Decreto NIS 2 e clausola di salvaguardia: deroghe all’applicabilità della normativa

Il Decreto NIS 2[1] (D.Lgs. 138/2024), che ha dato attuazione in Italia alla Direttiva (UE) 2555/2022 (“NIS 2”) si arricchisce di un elemento di rilievo cruciale con l’adozione del D.P.C.M. 221/2024, pubblicato in Gazzetta Ufficiale lo scorso 10 febbraio (il “DPCM”). Con tale provvedimento il legislatore approfondisce e definisce i criteri di applicazione della c.d. clausola di salvaguardia (art. 3, commi 4 e 12, del Decreto NIS 2), ossia il meccanismo che consente, in determinati casi, l’esenzione dagli obblighi imposti dalla normativa NIS 2.

L’importanza del DPCM è cruciale: entro il prossimo 28 febbraio tutte le aziende e pubbliche amministrazioni coinvolte dovranno obbligatoriamente registrarsi sulla piattaforma predisposta dall’Agenzia per la Cybersicurezza Nazionale (“ACN”)[2].

Ma qual è la ratio della clausola di salvaguardia? Essa mira a coniugare la tutela della cybersicurezza con il principio di proporzionalità, evitando che realtà indipendenti, ma formalmente collegate a gruppi societari di grandi dimensioni, siano gravate da obblighi più stringenti di quelli effettivamente giustificati dalla loro struttura operativa.

Chi può beneficiare della clausola di salvaguardia?

Non tutti i soggetti, pubblici o privati, possono accedere a questa esenzione. È necessario dimostrare congiuntamente di possedere una totale indipendenza rispetto al gruppo di appartenenza, sia in termini di sistemi informativi e di rete, sia rispetto all’attività e ai servizi disciplinati dalla normativa. In concreto, affinché un’impresa possa beneficiare dell’esenzione, devono ricorrere entrambe le seguenti condizioni:

1. i suoi sistemi informativi e di rete non devono contribuire in alcun modo al funzionamento dei sistemi informativi e di rete NIS delle altre imprese del gruppo;
2. le sue attività e i servizi non devono contribuire in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS da parte di altre imprese del gruppo.

Tuttavia, il DPCM introduce anche alcune eccezioni. Non potranno, infatti, avvalersi della clausola di salvaguardia quelle imprese che rientrano automaticamente nel perimetro applicativo del Decreto NIS 2, ossia quelle imprese collegate a un soggetto importante o essenziale che soddisfino almeno uno dei criteri stabiliti dall’art. 3, comma 10, del Decreto NIS 2. In particolare, l’esenzione è preclusa alle imprese che:

• adottano decisioni o esercitano un’influenza dominante sulle scelte riguardanti le misure di gestione del rischio per la sicurezza informatica del soggetto essenziale o importante;
• detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto essenziale o importante;
• svolgono operazioni di sicurezza informatica per conto del soggetto essenziale o importante;
• forniscono servizi TIC o di sicurezza, inclusi quelli gestiti, al soggetto essenziale o importante.

Come richiedere l’esenzione?

Le imprese che ritengono di soddisfare i criteri sopra esposti devono presentare la propria richiesta di esenzione registrandosi sulla piattaforma digitale messa a disposizione dell’ACN. L’Agenzia, valutando caso per caso, fornirà un esplicito riscontro e, laddove accerti la sussistenza dei requisiti, riconoscerà l’applicabilità della clausola di salvaguardia.

In tale procedura, si impone un vincolo di veridicità: i dati e le informazioni fornite in sede di registrazione devono corrispondere al vero, pena l’applicazione delle sanzioni penali previste dalla normativa vigente[3].

[1] Per un maggior approfondimento sul Decreto NIS 2, si rinvia a un nostro precedente contributo, disponibile qui.

[2] Per un maggior approfondimento sugli obblighi di iscrizione alla piattaforma messa a disposizione dell’ACN, si rinvia a un nostro precedente contributo, disponibile qui.

[3] Il DPCM richiama, infatti, l’applicabilità dell’art. 76 del D.P.R. 445/2000.