È stato pubblicato in Gazzetta Ufficiale il decreto per la definizione dei criteri per l’applicazione della clausola di salvaguardia contenuta nel Decreto Legislativo 138/2024, noto come Decreto NIS. Al Decreto NIS abbiamo dedicato l’articolo “Decreto Legislativo 138/2024 (decreto NIS) in Gazzetta Ufficiale”
Per approfondire il tema, abbiamo organizzato il corso di formazione Cybersecurity e Direttiva NIS 2 – Step di adeguamento per imprese e pubbliche amministrazioni
Indice
1. Cos’è il Decreto 138/2024, detto Decreto NIS?
Il Decreto Legislativo 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, recepisce la Direttiva (UE) 2022/2555, nota come Direttiva NIS 2, nell’ordinamento italiano. Questo provvedimento mira a rafforzare la sicurezza informatica a livello nazionale, imponendo a imprese e pubbliche amministrazioni l’adozione di misure volte a garantire un elevato livello comune di cybersicurezza. Con l’entrata in vigore del decreto, l’Italia si allinea agli standard europei, potenziando la protezione dei propri sistemi informatici e delle infrastrutture critiche. Alla spiegazione della Direttiva abbiamo dedicato l’articolo: La Direttiva europea NIS2 per punti essenziali
2. In cosa consiste la clausola di salvaguardia?
La clausola di salvaguardia, introdotta dal DPCM n. 221/2024, è un meccanismo normativo che consente ad alcune imprese di derogare alla definizione di impresa collegata prevista dalla Raccomandazione 2003/361/CE. La sua finalità è garantire un’applicazione proporzionata della normativa NIS, evitando che aziende formalmente collegate a grandi gruppi societari – ma operativamente indipendenti – siano soggette a obblighi più stringenti rispetto alla loro reale struttura. In pratica, questa clausola permette di considerare un’impresa come separata dal gruppo di appartenenza se dimostra di gestire in modo autonomo le proprie infrastrutture e attività NIS. La principale conseguenza giuridica è la disapplicazione dell’articolo 6, paragrafo 2, della Raccomandazione 2003/361/CE, con il possibile “declassamento” da grande a media impresa o da media a piccola impresa, modificando quindi il suo status ai fini della normativa NIS. Tuttavia, la clausola non è applicabile alle imprese che, in base all’art. 3, comma 10, del Decreto NIS, risultano collegate a soggetti essenziali o importanti con influenza sulle decisioni strategiche in materia di cybersicurezza.
3. Come si richiede e quali sono i requisiti per l’applicazione della clausola di salvaguardia?
Per ottenere l’applicazione della clausola di salvaguardia, l’impresa interessata deve presentare richiesta attraverso la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), tramite il proprio Punto di Contatto NIS, in fase di registrazione. La richiesta deve essere corredata da dichiarazioni che attestino il rispetto dei due requisiti fondamentali, che devono sussistere congiuntamente:
- Indipendenza totale dei sistemi informativi e di rete NIS – L’impresa deve dimostrare che le proprie infrastrutture NIS non dipendono da quelle delle altre aziende del gruppo e che non vi sia alcun collegamento funzionale.
- Indipendenza totale delle attività e dei servizi NIS – Le attività e i servizi NIS dell’impresa devono essere gestiti autonomamente, senza alcuna influenza o contributo da parte di altre entità del gruppo.
Oltre a questi criteri, durante la registrazione sulla piattaforma, l’impresa deve fornire informazioni su numero di dipendenti, fatturato e bilancio. Dopo la presentazione della domanda, l’ACN condivide le informazioni con le Autorità di settore NIS, che valutano la richiesta e comunicano l’accoglimento o il rigetto attraverso la stessa piattaforma. La concessione della clausola comporta l’applicazione di un regime normativo più proporzionato, con possibili ricadute sulla classificazione dell’impresa ai fini della normativa NIS. Tuttavia, la deroga non è applicabile alle imprese autonome, ovvero a quelle che non fanno parte di un gruppo societario e non hanno imprese collegate o associate.
Formazione in materia per professionisti
Cybersecurity e Direttiva NIS 2 – Step di adeguamento per imprese e pubbliche amministrazioni
La Direttiva NIS 2 (Direttiva UE 2022/2555) ha l’obiettivo di rafforzare il quadro normativo della cybersecurity, estendendo le misure di sicurezza informatica ad un maggior numero di settori strategici e imponendo obblighi stringenti e sanzioni più severe ai soggetti interessati.
Durante il corso verranno esaminati approfonditamente tutti gli obblighi e i relativi step di adeguamento: quali sono i soggetti obbligati? Come creare un piano di risposta agli incidenti? Cosa fare in caso di attacco informatico? Quali sono i ruoli e le responsabilità nella compliance alla NIS 2?
I partecipanti acquisiranno competenze utili per implementare la conformità alla NIS 2 attraverso una check-list pratica e case studies.
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento