NIS 2: ecco i criteri (restrittivi) per la clausola di salvaguardia
Il 10 febbraio 2025 è stato pubblicato in Gazzetta Ufficiale il tanto atteso DPCM n. 221/2024, con il quale sono stati definiti i criteri per l’applicazione della c.d. “clausola di salvaguardia” di cui all’art. 3, commi 4 e 12, del D. lgs. 138/2024, che recepisce in Italia la nuova normativa comunitaria sulla cybersicurezza.
I criteri individuati risultano particolarmente restrittivi: in conseguenza di quanto trattato nella newsletter, le imprese appartenenti ad un gruppo di imprese, o che comunque hanno imprese associate e/o collegate ad esse, anche qualora non abbiano un numero elevato di dipendenti e dimensioni rilevanti di bilancio e/o fatturato, difficilmente potranno essere esonerate dall’applicazione dei nuovi obblighi.
Il DPCM prevede infatti che la clausola di salvaguardia si applicherà solo alle imprese che sono totalmente indipendenti dalle imprese associate e/o collegate in termini di sistemi informativi, rete, attività e servizi, circostanza molto rara nei contesti di gruppo, ove strumenti e processi sono spesso condivisi.
La newsletter approfondisce i seguenti punti: i) la rilevanza delle dimensioni dell’impresa nell’applicazione della c.d. “NIS 2”; ii) le finalità e l’oggetto della clausola di salvaguardia; iii) i restrittivi criteri introdotti dal DPCM n. 221/2024 per l’applicazione della stessa; iv) le indicazioni pratiche per le imprese interessate.
1. La rilevanza delle dimensioni dell’impresa nell’applicazione della NIS 2
Come noto, la Direttiva UE 2022/2555 (c.d. “NIS 2”), in vigore dal 18 ottobre 2024, demanda agli Stati Membri l’onere di individuare un elenco nominale – da aggiornare annualmente – dei soggetti critici che devono rispettare i nuovi obblighi comunitari in materia di cybersicurezza. Per agevolarne l’individuazione, l’art. 7 del D. lgs. 138/2024 (nel seguito anche il “Decreto Attuativo”), che ha recepito la NIS 2 in Italia, prescrive alle aziende che ritengono di essere nel campo di applicazione della normativa l’onere di registrarsi entro il 28 febbraio 2025 (e poi di ogni anno successivo) tramite l’apposita piattaforma implementata dall’Agenzia per la Cybersicurezza Nazionale (https://www.acn.gov.it/portale/nis/registrazione).
Tra i criteri di applicabilità della nuova normativa, l’art. 3 del Decreto Attuativo, insieme con il settore di attività delle imprese, annovera le dimensioni delle stesse, da determinare facendo riferimento alla raccomandazione 2003/361/CE.
L’art. 6 dell’allegato a tale Raccomandazione prevede che, al fine di verificare il raggiungimento dei massimali per la definizione di piccola, media e grande impresa, non si debba fare riferimento ai soli dati della singola impresa, bensì anche a quelli delle imprese collegate[1] (che si trovano, nella catena di controllo, al di sopra o al di sotto dell’impresa oggetto di valutazione) – da sommare interamente a quelli dell’impresa, nonché a quelli delle imprese associate[2] – da sommare in proporzione della percentuale di partecipazione nell’impresa.
È dunque molto facile che un’impresa, la quale faccia parte di un gruppo di imprese o semplicemente controlli o sia controllata da un’altra impresa, pur non avendo un numero elevato di dipendenti o dimensioni rilevanti di bilancio e/o fatturato, superi i massimali per essere considerata media o grande impresa.
Al fine di impedire che tale previsione possa comportare un ampliamento dell’ambito di applicazione della nuova normativa eccessivo con riferimento alle finalità della Direttiva NIS 2, l’art. 3, comma 4, del Decreto Attuativo introduce una clausola di salvaguardia.
2. La clausola di salvaguardia
In particolare, l’art. 3, comma 4, del Decreto Attuativo prevede che l’art. 6 dell’allegato alla raccomandazione 2003/361/CE si applichi “salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce.”
La clausola di salvaguardia introdotta da tale disposizione, ispirata da un principio di proporzionalità, ha un carattere generico: la necessaria individuazione dei criteri per l’applicazione della stessa è stata demandata alla Presidenza del Consiglio dei ministri, ai sensi dell’art. 3, comma 12, e dell’art. 40, comma 1, del Decreto Attuativo.
