NIS 2: PUBBLICATO IL DPCM SULLA CLAUSOLA DI SALVAGUARDIA

14/03/2025

Il Decreto del Presidente del Consiglio dei Ministri n. 221 del 9 dicembre 2024, definisce i criteri per l'applicazione della clausola di salvaguardia prevista dal Decreto Legislativo 138/2024, rappresentando un passo significativo nell'attuazione della Direttiva europea NIS 2 (Direttiva UE 2022/2555), volta a rafforzare la cybersicurezza all'interno dell'Unione Europea.

Contesto Normativo e Necessità della NIS 2

La Direttiva NIS 2 nasce per colmare le lacune della NIS 1, la quale lasciava eccessiva discrezionalità agli Stati membri e non garantiva una protezione uniforme. L'incremento degli attacchi informatici, specialmente dopo la pandemia da COVID-19, ha reso necessaria un'estensione degli obblighi di sicurezza.

Per tale ragione, la NIS 2 ha notevolmente ampliato il numero di aziende sottoposte agli obblighi previsti, adottando un approccio simile a quello del GDPR e basato sul principio di accountability. La normativa responsabilizza direttamente le imprese e le pubbliche amministrazioni, che entro il 28 febbraio 2025 dovranno registrarsi su una piattaforma messa a disposizione dall'Agenzia per la Cybersicurezza Nazionale (ACN).

Obiettivi della Clausola di Salvaguardia

La clausola di salvaguardia mira a evitare che aziende con una presenza limitata sul territorio nazionale o con un elevato grado di autonomia operativa rispetto al gruppo di appartenenza siano gravate da obblighi sproporzionati in materia di cybersicurezza. In particolare, consente di escludere dal calcolo delle dimensioni aziendali — quali il numero di dipendenti e il fatturato — le imprese collegate che operano in modo autonomo, specialmente per quanto riguarda i sistemi informativi e le infrastrutture di rete.

Criteri per l'Applicazione

Il DPCM n. 221/2024 stabilisce criteri specifici per l'applicazione della clausola di salvaguardia. Le aziende interessate devono dimostrare:

Indipendenza Informatica: i sistemi informativi e le infrastrutture di rete devono essere completamente autonomi e non dipendere dalle risorse di altre aziende del gruppo.
Indipendenza Operativa: le attività e i servizi NIS delle imprese collegate non devono contribuire allo svolgimento delle attività dell'azienda richiedente.

Esclusioni e Limitazioni della Clausola

Non tutte le aziende possono beneficiare della clausola di salvaguardia. In particolare, ne sono escluse:

Le imprese autonome, ovvero quelle che non sono né collegate né associate ad altre aziende.
Le aziende collegate a soggetti essenziali o importanti che soddisfano almeno uno dei seguenti criteri:

Esercitano influenza dominante sulle decisioni di gestione del rischio.
Detengono o gestiscono sistemi critici per un soggetto essenziale.
Svolgono operazioni di sicurezza informatica per un soggetto essenziale.
Forniscono servizi TIC o di sicurezza al soggetto essenziale.

Procedura di Richiesta

Per avvalersi della clausola di salvaguardia, le aziende devono seguire una procedura articolata:

Registrazione: il soggetto richiedente deve registrarsi su una piattaforma digitale dedicata, messa a disposizione dall'ACN.
Dichiarazione: durante la registrazione, l'azienda deve attestare formalmente la propria indipendenza operativa e tecnologica, fornendo documentazione dettagliata a supporto.
Verifica: l'ACN effettuerà controlli rigorosi sulle dichiarazioni e sulla documentazione presentata, al fine di accertare la veridicità delle informazioni e l'effettiva sussistenza dei requisiti dichiarati.

Le aziende devono inoltre fornire dati dettagliati su numero di dipendenti, bilancio e fatturato. L'ACN, insieme alle autorità settoriali competenti, valuterà la richiesta e comunicherà l'esito tramite la piattaforma digitale.

Implicazioni per le Aziende

L'introduzione della clausola di salvaguardia rappresenta un elemento chiave per garantire che gli obblighi derivanti dalla normativa NIS 2 siano proporzionati e adeguati alla realtà operativa delle diverse aziende. Le imprese che operano in modo autonomo, pur facendo parte di un gruppo più ampio, possono così evitare oneri eccessivi che non riflettono il loro effettivo profilo di rischio in materia di cybersicurezza.

Tuttavia, è essenziale che le aziende valutino attentamente la propria struttura operativa e tecnologica prima di richiedere l'applicazione della clausola. Una comprensione approfondita dei requisiti normativi e una preparazione accurata della documentazione necessaria sono fondamentali per un esito positivo della procedura.

In conclusione, il DPCM n. 221/2024 offre alle aziende uno strumento per modulare gli obblighi in materia di cybersicurezza in base alla propria realtà operativa, promuovendo al contempo un elevato livello di protezione delle reti e dei sistemi informativi nell'intero contesto nazionale ed europeo.

LA SEMPRE PIÙ ESTESA APPLICAZIONE E DIFFUSIONE IN ITALIA DELLE NUOVE AZIONI DI CLASSE

In Italia, quantomeno sino al recente passato, l’istituto della class action non ha avuto una particolare diffusione applicativa, ciò è accaduto per varie ragioni ivi incluse le particolari regole...
Alessandro Pierucci - BonelliErede
CINA E AI: SENTENZA APRE AL COPYRIGHT SULLE OPERE DELL'IA

La sentenza del Tribunale di Pechino riconosce il diritto d'autore su un'opera generata con IA, aprendo nuove prospettive nel dibattito sul copyright.
Enrico Cecchin
HELP, LA PIATTAFORMA E-LEARNING DEL CONSIGLIO EUROPEO PER AVVOCATI E MAGISTRATI

HELP, la piattaforma del Consiglio d'Europa per la formazione E-learning sui diritti umani. Corsi gratuiti per avvocati, giudici e pubblici ministeri sulla CEDU, disponibili in diverse lingue....
Debora Felici

NIS 2: PUBBLICATO IL DPCM SULLA CLAUSOLA DI SALVAGUARDIA

Altri in SOCIETÀ E IMPRESA

LA SEMPRE PIÙ ESTESA APPLICAZIONE E DIFFUSIONE IN ITALIA DELLE NUOVE AZIONI DI CLASSE

CINA E AI: SENTENZA APRE AL COPYRIGHT SULLE OPERE DELL'IA

HELP, LA PIATTAFORMA E-LEARNING DEL CONSIGLIO EUROPEO PER AVVOCATI E MAGISTRATI