Il nuovo regolamento e il suo impatto
È stato pubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei Ministri n.221 del 9 dicembre 2024, recante il Regolamento sui criteri di applicazione della clausola di salvaguardia prevista dal Decreto Legislativo 4 settembre 2024, n. 138 con il quale è stata recepita in Italia la Direttiva NIS2. Il Regolamento, già in vigore, concretizza le indicazioni contenute nel Considerando 16 della Direttiva, delineando chiaramente i criteri da soddisfare affinché un’impresa possa avvalersi della clausola ed i relativi benefici.
Clausola di salvaguardia
La clausola di salvaguardia, prevista nell’articolo 3 (commi 4 e 12) del Decreto NIS2, offre la possibilità alle imprese che ne soddisfano i criteri di non essere soggette a obblighi ritenuti sproporzionati derivanti dalla normativa, se possono dimostrare di operare con un alto grado di autonomia rispetto al gruppo di cui fanno parte.
Nello specifico, la clausola esenta dal calcolo delle dimensioni aziendali come previsto all’interno dell’articolo 6, paragrafo 2, alla raccomandazione 2003/361/CE, potendo così escludere dal proprio computo di effettivi e criteri contabili i dati relativi alle imprese collegate.
Chi può richiedere l’applicazione della clausola
L’articolo 3 del nuovo Regolamento indica i due criteri da soddisfare affinché possa accogliersi la richiesta di applicazione alle singole organizzazioni.
I criteri appaiono particolarmente stringenti, richiedendosi nello specifico, congiuntamente:
- totale indipendenzadei propri sistemi informativi e di rete NIS da quelli delle imprese collegate, nel senso che i sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo (art. 3 comma 1, lett. a));
- totale indipendenza delle proprie attività e servizi NIS da quelli delle imprese collegate, nel senso che le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo (art. 3 comma 1, lett. b)).
Al comma 2 si precisa inoltre che la applicazione della clausola non può essere richiesta da quei soggetti a cui il Decreto NIS2 si applica per effetto dell’articolo 3 comma 10 (collegamento a soggetti essenziali o importanti verso i quali si soddisfa uno dei requisiti ivi indicati).
Tempistiche e modalità di richiesta
Secondo l’articolo 4 del Regolamento, l’applicazione della clausola di salvaguardia va richiesta in fase di registrazione dell’organizzazione, compilando gli appositi campi (CRT.4) della Dichiarazione NIS sulla piattaforma digitale resa disponibile dall’Agenzia per la Cybersicurezza Nazionale (ACN). L’Agenzia comunicherà il proprio riscontro tramite lo stesso canale informatico.
Conclusioni
L’introduzione di una clausola di salvaguardia in NIS2 sembrava tesa a bilanciare le esigenze di sicurezza informatica con la necessità di evitare regolamentazioni eccessivamente onerose per imprese che, pur appartenendo a gruppi di grandi dimensioni, individualmente considerate avessero numeri contenuti (pensiamo a micro e piccole imprese) e/o operassero con un certo grado di autonomia.
Con il nuovo Regolamento si opta invece per una applicazione rigorosa del Decreto, richiedendo delle condizioni molto nette (totalità della indipendenza) e, di fatto, restringendo la possibilità di svincolarsi dalle dimensioni del gruppo.
Con la scadenza del termine ultimo per la registrazione ormai imminente (28 febbraio), il chiarimento risulta comunque del tutto utile ai fini di una maggiore consapevolezza per le organizzazioni ed i relativi punti di contatto.
Su un argomento simile può essere d’interesse l’articolo: ” La deadline è vicina: le società soggette a NIS2 devono registrarsi sul portale ACN“
