La Direttiva NIS2 rappresenta oggi uno dei pilastri fondamentali per la sicurezza informatica nel settore pubblico.
Tuttavia, non tutti i Comuni sono soggetti obbligati in modo automatico: l’assoggettamento dipende da criteri ben precisi.
✅ Quando un Comune è soggetto a NIS/NIS2
Sono tenute ad applicare in modo certo la normativa NIS2 le amministrazioni incluse nell’Allegato III della normativa nazionale di recepimento.
Per quanto riguarda gli enti locali, rientrano normalmente tra i soggetti obbligati:
Comuni capoluogo di regione
Città metropolitane
Comuni con popolazione superiore a 100.000 abitanti
In aggiunta, l’Agenzia per la Cybersicurezza Nazionale (ACN) può estendere l’applicazione della NIS2 anche ad altri enti qualora svolgano funzioni considerate critiche, o laddove la loro esclusione possa compromettere la sicurezza nazionale.
Questo significa che alcuni Comuni, pur non rientrando nei criteri dimensionali, potrebbero essere inclusi per motivi funzionali o di rischio.
❓ Quando la NIS2 non si applica automaticamente
I Comuni non capoluogo, non città metropolitana e con popolazione pari o inferiore a 100.000 abitanti di norma non sono automaticamente soggetti alla NIS2.
Rimangono però potenzialmente “includibili” dall’ACN come soggetti importanti o essenziali, qualora svolgano attività o gestiscano servizi critici.
Data pubblicazione : 02/12/2025