2690597c

IL NUOVO ACCORDO STATO REGIONI

Wed, 18 Jun 2025 16:17:51 GMT

NUOVO ACCORDO STATO REGIONI: LE PRINCIPALI NOVITA'

Il 24 maggio 2025 è stato pubblicato in Gazzetta Ufficiale il Nuovo Accordo Stato Regioni del 17/04/2025

Ecco di seguito le principali novità

FORMAZIONE LAVORATORI

Non sono state apportate modifiche rispetto a quanto indicato dall’Accordo Stato Regioni precedente. Il lavoratore deve ricere idonea formazione conforme al D.lgs. 81/08 ed Accordo Stato Regioni del 17/04/2025 entro e non oltre 60 giorni dall’assunzione e comunque prima di essere assegnato a mansioni che comportano rischi, inoltre la formazione deve avvenire in orario di lavoro e non deve comportare oneri economici a carico del lavoratore.

La formazione generale dei lavoratori resta di 4 ore complessive, indipendentemente dalla classe di rischio aziendale.

La formazione specifica resta di 4 ore complessive per i lavoratori di aziende di settori di classe di rischio basso.

La formazione specifica resta di 8 ore complessive, per i lavoratori di aziende di settori di classe di rischio medio.

La formazione specifica resta di 12 ore complessive, per i lavoratori di aziende di settori di classe di rischio alto.

Rimane valido il principio secondo cui i lavoratori, a prescindere dal settore di appartenenza, che non svolgano mansioni che comportino la loro presenza (anche solo saltuaria), nei reparti produttivi/logistica, ossia coloro che hanno solo ruolo impiegatizio e svolgono attività a video terminale, possono frequentare i corsi individuati per il rischio basso con le relative modalità di erogazione.

Anche per l’aggiornamento della formazione lavoratori non ci sono variazioni, va svolto con periodicità quinquennale per una durata minima di 6 ore complessive, indipendentemente dalla classe di rischio.

Il test di verifica finale è obbligatorio, mediante test o colloquio:

1) Il test dovrà avere almeno 30 domande con almeno 3 risposte alternative.

2) L’esito sarà positivo quando sarà dato almeno il 70% di risposte corrette.

FORMAZIONE PREPOSTI

La formazione dei preposti è un corso integrativo, accessibile solo dopo aver frequentato la formazione generale e specifica come lavoratore.

La durata del corso formativo preposti è variata: si è passati ad un minimo di 12 ore (nel precedente Accordo 21/12/11 le ore minime di formazione erano 8), questo corso inoltre non può essere erogato in modalità e-learning.

Il test di verifica finale è obbligatorio, mediante test o colloquio:

1) Il test dovrà avere almeno 30 domande con almeno 3 risposte alternative.

2) L’esito sarà positivo quando sarà dato almeno il 70% di risposte corrette.

L’aggiornamento della formazione è stato portato a cadenza biennale (nel precedente Accordo 21/12/11 era quinquennale) per una durata minima di 6 ore.

Il test di verifica finale del corso di aggiornamento è obbligatorio, mediante test o colloquio:

1) Il test dovrà avere almeno 10 domande con almeno 3 risposte alternative.

2) L’esito sarà positivo quando sarà dato almeno il 70% di risposte corrette.

I preposti che hanno svolto il corso base o l’ultimo corso di aggiornamento da più di 2 anni, devono svolgere il corso di aggiornamento entro 12 mesi dalla data di entrata in vigore del Nuovo Accordo Stato Regioni.

FORMAZIONE DIRIGENTI

Il corso di formazione per Dirigenti è stato ridotto a 12 ore (rispetto alle 16 ore precedenti), ma è stato introdotto il modulo “cantieri” di 6 ore per i dirigenti delle imprese affidatarie nei cantieri temporanei e mobili.

Nessuna variazione per quanto riguarda l’aggiornamento: 6 ore, periodicità quinquennale.

FORMAZIONE DATORE DI LAVORO

Il Nuovo Accordo Stato Regioni ha introdotto per la prima volta la formazione per Datori di Lavoro della durata di 16 ore.

Per i datori di lavoro di imprese affidatarie nei cantieri temporanei e mobili si dovrà aggiungere il modulo aggiuntivo “cantieri” di 6 ore.

