NIS2 e clausola di salvaguardia, chi può derogare alla normativa e chi no: che c’è da sapere

Finalmente è stato pubblicato in GU l’atteso Decreto del Presidente del Consiglio dei ministri, DPCM 221/2024, fondamentale per l’attuazione della Direttiva NIS2 così come recepita dal D.lgs. 138/2024, dettando i criteri per l’applicazione della famosa clausola di salvaguardia.

Clausola di salvaguardia NIS2: chi può derogare e chi no

Il DPCM 9 dicembre 2024, n. 221, stabilisce il Regolamento per la definizione dei criteri per l’applicazione della clausola di salvaguardia connessa al D.lgs. 138/2024, di recepimento della nota Direttiva (UE) 2022/2555 cd “NIS2”.

La “clausola di salvaguardia” (art. 3 comma IV del D.lgs. 138/2024 in cui vengono individuati i soggetti interessati e i razionali posti alla base) determina l’esenzione dagli obblighi della NIS2.

Non tutti evidentemente possono derogarvi, ma soltanto coloro i quali sono in grado di dimostrare una totale indipendenza tanto dei sistemi informativi e di rete rispetto a quelli delle imprese collegate, quanto operativa nelle attività e nei servizi NIS2.

Non possono quindi beneficiare in alcun modo di tale deroga/esenzione tutti quei soggetti che rientrano espressamente tra gli “operatori essenziali o importanti nel contesto della sicurezza nazionale”. Ad esempio, software house, fornitori di prodotti/servizi del settore ICT nei confronti di PA eccetera.

Focus sui criteri di applicazione

Si tratta di un decreto di pochi articoli, giusto 7. Anche le note sono importanti, e alle quali qui si rinvia. Particolare interesse riveste l’art. 3 il quale prevede i “Criteri per l’applicazione della clausola di salvaguardia”.

Tali criteri come anticipato, mandano esenti dagli adempimenti NIS2 talune realtà come le imprese collegate e i gruppi di impresa (lett. f e g).

Naturalmente, tale prerogativa non è sufficiente a esentare tali realtà organizzative, occorrendo per legge:

1. una totale indipendenza informatica e di rete NIS delle imprese collegate – facente parte di un gruppo di imprese, senza quindi in alcun modo contribuire al funzionamento dei sistemi informativi;
2. una totale indipendenza delle attività/servizi NIS da quelli delle imprese collegate, cioè testualmente che “le attività servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo”.

In pratica, tante imprese collegate (ad esempio RTI o in regime di holding, ecc.) parte di un gruppo, pur essendo in una dinamica societaria particolare che le rende avvinte da regole tipiche e proprie di quei contesti, in questo caso occorre una totale autonomia a livello informatico/cibernetico.

Clausola di salvaguardia NIS2: come richiederla

Una volta verificato di rientrare tra i soggetti che ne hanno diritto, ecco che il DPCM in questione, detta altresì la modalità di richiesta.

Quest’ultima avviene attraverso la registrazione alla piattaforma digitale a cui seguirà, una volta completata, esplicito riscontro da parte di ACN che, ove sussistente, la riconoscerà.

In concreto, le Organizzazioni interessate dovranno quindi registrarsi e inoltrare la richiesta sulla piattaforma digitale dell’Autorità nazionale competente NIS (che da noi è ACN), la quale valuterà caso per caso.

Naturalmente, i dati/informazioni inseriti al momento della registrazione dovranno essere conformi al vero (conformemente a quanto il 445/2000 p.p.). In difetto ci pena.

Invece, la clausola di salvaguardia non può essere richiesta da tutte quelle imprese collegate ad un “soggetto essenziale o importante”, qualora:

1. adottino decisioni o esercitino una influenza dominante sulle decisioni circa le misure di sicurezza e gestione del rischio per la cyber security di un soggetto importante o essenziale;
2. detengano o gestiscano sistemi informativi e di rete dai quali dipende la fornitura dei servizi del soggetto importante o essenziale;
3. effettuino operazioni di cybersecurity del soggetto importante o essenziale nonché forniscano servizi TIC o di sicurezza, anche gestiti, al medesimo soggetto.

Clausola di salvaguardia NIS2: risvolti concreti

Il DPCM in questione poiché stabilisce sostanzialmente “i criteri per l’esenzione dagli obblighi della NIS2” — quale normativa che impone misure di cybersicurezza avanzate a soggetti pubblici e privati in settori critici e altamente critici — in concreto sarà di difficile applicazione pensando a quei gruppi societari che centralizzano la gestione dei servizi informatici presso la holding o altra società del gruppo, dal momento che il requisito principe è la “totale indipendenza” sub specie tecnica.

Ciò comporta che rientrano già da oggi e nel perimetro della direttiva NIS2 anche società collegate le quali svolgono attività in settori critici che, da sole sarebbero micro o piccole imprese, mentre se collegate ad un gruppo con soglie di valori superiori alla piccola impresa (ex art. 2 dell’allegato alla raccomandazione 2003/361/CE) in assenza di una “totale indipendenza”, requisito principe.

Ecco, dunque, che il decreto NIS2, ogni giorno che passa, diventa sempre più rigoroso e stringente nella sua applicazione concreta.