Direttiva NIS 2 sulla cybersicurezza: pubblicato in Gazzetta Ufficiale il Decreto che definisce i criteri per l’applicazione della “clausola di salvaguardia” ai fini del calcolo delle dimensioni dell’impresa appartenente ad un Gruppo
Come noto, nel nostro Paese ad ottobre 2024 è entrato in vigore il Decreto di recepimento della Direttiva (cd. Decreto NIS – D.lgs n.138/2024, in vigore dal 16 ottobre 2024) che prevede l’introduzione di adempimenti ed obblighi riguardanti misure di cybersicurezza per la prevenzione, la gestione del rischio e la protezione delle imprese operanti in determinati settori ritenuti critici e le cui dimensioni superino i parametri della piccola impresa (definiti dalla Raccomandazione 2003/361/CE).
Il Decreto NIS ha introdotto anche la cd. clausola di salvaguardia, ovvero la possibilità, per le entità appartenenti ad un Gruppo d’imprese, di derogare al criterio di aggregazione dei dati delle collegate e associate per la qualifica di piccola, media o grande impresa.
La clausola di salvaguardia è volta, dunque, a mitigare effetti sproporzionati nell’applicazione del Decreto NIS nell’ambito dei Gruppi d’impresa consentendo, a specifiche condizioni, di determinare la riconducibilità di un’organizzazione alla categoria delle piccole, medie o grandi imprese senza tener conto dei parametri delle altre imprese collegate e associate, come invece previsto all’articolo 6, paragrafo 2, dell’allegato alla Raccomandazione 2003/361/CE.
Con la pubblicazione del Decreto attuativo (DPCM 9 dicembre 2024, n. 221, pubblicato in G.U. n. 33 del 10 febbraio 2025) sono stati ora definiti i criteri per poter richiedere l’applicazione della clausola di salvaguardia. Nello specifico, la richiesta potrà essere accolta solo qualora, in sede di registrazione sul portale di ACN, il Punto di Contatto dichiari congiuntamente:
- la totale indipendenza dei propri sistemi informativi e di rete, ai fini NIS, da quelli delle imprese collegate e associate, nel senso che i sistemi informativi e di rete delle imprese collegate e associate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo;
- la totale indipendenza delle proprie attività e servizi NIS da quelli delle imprese collegate e associate, nel senso che le attività ed i servizi delle imprese collegate e associate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo (ove per “attività e servizi NIS” si intendono quelli rientranti nell’ambito dei settori di applicazione del Decreto).
In ogni caso, la clausola di salvaguardia non può essere richiesta dal soggetto cui si applica il Decreto NIS ai sensi dell’articolo 3, comma 10, del medesimo Decreto: pertanto, la clausola non potrà essere richiesta dai soggetti che, indipendentemente dalle dimensioni, soddisfano almeno uno dei seguenti criteri:
- adottano decisioni o esercitano un’influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
- detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
- effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
- forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.
In fase di analisi delle dichiarazioni trasmesse dai soggetti NIS, ACN valuterà le richieste di clausola di salvaguardia, la cui concessione, o meno, sarà comunicata all’organizzazione richiedente con la notifica (ad inizio aprile) di cui all’articolo 7, comma 3, del Decreto NIS.
Con l’occasione, si informa che ACN ha messo a disposizione le proprie FAQ, che vengono costantemente aggiornate, fornendo ulteriori indicazioni utili per le imprese (in tema di clausola di salvaguardia si vedano, in particolare, FAQ 2.19 e 2.20) https://www.acn.gov.it/portale/faq/nis
CONTATTACI PER MAGGIORI INFORMAZIONI