I Datori di Lavoro dovranno svolgere questa formazione entro 2 anni dall’entrata in vigore del Nuovo Accordo Stato Regioni.

L’aggiornamento è previsto con periodicità quinquennale con durata minima di 6 ore.

ORGANIZZAZIONE DEI CORSI

Il Soggetto Formatore deve predisporre il “progetto formativo”, ossia il documento che descrive l’intero processo di progettazione, in cui dovranno essere riportati nel dettaglio tutte le informazioni e gli elementi che caratterizzano l’azione formativa. Il documento progettuale (o progetto formativo) dovrà riportare:

1. Le specifiche del percorso formativo, ossia: obbiettivi e risultati attesi, articolazione oraria delle unità didattiche, contenuti e argomenti trattati in ciascuna unità didattica.

2. Le specifiche di realizzazione (modalità di sviluppo dell’azione formativa in termini metodologici e strumentali), ossia: la strategia formativa e le metodologie didattiche, il materiale didattico e gli strumenti didattici di supporto, le azioni di tutoraggio, le azioni di tutoraggio.

3. Le specifiche di controllo e verifica, ossia: le modalità di valutazione e monitoraggio della qualità formativa (mediante questionari di gradimento), le modalità e i criteri di verifica e valutazione dell’apprendimento.

Il numero massimo di partecipanti ad ogni corso è diminuito: da 35 a 30 e per le attività pratiche il rapporto istruttore/allievi deve essere di 1:6, lasciando invariato quanto già previsto dall’Accordo Statto Regioni del 22/02/2012 relativo alle attrezzature di lavoro.

Per ogni corso potrà essere tenuto un registro che potrà essere in formato cartaceo o elettronico.

In tutti i corsi di formazione deve essere predisposto e archiviato un “verbale delle verifiche finali”, su supporto cartaceo o elettronico contenente i seguenti elementi minimi:

1. Dati identificativi del soggetto formatore e del soggetto che eroga il corso.

2. Dati del corso (tipologia e durata del modulo/moduli).

3. Elenco degli ammessi alla verifica e relativo esito.

4. Luogo e data della verifica finale.

5. Sottoscrizione del verbale da parte del responsabile del progetto formativo.

6. Esiti documentati dei risultati.

ATTESTATI FORMATIVI

Al termine di tutti i corsi di formazione (base e aggiornamento), qualora il partecipante abbia frequentato il numero minimo di ore (pari al 90% del totale) e superato la verifica finale di apprendimento, il soggetto formatore rilascerà un attestato che dovrà contenere almeno i seguenti dati:

1. Denominazione del soggetto formatore.

2. Dati anagrafici del partecipante al corso (nome, cognome, codice fiscale).

3. Tipologia di corso con riferimento normativo e durata.

4. Modalità di erogazione del corso.

5. Firma del Legale Rappresentante del soggetto formatore o suoi incaricati, preferibilmente in formato digitale.

6. Data e luogo.

Questi attestati avranno validità su tutto il territorio nazionale.

FASCICOLO DEL CORSO

Per ogni corso di formazione e aggiornamento, il soggetto formatore dovrà provvedere alla custodia/archiviazione (cartacea o elettronica) del così detto “Fascicolo del Corso”. Questo insieme di documenti deve essere conservato presso il soggetto formatore per almeno 10 anni e deve contenere:

1. Dati anagrafici dei partecipanti.

2. Registro presenze dei partecipanti con firme.

3. Elenco dei docenti con firme.

4. Progetto formativo e programma del corso.

5. Verbale di verifica finale.

Il Nuovo Accordo Stato Regioni non legifera in merito ai corsi base e aggiornamento per: RLS, addetti al primo soccorso e addetti antincendio, per i quali non sono subentrate modifiche pertanto, determinate dall’entrata in vigore del Nuovo Accordo Stato Regioni e per lo svolgimento dei quali si continua a fare riferimento alle normative vigenti in merito.

