori in cui tali perturbazioni potrebbero avere un impatto transfrontaliero;
(e) l'entità è critica a causa della sua specifica importanza a livello nazionale o regionale per il particolare settore o tipo di servizio, o per altri settori interdipendenti nello Stato membro;
(f) l'entità è una ente della pubblica amministrazioneEnte della Pubblica Amministrazione Si intende un ente riconosciuto come tale in uno Stato membro in conformità al diritto nazionale, ad esclusione del sistema giudiziario, dei parlamenti o delle banche centrali, che soddisfa i seguenti criteri: (a) è istituito per soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale; (b) ha personalità giuridica o è autorizzato dalla legge ad agire per conto di un altro ente con personalità giuridica; (c) è finanziata in larga misura dallo Stato, dalle autorità regionali o da altri organismi di diritto pubblico, è soggetta al controllo della gestione da parte di tali autorità o organismi, o ha un consiglio di amministrazione, di gestione o di vigilanza i cui membri sono nominati per più della metà dallo Stato, dalle autorità regionali o da altri organismi di diritto pubblico; (d) ha il potere di indirizzare a persone fisiche o giuridiche decisioni amministrative o regolamentari che incidono sui loro diritti nella circolazione transfrontaliera di persone, beni, servizi o capitali. - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2):
(i) dell'amministrazione centrale come definita da uno Stato membro in conformità alla legislazione nazionale; o
(ii) a livello regionale, come definito da uno Stato membro in conformità con la legislazione nazionale che, a seguito di una valutazione basata sul rischio, fornisce servizi la cui interruzione potrebbe avere un impatto significativo su attività sociali o economiche critiche.
3. Indipendentemente dalle loro dimensioni, la presente direttiva si applica ai soggetti identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557.
4. Indipendentemente dalle loro dimensioni, la presente direttiva si applica alle entità che forniscono servizi di registrazione di nomi di dominio.
5. Gli Stati membri possono prevedere che la presente direttiva si applichi a:
(a) enti della pubblica amministrazione a livello locale;
(b) gli istituti di istruzione, in particolare quando svolgono attività di ricerca critiche.
6. La presente direttiva non pregiudica la responsabilità degli Stati membri di salvaguardare la sicurezza nazionale e il loro potere di salvaguardare altre funzioni essenziali dello Stato, tra cui garantire l'integrità territoriale dello Stato e mantenere l'ordine pubblico.
7. La presente direttiva non si applica agli enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell'applicazione della legge, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati.
8. Gli Stati membri possono esentare determinati enti che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell'applicazione della legge, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati, o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui al paragrafo 7 del presente articolo, dagli obblighi di cui agli articoli 21 o 23 in relazione a tali attività o servizi. In tali casi, le misure di vigilanza e di esecuzione di cui al capitolo VII non si applicano in relazione a tali attività o servizi specifici. Qualora gli enti svolgano attività o prestino servizi esclusivamente del tipo di cui al presente paragrafo, gli Stati membri possono decidere di esentare tali enti anche dagli obblighi di cui agli articoli 3 e 27.
9. I paragrafi 7 e 8 non si applicano quando un'entità agisce in qualità di fornitore di servizi fiduciariFornitore di servizi fiduciari Persona fisica o giuridica che presta uno o più servizi fiduciari in qualità di prestatore di servizi fiduciari qualificato o non qualificato - Definizione ai sensi dell'articolo 3, punto (19), del Regolamento (UE) n. 910/2014.
10. La presente direttiva non si applica agli enti che gli Stati membri hanno esentato dall'ambito di applicazione del Regolamento (UE) 2022/2554 in conformità all'articolo 2, paragrafo 4, di tale regolamento.
11. Gli obblighi previsti dalla presente direttiva non comportano la comunicazione di informazioni la cui divulgazione sia contraria agli interessi essenziali della sicurezza nazionale, della pubblica sicurezza o della difesa degli Stati membri.
12. La presente direttiva si applica fatti salvi il regolamento (UE) 2016/679, la direttiva 2002/58/CE, le direttive 2011/93/UE e 2013/40/UE del Parlamento europeo e del Consiglio e la direttiva (UE) 2022/2557.
13. Fatto salvo l'articolo 346 TFUE, le informazioni riservate ai sensi di norme dell'Unione o nazionali, quali le norme sulla riservatezza delle imprese, sono scambiate con la Commissione e con altre autorità competenti in conformità alla presente direttiva solo se tale scambio è necessario per l'applicazione della presente direttiva. Le informazioni scambiate sono limitate a quelle pertinenti e proporzionate allo scopo dello scambio. Lo scambio di informazioni deve preservare la riservatezza di tali informazioni e proteggere la sicurezza e gli interessi commerciali degli enti interessati.
14. Le entità, le autorità competenti, gli sportelli unici e i CSIRT trattano i dati personali nella misura necessaria ai fini della presente direttiva e in conformità al regolamento (UE) 2016/679, in particolare tale trattamento si basa sull'articolo 6 dello stesso.
Il trattamento dei dati personali ai sensi della presente direttiva da parte dei fornitori di reti pubbliche di comunicazione elettronica o dei fornitori di servizi di comunicazione elettronica accessibili al pubblico è effettuato in conformità alla normativa dell'Unione in materia di protezione dei dati e alla normativa dell'Unione in materia di privacy, in particolare alla direttiva 2002/58/CE.