Data protection

La NIS 2 e i criteri per l’applicazione della clausola di salvaguardia. Cosa dice il DPCM n. 221/2024.

È stato pubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei ministri n. 221 del 2024, che, in materia di 𝐍𝐈𝐒 2, detta i criteri per l’applicazione della 𝐜𝐥𝐚𝐮𝐬𝐨𝐥𝐚 𝐝𝐢 𝐬𝐚𝐥𝐯𝐚𝐠𝐮𝐚𝐫𝐝𝐢𝐚.
quali adempimenti a carico degli enti e delle imprese soggetti alla normativa.

L’ambito di applicazione della NIS2

In particolare, ricadono nell’ambito di applicazione del decreto NIS i soggetti pubblici e privati che, ai sensi dell’articolo 3, soddisfano i seguenti criteri[1]

  • appartengono alle tipologie di cui agli allegati I e II e superano i massimali per le piccole imprese (ossia sono almeno medie imprese) ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE;
  • indipendentemente dalle loro dimensioni (ovvero anche micro e piccole imprese) sono:
    • identificati come soggetti critici ai sensi del d.lgs. 134/2024 che recepisce la Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 (Direttiva CER – Resilience of Critical Entities);
    • fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico (allegato I);
    • prestatori di servizi fiduciari (allegato I);
    • gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio (allegato I);
    • fornitori di servizi di registrazione dei nomi di dominio (allegato II);
    • pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III;
    • imprese associate o collegate ad un soggetto essenziale o importante che soddisfano almeno uno dei seguenti criteri:
      • adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
      • detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
      • effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;

Il decreto NIS si applica a tutte le pubbliche amministrazioni centrali. Inoltre, si applica anche alle seguenti categorie di amministrazioni locali:

  • Regioni e Province autonome
  • Città metropolitane;
  • Comuni con popolazione superiore ai 100.000 abitanti
  • Comuni capoluoghi di regione
  • ASL

Pertanto, in linea generale e salvo che non svolgano attività riconducibili agli allegati I e II, o che ricevano una notifica di individuazione da parte dell’Autorità nazionale competente NIS ai sensi dell’articolo 3, comma 13, del decreto NIS, non rientrano nell’ambito di applicazione (elenco indicativo e non esaustivo):

  • i Comuni che non siano capoluoghi di Regione e con 100.000 abitanti o meno;
  • le Unioni di comuni;
  • le scuole.

Infine, rimane ferma la facoltà per l’Autorità nazionale competente NIS, su proposta delle Autorità di settore interessate, di individuare ulteriori organizzazioni che operano nei settori di cui agli allegati I, II, III e IV, del decreto NIS (ex. articolo 9), quali soggetti importanti o essenziali. In tal caso, queste organizzazioni riceveranno una notifica al proprio domicilio digitale (ex. articolo 3, comma 13, del decreto NIS).

Sono considerati essenziali:

  • i soggetti di cui all’allegato I che superano i massimali per le medie imprese di cui all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE;
  • indipendentemente dalle loro dimensioni, i soggetti identificati come soggetti critici ai sensi del decreto legislativo che recepisce la Direttiva (UE) 2022/2557;
  • i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico di cui all’articolo 3, comma 5, lettera b), che si considerano almeno medie imprese ai sensi dell’articolo 2 dell’allegato alla raccomandazione 2003/361/CE;
  • indipendentemente dalle loro dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio di cui all’articolo 3, comma 5, lettere c) e d);
  • indipendentemente dalle loro dimensioni, le pubbliche amministrazioni centrali di cui all’allegato III, lettera a);
  • i soggetti eventualmente individuati dall’Autorità competente NIS. Tali soggetti riceveranno una specifica notifica di individuazione.

Tutti gli altri soggetti rientranti nell’ambito di applicazione del decreto che non sono considerati essenziali, sono considerati importanti.

La clausola di salvaguardia: cosa è e come si applica.

L’istituto della “clausola di salvaguardia” produce l’esenzione dagli obblighi della NIS2.

Vi possono aderire soltanto coloro i quali sono in grado di dimostrare una totale indipendenza tanto dei sistemi informativi e di rete rispetto a quelli delle imprese collegate, quanto operativa nelle attività e nei servizi NIS2.

Non possono quindi beneficiare in alcun modo di tale deroga/esenzione tutti quei soggetti che rientrano espressamente tra gli “operatori essenziali o importanti nel contesto della sicurezza nazionale”.

Per richiedere la esenzione è necessario rispettare le seguenti condizioni:

  1. essere un’impresa collegata o facente parte di un gruppo di imprese;
  2. assicurare una totale indipendenza informatica e di rete NIS delle imprese collegate– facente parte di un gruppo di imprese, senza quindi in alcun modo contribuire al funzionamento dei sistemi informativi;
  3. assicurare una totale indipendenza delle attività/servizi NIS da quelli delle imprese collegate, cioè testualmente che “le attività servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo”.

Il testo.

Il Decreto del Presidente del Consiglio dei Ministri 9 dicembre 2024 , n. 221 . Regolamento per la definizione dei criteri per l’applicazione della clausola di salvaguardia di cui all’articolo 3, commi 4 e 12, del decreto legislativo del 4 settembre 2024, n. 138, di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.

Il Decreto, richiama, per quanto di stretto interesse in questa sede:

  • Il decreto legislativo 4 settembre 2024, n. 138 (decreto NIS) , recante «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148» e, in particolare, gli articoli 3, comma 4, che consente di derogare all’applicazione dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE, qualora questa non risulti proporzionata, e 40, comma 1, lettera a) , che demanda a un decreto del Presidente del Consiglio dei ministri, da adottarsi anche in deroga all’articolo 17 della legge n. 400 del 1988, la definizione dei criteri per l’applicazione della deroga di cui al citato articolo 3, comma 4;
  • Il decreto del Presidente del Consiglio dei ministri 12 novembre 2022, recante delega di funzioni in materia di cybersicurezza, con il quale l’Autorità delegata per la sicurezza della Repubblica è delegata a svolgere le funzioni del Presidente del Consiglio dei ministri in materia di cybersicurezza, fatte salve quelle attribuite in via esclusiva al Presidente del Consiglio dei ministri.