NIS2: LE MISURE DI SICUREZZA DI BASE PER I SOGGETTI CLASSIFICATI IMPORTANTI

Fri, 16 May 2025 18:09:43 GMT

DETERMINA ACN CHE STABILISCE LE MODALITA' E SPECIFICHE DI BASE PER L'ADEMPIMENTO AGLI OBBLIGHI DI LEGGE PREVISTI DAL D.LGS. 138/2024 "NIS2"

CONTENUTO DELLA DETERMINA DELL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE

Tutti coloro che hanno provveduto a registrarsi presso la piattaforma ACN (Agenzia Nazionale per la Cybersicurezza) entro i termini di legge (vedisi mio articolo dello scorso 11 novembre sempre pubblicato sul mio sito web), hanno ricevuto tra fine marzo e il mese di aprile 2025 riscontro da parte dell'ACN sulla loro soggettività o meno: in caso di soggettività sono stati classificati come soggetti "importanti" o "essenziali".

In questo articolo spiego le misure di sicurezza che dovranno essere adottate dai soggetti classificati "importanti", chiarite attraverso un Determina emanata dalla ACN il 14 aprile, la quale ha stabilito che:

A - Le misure di sicurezza di base da attuare sono suddivise in nr. 2 allegati:

1) Allegato 1: rivolto ai soggetti classificati come “IMPORTANTI”;

2) Allegato 2: rivolto ai soggetti classificati come “ESSENZIALI”.

B – Gli incidenti significativi di base sono stabiliti:

1) Allegato 3: per i soggetti classificati come “IMPORTANTI”;

2) Allegato 4: per i soggetti classificati come “ESSENZIALI”.

IL TERMINE PER L’ADOZIONE DELLE MISURE DI SICUREZZA DI BASE RICHIESTE E’ FISSATO IN 18 MESI DALLA RICEZIONE, DA PARTE DEL SOGGETTO NIS, DELLA COMUNICAZIONE DI INSERIMENTO DELL’ELENCO DEI SOGGETTI NIS, INOLTRATA DALLA ACN COME RISCONTRO ALLA REGISTRAZIONE ESEGUITA ENTRO I TERMINI DI TEMPO STABILITI DALLA LEGGE (D.lgs. 138/2024).

ATTRAVERSO QUESTO ARTICOLO ANALIZZIAMO LE MISURE DI SICUREZZA CHE DOVRANNO IMPLEMENTARE I SOGGETTI CLASSIFICATI IMPORTANTI

ALLEGATO 1 – ADEMPIMENTI PER I SOGGETTI (AZIENDE/ENTI) CLASSIFICATI COME IMPORTANTI

GOVERN – Contesto Organizzativo

In questo ambito serve l’implementazione di procedure specifiche

1) Analizzare il contesto: missione, aspettative degli stakeholder (ossia clienti, fornitori, finanziatori, collaboratori dipendenti, gruppi di interesse locale o esterni), dipendenze, requisiti legali e contrattuali, che influiscono sulle decisioni di gestione del rischio di cybersicurezza.

2) Analizzare gli obbiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che si aspettano dall’organizzazione: comunicarli e farli comprendere, mantenendo un elenco aggiornato dei sistemi operativi e di rete rilevanti.

3) Definire, attuare e mantenere aggiornato e documentato un piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare, valutare, trattare e monitorare i rischi.

4) Stabilire e comunicare i ruoli, le responsabilità e i correlati poteri in materia di cybersecurity per promuovere l’accountability, la valutazione delle prestazioni e il miglioramento continuo.

5) Mantenere l’elenco aggiornato del personale avente specifici ruoli e responsabilità.

6) Stabilire chi è il referente NIS (punto di contatto) e almeno un suo sostituto.

7) Almeno ogni 2 anni (od ogni qualvolta si verifica un incidenti significativi, variazioni organizzative o mutamenti dell’esposizione delle minacce ai relativi rischi) riesaminare e se opportuno aggiornare i ruoli e le responsabilità.

8) Includere la cybersecurity nelle pratiche delle risorse umane, attraverso procedure che diano evidenza circa quanto segue:

- per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi deve essere individuato previa valutazione dell’esperienza, capacità ed affidabilità e deve fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica.

- gli amministratori di sistema dei sistemi informativi e di rete vanno individuati previa valutazione dell’esperienza, capacità ed affidabilità e devono fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica.

9) Devono essere adottate e documentate politiche di sicurezza informatica per almeno i seguenti ambiti:

- Gestione del rischio.

- Ruoli e responsabilità.

