C’era una volta la Direttiva NIS. In un’era pre-pandemica. Ma, per una serie di motivi – tra obblighi eccessivamente generici e mancanza di omogeneità all’interno dell’UE – la normativa si è rivelata un fallimento. Ed è stata sostituita da una nuova Direttiva, meglio nota come Direttiva NIS2. L’atto europeo che ha stabilito le misure per garantire un livello comune elevato di cybersicurezza.
Con l’obiettivo di far funzionare al meglio il mercato interno, la NIS2 norma le prescrizioni e le regole nell’ambito della cybersecurity europea. E apporta modifiche ai soggetti interessati, agli obblighi e alle sanzioni. È stata recepita nell’ordinamento italiano con il Decreto Legislativo 4 settembre 2024, n. 138, il cosiddetto Decreto NIS 2.
Dal 1° dicembre al 28 febbraio 2025, le imprese (soggetti “essenziali” o “importanti”) hanno dovuto obbligatoriamente registrarsi sulla piattaforma ACN. Mentre per i termini relativi all’aggiornamento annuale delle informazioni, la deadline è stata spostata. Dal 31 maggio 2025 al prossimo 31 luglio. Mancano quindi pochi giorni per poter adeguare i nuovi dati sulla piattaforma.
L’esenzione soggettiva: una deroga alla Direttiva NIS2
Restando in tema aggiornamenti, è interessante focalizzare l’attenzione anche sulla questione dell’esenzione soggettiva. Il Decreto legislativo 4 settembre 2024 n. 138, entrato in vigore il 16 ottobre 2024, regolava la materia ma offriva alle imprese la possibilità di richiedere una esenzione soggettiva. Applicando, cioè, una deroga ai criteri previsti per le imprese di media e grande dimensione.
L’Articolo 3 del Decreto, al comma 4, faceva un primo espresso riferimento alla clausola di salvaguardia. In relazione alle dimensioni aziendali (media o grande impresa). Con il DPCM del 9 dicembre 2024, n. 221 si entra però nel dettaglio. Pubblicato in G.U. il 10 febbraio 2025, il Decreto definisce criteri e le modalità secondo i quali alcuni dei soggetti obbligati sono autorizzati a richiedere l’esenzione dagli obblighi previsti dalla NIS2.
In particolare, ciò può verificarsi quando l’applicazione della normativa risulti sproporzionata. La ratio della scelta normativa sta nella tutela di determinate imprese. Evitando, cioè, che siano gravate da oneri ingiustificati. In considerazione della trascurabile influenza che le stesse hanno, sulla sicurezza cibernetica nazionale. O, diversamente, alla luce della elevata autonomia operativa che possono vantare, rispetto al gruppo a cui appartengono.
NIS2: le caratteristiche per la deroga
L’esenzione della clausola non indica che i soggetti siano esclusi dal perimetro di applicazione della normativa. Ma che presentano caratteristiche tali da giustificare la deroga agli obblighi previsti. Ovvero una serie di requisiti di indipendenza operativa. Solo in presenza di questi, l’impresa sarà autorizzata a richiedere l’esclusione dal regime di compliance.
Più precisamente, è l’articolo 3, comma 1, del DPCM 221 a definire i criteri per l’applicazione della clausola di salvaguardia. Dunque, un soggetto obbligato può richiedere l’applicazione (e questa verrà accolta) qualora “dichiari congiuntamente” che:
- i suoi sistemi informativi e di rete NIS siano totalmente autonomi e non dipendano in alcun modo da quelli delle imprese collegate;
- le attività e i servizi NIS siano svolti in modo del tutto indipendente, senza alcun contributo da parte delle imprese collegate.
I requisiti di indipendenza operativa nella NIS2
Dunque, l’impresa dovrà attestare (1) la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate. Pertanto, i suoi sistemi informativi e le infrastrutture di rete utilizzati dovranno risultare completamente autonomi. Operando, soprattutto, su infrastrutture ICT completamente indipendenti dal resto del gruppo. Va pertanto esclusa qualsiasi condivisione di infrastrutture o dati (hardware, software e dati).