Quindi, sulla proposta dell’Agenzia per la cybersicurezza nazionale; è stato adottato  il regolamento, che all’art. 1, lett. h)  definisce la «clausola di salvaguardia» come la clausola di cui all’articolo 3, commi 4 e 12, del decreto NIS; e il citato art. 3  Ambito di applicazione stabilisce quanto segue:

4. Per determinare se un soggetto e’ da considerarsi  una  media  o grande  impresa  ai  sensi  dell’articolo   2   dell’allegato   della raccomandazione 2003/361/CE, si applica l’articolo  6,  paragrafo  2, del medesimo allegato, salvo che cio’ non sia  proporzionato,  tenuto anche  conto  dell’indipendenza  del  soggetto  dalle   sue   imprese collegate in termini di sistemi informativi e di  rete  che  utilizza nella fornitura  dei  suoi  servizi  e  in  termini  di  servizi  che fornisce.

12. L’Autorita’ nazionale competente NIS  applica  la  clausola  di salvaguardia  di  cui  al  comma  4,  secondo  i   criteri   per   la determinazione individuati con le modalita’ di cui  all’articolo  40, comma 1, che recita:

   1. Con  uno  o  piu’  decreti  del  Presidente  del  Consiglio  dei ministri, adottati anche in deroga all’articolo  17  della  legge  23 agosto 1988, n. 400, su proposta dell’Agenzia per  la  cybersicurezza

nazionale, sentito il Tavolo per l’attuazione della disciplina NIS di cui all’articolo 12 e previo parere  del  Comitato  interministeriale per la cybersicurezza, di cui all’articolo  4  del  decreto-legge  14

giugno 2021, n. 82, convertito,  con  modificazioni,  dalla  legge  4 agosto 2021, n. 109:

    a) sono definiti i criteri per l’applicazione della  clausola  di salvaguardia di cui all’articolo 3, comma 4;

    b) sono stabiliti i criteri, le procedure e le modalita’  di  cui all’articolo 34, comma 10;

    c) sono individuate le modalita’ di applicazione, nell’ambito del procedimento   sanzionatorio,   degli   strumenti   deflattivi    del contenzioso di cui all’articolo 38, comma 15.

il Decreto del Presidente del Consiglio dei ministri n. 221 del 2024 agli artt. 13 e 14 contiene una serie di regole relative all’applicazione sia dei criteri per l’applicazione della clausola di salvaguardia che delle modalità di richiesta dell’applicazione della clausola di salvaguardia.:

Art. 3. Criteri per l’applicazione della clausola di salvaguardia

1. La richiesta di applicazione della clausola di salvaguardia può essere accolta qualora il soggetto dichiari congiuntamente: a) la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate, nel senso che i sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo; b) la totale indipendenza delle proprie attività e servizi NIS da quelli delle imprese collegate, nel senso che le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo. 2. La clausola di salvaguardia non può essere richiesta dal soggetto a cui si applica la disciplina del decreto NIS ai sensi dell’articolo 3, comma 10, del medesimo decreto.

Art. 4. Modalità di richiesta di applicazione della clausola di salvaguardia

1. Il soggetto che ritiene sussistenti i presupposti di cui all’articolo 3 per richiedere l’applicazione della clausola di salvaguardia procede alla relativa richiesta nell’ambito della registrazione nella piattaforma digitale di cui all’articolo 7, comma 1, del decreto NIS, secondo le modalità e i termini individuati con la determinazione di cui al comma 6 del citato articolo 7. 2. Al soggetto è fornito riscontro con la comunicazione dell’Autorità nazionale competente NIS effettuata attraverso la piattaforma di cui l’articolo 7 del decreto NIS. 3. Alle dichiarazioni rese ai sensi del presente regolamento si applica l’articolo 76 del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445.

Come richiedere la clausola di salvaguardia.

La richiesta vien effettuata previo ricorso alla registrazione alla piattaforma digitale inserendo dati che siano conformi al vero; con successivo scrutinio condotto da ACN che, in caso di esito positivo, la riconoscerà.

Invece, la clausola di salvaguardia non può essere richiesta da tutte quelle imprese collegate ad un “soggetto essenziale o importante”, qualora:

  • adottino decisioni o esercitino una influenza dominante sulle decisioni circa le misure di sicurezza e gestione del rischio per la cyber security di un soggetto importante o essenziale;
  • detengano o gestiscano sistemi informativi e di rete dai quali dipende la fornitura dei servizi del soggetto importante o essenziale;
  • effettuino operazioni di cybersecurity del soggetto importante o essenziale nonché forniscano servizi TIC o di sicurezza, anche gestiti, al medesimo soggetto.

[1] Per un approfondimento si rinvia al Link: https://www.acn.gov.it/portale/faq/nis

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

azienda dipendente
registrato una conversazione

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

checklist
La redazione di una ceck list propedeutica allo svolgimento di un Audit per la valutazione del rischio legato alla catena di fornitura informatica. Modello NIS.
9 Agosto 2024
NIS2
La direttiva NIS2 e le scadenze da rispettare per la sua applicazione.
24 Gennaio 2025
Cybersicurezza
L’Agenzia Europea per la Cybersicurezza (ENISA)[1] ha recentemente pubblicato lo Space Threat Landscape, 2025.
20 Maggio 2025

Start typing and press Enter to search