- Affidabilità delle risorse umane.

- Conformità e audit di sicurezza.

- Gestione dei rischi per la sicurezza informatica della catena di approvvigionamento.

- Gestione degli asset.

- Gestione delle vulnerabilità.

- Continuità operativa, ripristino in caso di disastro e gestione delle crisi.

- Gestione dell’autenticazione, delle identità digitali e del controllo accessi.

- Sicurezza fisica.

- Formazione del personale e consapevolezza.

- Sicurezza dei dati.

- Sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete.

- Protezione delle reti e delle comunicazioni.

- Monitoraggio degli eventi sicurezza.

- Risposta agli incidenti e ripristino.

10) Con cadenza almeno annuale (o qualora si verifichino evoluzioni del contesto normativo in materia di sicurezza informatica, incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e relativi rischi), la politica per la gestione del rischi va revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione della organizzazione.

11) Identificare, stabilire, gestire e monitorare i processi di gestione del rischio di cybersicurezza nella catena di approvvigionamento, nello specifico:

- Mantenere un inventario aggiornato dei fornitori, le cui forniture hanno un potenziale impatto sulla sicurezza dei sistemi informativi e di rete, che comprenda almeno: gli estremi di contatto del referente della fornitura e la tipologia della fornitura.

- Inserire nelle richieste di offerta/bandi di gara/accordi/convenzioni i requisiti di sicurezza.

- Registrare, prioritizzare, valutare, trattare, monitorare nel corso del rapporto di lavoro, i rischi posti da un fornitore. A tal fine sono valutati: il livello di accesso del fornitore ai sistemi informativi e di rete del soggetto NIS, l’accesso del fornitore alla proprietà intellettuale e ai dati anche sulla base della loro criticità, l’impatto di una grave interruzione di fornitura, i tempi e i costi di ripristino in caso di indisponibilità dei servizi, i ruoli e le responsabilità del fornitore nel governo dei sistemi informativi e di rete.

- La conformità ai requisiti delle forniture va verificata e documentata periodicamente.

IDENTIFITY – Gestione degli asset

In questo ambito serve l’implementazione di inventari specifici ed esecuzione dell’analisi dei rischi

1) Mantenere un inventario aggiornato degli apparati fisici (hardware) che compongono i sistemi informativi e di rete, ivi inclusi i dispositivi IT, Iot, OT e mobili.

2) Mantenere un inventario aggiornato dei servizi, dei sistemi e delle applicazioni software che compongono i sistemi informativi e di rete, ivi incluse le applicazioni commerciali open-source e custom, anche accessibili tramite API, approvati da attori interni al soggetto NIS.

3) Mantenere un inventario aggiornato dei servizi informatici erogati dai fornitori, ivi inclusi i servizi cloud.

4) Le vulnerabilità negli asset vanno identificate, confermate e registrate (si consiglia di eseguire un vulnerability assesment con cadenza annuale).

5) Con cadenza almeno biennale (o qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e relativi rischi), effettuare la valutazione dei rischi (per chi è in possesso del DPIA conforme al GDPR, integrare quello), anche con riferimento alle eventuali dipendenze da fornitori e partner terzi, documentando, eseguendo e monitorando un piano di trattamento del rischio (piano di miglioramento) che comprenda anche la descrizione e le ragioni che giustificano l’accettazione di eventuali rischi residui.

6) Definire, attuare e mantenere aggiornato e documentato un piano di gestione delle vulnerabilità.

7) Stabilire e mantenere aggiornati i piani di risposta agli incidenti informatici e di un piano per la gestione delle crisi.

PROTECT – Gestione delle identità, autenticazione e controllo degli accessi

In questo ambito serve l’implementazione di piani formativi e misure di sicurezza a livello di autenticazione e permessi utente

1) Impiegare modalità di autenticazione multi fattore.

2) I permessi vanno assegnati alle utenze in accordo ai principi del minimo privilegio e della separazione delle funzioni, tenuto anche conto della necessità di conoscere (need to know), assicurando la completa distinzione tra utenze con e senza privilegi amministrativi degli amministratori di sistema alle quali debbono credenziali diverse.

3) L’accesso fisico ai sistemi informativi e di rete rilevanti deve essere protetto.