Allo stesso modo, dovrà (2) dimostrare la totale autonomia delle proprie attività e dei servizi NIS rispetto alle imprese collegate. In altre parole, attività e servizi non dovranno risultare in nessun modo influenzati da altre entità del gruppo. Totale indipendenza sotto il profilo tecnico e operativo, e anche con riferimento al personale impiegato. Non sono ammesse condivisioni che possano compromettere l’autonomia della gestione dei servizi.
L’eccezione nel Decreto NIS: il comma 10 dell’articolo 3
C’è poi l’eccezione nell’eccezione. Il comma 2 dell’articolo 3 del DPCM stabilisce, però, che la clausola di salvaguardia non possa essere richiesta da una specifica categoria di soggetti. Quelli, cioè, che rientrano nell’elenco previsto dal comma 10 dell’articolo 3 Decreto NIS. Mai. Queste imprese, pur non essendo direttamente classificate come essenziali o importanti, ricadono comunque nell’ambito di applicazione del Decreto NIS.
Questo perché, a prescindere dalle loro dimensioni, svolgono determinate funzioni critiche. Quindi, non è prevista l’esenzione qualora il soggetto (alternativamente e non cumulativamente):
1. influenzi le decisioni sulla gestione della cybersicurezza del soggetto importante/essenziale.
2. detenga o gestisca sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
3. effettui operazioni di sicurezza informatica del soggetto importante o essenziale;
4. fornisca servizi ICT o di sicurezza, anche gestiti, al soggetto importante o essenziale.
Piccole o grandi, le imprese allora ricadono sotto gli obblighi della NIS 2, senza la possibilità di poter chiedere alcuna deroga, in virtù del ruolo operativo o decisionale rilevante nella cybersicurezza del soggetto principale. È quindi fondamentale verificare l’effettiva sussistenza dei requisiti di indipendenza operativa e tecnologica. Questo, per evitare che l’Autorità competente rigetti l’istanza di richiesta.
Clausola di salvaguardia NIS 2: come si richiede l’esenzione?
Le imprese che intendano presentare la richiesta di applicazione della clausola di salvaguardia NIS 2 devono seguire una apposita procedura. Stabilito dal DPCM 221/2024, all’articolo 4. Dunque, qualora il soggetto ritenga di possedere i presupposti (di cui sopra, ovvero quelli riportati nell’articolo 3 del medesimo Decreto) procede attraverso la registrazione sulla piattaforma digitale dell’ACN.
Si tratta di quella menzionata nell’articolo 7, comma 6 del Decreto NIS. Ovvero la piattaforma operativa dal 1° dicembre 2024, utilizzata dai soggetti che rientrano nell’ambito di applicazione della normativa. È accessibile attraverso il Portale ACN e funge da strumento di censimento e registrazione.
Nella registrazione, il soggetto dovrà esplicitare il possesso dei requisiti per l’esenzione. Quindi la totale indipendenza dei suoi sistemi informativi e di rete. E la totale indipendenza delle proprie attività e servizi NIS rispetto alle imprese collegate. Successivamente, l’Autorità competente verificherà le dichiarazioni, che dovranno quindi essere complete e veritiere.
L’obbligo di registrazione alla piattaforma scadeva il 28 febbraio 2025. Per i ritardatari, invece, a partire dal 14 aprile 2025 è stato ri-attivato il servizio ACN/Registrazione sul portale dei servizi. Per consentire quindi alle organizzazioni non ancora registrate di procedere con la cosiddetta registrazione tardiva. Ma, qualora i termini fossero scaduti, senza rimedio, non tutto è perso: ci sono le sanzioni. Sempre meglio di essere “fuorilegge”.