Dopo diversi mesi di attesa per imprese e addetti ai lavori, lo scorso 10 febbraio 2025 è stato pubblicato in Gazzetta Ufficiale il DPCM n. 221 del 9 dicembre 2024, con il quale sono stati indicati dei criteri di applicazione della clausola particolarmente restrittivi.
3. I restrittivi criteri di applicazione definiti dal DPCM n. 221/2024
L’art. 3 del DPCM n. 221/2024 precisa, infatti, che la richiesta di applicazione della clausola di salvaguardia può essere accolta “qualora il soggetto dichiari congiuntamente:
- la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate, nel senso che i sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo;
- la totale indipendenza delle proprie attività e servizi NIS da quelli delle imprese collegate, nel senso che le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo”.
Viene inoltre precisato, al secondo comma del medesimo articolo, che la clausola di salvaguardia non può essere richiesta dal soggetto a cui la disciplina NIS si applica ai sensi dell’art. 3 comma 10, ossia un’impresa collegata ad un soggetto critico NIS la quale, indipendentemente dalle sue dimensioni, soddisfi almeno uno dei seguenti criteri:
- adotta decisioni o esercita un’influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
- detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
- effettua operazioni di sicurezza informatica del soggetto importante o essenziale;
- fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.
Il legislatore ha dunque individuato dei criteri decisamente restrittivi: affinché un’impresa possa chiedere la salvaguardia dai nuovi obblighi in materia di cybersicurezza, non è sufficiente che la stessa sia parzialmente indipendente dalle imprese collegate in termini di sistemi informativi, rete, attività e servizi, occorre un’indipendenza totale in relazione a tutti i livelli citati (l’utilizzo dell’avverbio “congiuntamente” nell’art. 3 del DPCM 221/2024 non lascia spazio a diverse interpretazioni).
La clausola di salvaguardia non sarà dunque applicata all’impresa richiedente anche nel caso in cui le imprese collegate alla stessa contribuiscano solo minimamente al funzionamento dei suoi sistemi informativi e di rete o allo svolgimento delle attività e all’erogazione dei servizi NIS.
È evidente come questi criteri siano difficilmente integrabili nei gruppi di imprese, ove la condivisione di strumenti e processi è prassi frequente, per motivi organizzativi ed economici.
4. Indicazioni pratiche per le imprese
Come precisato anche dall’art. 4 del DPCM n. 221 del 2025, le imprese che ritengono sussistenti i presupposti per l’applicazione della clausola di salvaguardia devono richiederla in occasione della registrazione nella piattaforma digitale NIS messa a disposizione da ACN.
Dunque, tali imprese sono comunque tenute alla compilazione della relativa dichiarazione online, nella quale il soggetto, tramite le apposite “finestre” preimpostate, dovrà: i) comunicare di ritenere applicabile la clausola; ii) indicare il grado di indipendenza di sistemi informativi e rete, nonché di attività e servizi (il quale – stando ai criteri recentemente individuati – dovrà essere totale); iii) dichiarare in conclusione di essere “fuori ambito”, in forza appunto dell’applicazione della clausola.
L’ACN darà riscontro alla richiesta di applicazione della clausola di salvaguardia tramite la piattaforma NIS, con la comunicazione di cui all’art. 7 del Decreto Attuativo, che arriverà in seguito alla puntuale redazione dell’elenco dei soggetti critici, da effettuarsi a cura di ACN entro il 31 marzo 2025.
Si ricorda infine che il Decreto Attuativo prevede, ai sensi dell’art. 38, sanzioni amministrative pecuniarie rilevanti in caso di mancata registrazione da parte dei soggetti critici, nonché, ai sensi dell’art. 23, una responsabilità personale degli organi amministrativi e direttivi dei soggetti critici in caso di violazione.
È dunque opportuno, considerata anche l’imminente scadenza del termine per la registrazione, fissato al 28 febbraio 2025, che ogni impresa valuti approfonditamente l’applicabilità della normativa in capo ad essa, con particolare attenzione al proprio rapporto con eventuali imprese associate e/o collegate.
Lo Studio è a disposizione per qualsiasi chiarimento
[1] Per la definizione di impresa collegata, vedasi l’art. 3, comma 3, dell’allegato alla Raccomandazione 2003/361/CE.
[2] Per la definizione di impresa associata, vedasi l’art. 3, comma 2, dell’allegato alla Raccomandazione 2003/361/CE.