4) Il personale deve essere formato in materia di cybersicurezza: vanno indicati i contenuti della formazione fornita e va svolto test di apprendimento finale.

5) Va tenuto e mantenuto aggiornato un registro recante l’elenco dei dipendenti che hanno ricevuto la formazione in materia di cybersicurezza.

SICUREZZA DEI DATI – Gestione della protezione dei dati conformemente e integrando quanto disposto dal GDPR

In questo ambito serve l’implementazione di misure di sicurezza specifiche a integrazione di quanto già previsto dalla normativa vigente in materia di protezione dei dati personali

1) I dati memorizzati su dispositivi portatili, ivi incusi laptop, smartphone, tablet e sui supporti rimovibili devono essere cifrati con protocolli e algoritmi allo stato dell’arte e considerati sicuri.

2) Deve essere disabilitata l’auto esecuzione dei supporti rimovibili ed effettuata la loro scansione, al fine di rilevare codici malevoli, prima che siano utilizzati nei sistemi informativi e di rete.

3) Per la trasmissione dei dati da e verso l’esterno vanno utilizzati protocolli e algoritmi di cifratura allo stato dell’arte e considerati sicuri.

4) Vanno installati e usati solo software (compresi sistemi operativi) per i quali è garantita la disponibilità di aggiornamenti di sicurezza e gli aggiornamenti vanno installati senza ingiustificato ritardo.

5) Tutti gli accessi eseguiti da remoto e quelli effettuati con privilegi amministrativi sono registrati, vanno conservati in modo sicuro e possibilmente centralizzato.

6) Devono essere adottate e documentate pratiche di sviluppo sicuro del codice nello sviluppo del software.

7) Le architetture di sicurezza (comprese le perimetrali) vanno gestite per proteggere la riservatezza, l’integrità e la disponibilità degli asset e la resilienza organizzativa.

8) Mantenere un elenco aggiornato dei sistemi informativi e di rete ai quali è possibile accedere da remoto con la descrizione delle relative modalità di accesso e definire e documentare le eventuali attività consentite da remoto, implementando adeguate misure di sicurezza per l’accesso.

9) Devono essere presenti, aggiornati, mantenuti e configurati i sistemi perimetrali, quali firewall.

10) Tutte le procedure di cui sopra vanno documentate.

DETECT – Monitoraggio continuo degli asset

In questo ambito serve l’implementazione di misure di verifica continua al fine di rilevare tempestivamente incidenti significativi

1) Devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato strumenti tecnici per rilevare tempestivamente gli incidenti significativi.

2) Devono essere definiti e documentati i livelli di servizio attesi dei servizi e delle attività del soggetto nis, anche ai fini di rilevare tempestivamente gli incidenti significativi.

3) Devono essere presenti, mantenuti aggiornati e configurati in modo adeguato, sistemi di protezione delle postazioni terminali per il rilevamento del codice malevolo.

RM Consulting è in grado di assistervi per il completo adeguamento burocratico/normativo/formativo.

LA NUOVA DIRETTIVA NIS 2

Mon, 11 Nov 2024 10:26:49 GMT

LA NUOVA DIRETTIVA NIS 2 | D.LGS. 138/2024

Il 16 ottobre 2024 è entrata in vigore la nuova direttiva NIS 2, che va ad integrarsi con le varie normative e linee guida europee in tema di protezione dei dati personali: l’obbiettivo è garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione Europea, in modo da migliorare il funzionamento del mercato interno.

RIFERIMENTI NORMATIVI: D.lgs. 138/2024 che recepisce la Direttiva UE 2022/2555.

INNANZI TUTTO: CHI È SOGGETTO?

