Società

NIS 2: le novità sulla clausola di salvaguardia

La norma prevede l’esonero di aziende che, in presenza dei requisiti statuiti nel recente DPCM n. 221/2024, godono di un regime più favorevole rispetto agli obblighi previsti del Decreto NIS

Cyber security keyboard

di Vincenzo Gallotto*

La novità significativa in tema compliance è stata recentemente introdotta dal DPCM 221/2024, pubblicato in Gazzetta Ufficiale lo scorso 10 febbraio 2025 ed ha ad oggetto i dettagli giuridici significativi circa la c.d. clausola di salvaguardia, già nota perché prevista dal decreto legislativo n. 138/2024 (Decreto NIS2).

L’entrata in vigore del decreto legislativo n. 138/2024 (Decreto NIS2), di recepimento nell’ordinamento italiano della Direttiva (UE) 2022/2555 (NIS 2), ha consentito che si muovesse un passo importante rispetto alla tutela della sicurezza informatica e allo scenario di compliance in Italia.

La NIS 2 (Network and Information Systems Directive) nasce con il precipuo fine di garantire uniformità alle regole sulla cybersicurezza all’interno dell’Unione Europea, con l’intento di aggiornare e rafforzare quanto previsto dalla Direttiva NIS 1 (NIS 1). Diverse sono state le problematiche riscontrate a seguito dell’insufficienza dimostrata dalla NIS 1: con la digitalizzazione della quasi totalità delle aziende, resasi sempre più necessaria a seguito della Pandemia da COVID-19, è notevolmente aumentato anche il numero degli attacchi informatici, dai quali i soggetti destinatari non erano sufficientemente tutelati a causa dell’eccessiva discrezionalità che veniva lasciata dalla normativa originaria. La NIS 2 ha, per tali ragioni, seguendo il medesimo approccio europeo del GDPR (Reg. UE 2016/679), governato dal principio dell’Accountability, notevolmente ampliato il numero di aziende sottoposte agli obblighi ivi previsti.

La novità più significativa imposta dalla nuova normativa di recepimento vede come protagonista tanto le pubbliche amministrazioni, quanto le imprese che, entro il 28 febbraio 2025, dovranno registrarsi su di una piattaforma messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale (ACN), responsabilizzando, così, gli stessi organi di gestione aziendale e garantendo, alle Autorità Indipendenti competenti, ampi poteri rispetto all’operato degli stessi.

Nel Decreto NIS 2, all’articolo 3, commi 4 e 12, è stata per la prima volta introdotta la c.d. clausola di salvaguardia , così statuendo: “Per determinare se un soggetto è da considerarsi una media o grande impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, si applica l’articolo 6, paragrafo 2, del medesimo allegato, salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce”, lasciando un margine di discrezionalità tale per cui l’ACN ha ritenuto di dover perimetrare l’ambito di applicazione di detta clausola.

Già con il decreto legislativo di recepimento era dunque data la possibilità, sussistendo il requisito dell’indipendenza, di consentire alle imprese collegate “in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce” di essere esonerate dall’applicazione delle norme in esame.

La clausola di salvaguardia “salvo che ciò non sia proporzionato” pone in evidente bilanciamento l’esigenza di tutela della Cybersecurity, con quello di proporzionalità degli obblighi statuiti.

Ebbene, nuovamente il Governo con il DPCM del 9 dicembre 2024 n. 221, pubblicato in G.U. dal 10 febbraio 2025, è intervenuto a fare chiarezza proprio in merito a tale clausola, con il fine di garantire proporzionalità alle stringenti regole previste in materia. Quest’ultima rappresenta una deroga rispetto al concetto di “impresa collegata” fornita dalla Raccomandazione 2003/361/CE, tale da consentire l’esonero di aziende che, in presenza dei requisiti statuiti nel medesimo decreto n. 221/2024, godono di un regime più favorevole rispetto agli obblighi previsti del Decreto NIS.

Due sono i requisiti da soddisfarsi congiuntamente, affinché si possa essere destinatari della clausola:

1. La totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate;

2. La totale indipendenza delle proprie attività e servizi NIS da quelli delle imprese collegate;

La norma ha poi cura di specificare, all’art. 3 co. 1 lett. a e b che:

In merito alla prima, si intende “nel senso che i sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo”.

Con riferimento alla seconda, “nel senso che le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo”.

La clausola in esame non è in ogni caso applicabile alle cc.dd. Imprese autonome, a quelle, cioè, che non siano né associate, né collegate.

Ai sensi dell’articolo 3 comma 10 del medesimo decreto, tuttavia, vi sono dei soggetti che rientrano nell’applicazione dello stesso e cioè che sono automaticamente esclusi dall’applicazione della clausola; trattasi delle imprese che indipendentemente dalle proprie dimensioni, siano collegate ad un soggetto essenziale o importante e che soddisfino almeno uno dei seguenti criteri:

• a) adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;

• b) detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;

• c) effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;

• d) forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Andando poi a considerare gli aspetti prettamente operativi della clausola, questa può essere ottenuta:

facendone espressa menzione sulla piattaforma dell’ACN (Agenzia per la Cybersicurezza Nazionale), al momento stesso della registrazione e con apposita richiesta, ivi dichiarando di essere in possesso degli stringenti requisiti previsti dalla normativa (DPCM n. 221/2024), indicandone altresì il numero di dipendenti, il bilancio, nonché il relativo fatturato.

La richiesta così come presentata, sarà sottoposta al vaglio di approvazione dell’Autorità competente NIS (Agenzia per la Cybersicurezza Nazionale), unitamente a quelle di settore interessate, che comunicherà la propria decisione utilizzando la medesima piattaforma.

______

*Avv. Vincenzo Gallotto, Studio Legale Gallotto

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più
Per saperne di piùRiproduzione riservata ©

Gli ultimi contenuti di Società