La Direttiva (UE) 2022/2555 (NIS2), recepita con Decreto Legislativo 4 settembre 2024 n.138, si applica alle “medie imprese” (si veda Raccomandazione 2003/361/CE) le cui attività figurano negli allegati I e II.
Nell’allegato II della direttiva (altri settori critici) figurano le imprese che si occupano della fabbricazione di sostanze e della distribuzione di sostanze o miscele e le imprese che si occupano della produzione di articoli da sostanze o miscele.
Sul sito dell’Agenzia per la cybersicurezza nazionale sono state pubblicate le FAQ sul D. Lgs. 138/2024 e tra le varie FAQ segnaliamo la A2.3.2 nella quale si evidenzia che:
I soggetti esentati, ai sensi dell’articolo 2 del regolamento 2006/1907/CE (REACH), dagli obblighi di registrazione di cui al TITOLO II del medesimo regolamento, non rientrano nell’ambito di applicazione del decreto NIS.
Per quanto sopra solo le imprese “medie” che rientrano nelle condizioni di esenzione dell’art.2 del REACH par. 1, 2 e 5 (medicinali per uso umano o veterinario, alimenti e alimenti per animali) sono esentate dall’applicazione delle disposizioni della NIS2.