I COSÌ DETTI SOGGETTI ESSENZIALI (ALLEGATO I) CHE SUPERANO I MASSIMALI PER LE PICCOLE IMPRESE

(OLTRE 50 DIPENDENTI, FATTURATO O TOTALE DI BILANCIO ANNUO FINO A 10 MILIONI DI EURO):

ENERGIA

Energia elettrica

Impresa elettrica

Gestori del sistema di distribuzione

Gestori del sistema di trasmissione

Produttori

Partecipanti al mercato della energia elettrica

Gestori di un punto di ricarica responsabili della gestione e del funzionamento di un punto di ricarica che fornisce un servizio di ricarica a utenti finali, anche per nome e per contro di un fornitore di servizi di mobilità

Teleriscaldamento e tele raffrescamento

Gestori di teleriscaldamento o tele raffrescamento

Petrolio

Gestori di oleodotti

Gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio

Organismi centrali di stoccaggio

Gas

Imprese fornitrici

Gestori del sistema di retribuzione

Gestori del sistema di trasporto

Gestori dell’impianto di stoccaggio

Gestori del sistema GNL

Imprese di gas naturale

Gestori di impianti di raffinazione e trattamento di gas naturale

Gestione di impianti di produzione, stoccaggio e trasporto di idrogeno

TRASPORTI

Trasporto aereo

Vettori aerei utilizzati a fini commerciali

Gestori aeroportuali, compresi aeroporti centrali e soggetti che gestiscono impianti annessi situati in aeroporti

Operatori attivi nel controllo della gestione del traffico che forniscono un servizio del controllo del traffico aereo

Trasporto ferroviario

Gestori dell’infrastruttura

Imprese ferroviarie, compresi gli operatori degli impianti di servizio

Trasporto per vie d’acqua

Compagnie di navigazione per il trasporto per vie d’acqua interne, marittimo

e costiero di passeggeri e merci, escluse le singole navi gestite da tali compagnie

Organi di gestione dei porti, compresi i relativi impianti portuali e soggetti che gestiscono opere e attrezzature all’interno di porti

Gestori di servizi di assistenza al traffico marittimo (VTS)

Trasporti su strada

Autorità stradali esclusi i soggetti pubblici per i quali la gestione del traffico o la gestione dei sistemi di trasporto intelligenti costituiscono soltanto una parte non essenziale della loro attività generale

Gestori di sistemi di trasporto intelligenti

SETTORI BANCARIO

Enti creditizi

INFRASTRUTTURE DI MERCATI FINANZIARI

Gestori delle sedi di negoziazione

Controparti centrali (CCP)

SETTORE SANITARIO

Prestatori di assistenza sanitaria

Laboratori di riferimento dell’UE

Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali

Soggetti che fabbricano dispositivi medici considerati critici durante una emergenza di sanità pubblica

(elenco dei dispositivi critici per l’emergenza di sanità pubblica)

ACQUA POTABILE

Fornitori e distributori di acque destinate al consumo umano, esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione di altri prodotti e beni.

ACQUE REFLUE

Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali, escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, domestiche o industriali è una parte non essenziale della loro vita generale.

INFRASTRUTTURE DIGITALI

Fornitori di punti di intercambio internet

Fornitori di servizi di sistema dei nomi di dominio (domain name system – DNS),

esclusi gli operatori dei server dei nomi radice (indipendentemente dalle dimensioni)

Gestori di registri dei nomi di dominio di primo livello (top level domain – TLD) (indipendentemente dalle dimensioni)

Fornitori di servizi cloud computing

Fornitori di servizi di data center

Fornitori di reti di distribuzione dei contenuti (content delivery network) (indipendentemente dalle dimensioni)

Prestatori di servizi fiduciari (indipendentemente dalle dimensioni)

Fornitori di rete pubbliche di comunicazione elettronica

Fornitori di servizi di comunicazione elettronica accessibili al pubblico (indipendentemente dalle dimensioni)

GESTIONE DEI SERVIZI TIC (business to business)

Fornitori di servizi gestiti

Fornitori di servizi di sicurezza gestiti

SPAZIO

Operatori di infrastrutture terrestri possedute, gestite e operate dagli stati membri o da privati,

che sostengono la fornitura di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica

I COSÌ DETTI SETTORI CRITICI - IMPORTANTI (ALLEGATO II)

(OLTRE 50 DIPENDENTI, FATTURATO O TOTALE DI BILANCIO ANNUO FINO A 10 MILIONI DI EURO)

FABBRICAZIONE

Fabbricazione di dispositivi medici e di dispositivi medico diagnostici in vitro

Soggetti che fabbricano dispositivi medici e soggetti che fabbricano dispositivi medico-diagnostici in vitro

Fabbricazione di computer e prodotti di elettronica e ottica

Gestori del sistema di distribuzione