La clausola di salvaguardia NIS 2 permette un’applicazione più proporzionata della normativa. Al riguardo, il Decreto legislativo 4 settembre 2024, n. 138 (c.d. Decreto NIS 2) ammette la possibilità per le imprese di una esenzione soggettiva con deroga ai criteri di commisurazione delle medie e grandi imprese.

Più precisamente, il combinato disposto dei commi 4 e 12 dell’art. 3 del decreto NIS prevede che: «Per determinare se un soggetto è da considerarsi una media o grande impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, si applica l’articolo 6, paragrafo 2, del medesimo allegato, salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce […]L’Autorità nazionale competente NIS applica la clausola di salvaguardia di cui al comma 4, secondo i criteri per la determinazione individuati con le modalità di cui all’articolo 40, comma 1».

Con la pubblicazione del Decreto del Presidente del Consiglio dei Ministri 9 dicembre 2024, n. 221 sulla Gazzetta Ufficiale del 10 febbraio 2025, sono stati definiti i criteri e le modalità con cui determinati soggetti possono richiedere l’esenzione dagli obblighi previsti dal Decreto NIS 2, qualora l’inclusione nel perimetro di applicazione della normativa risulti sproporzionata rispetto alla loro effettiva operatività in ambito di cybersicurezza.

L’introduzione della Clausola di salvaguardia NIS 2 si inserisce nel quadro delle misure adottate per l’attuazione della Direttiva (UE) 2022/2555 (NIS 2), finalizzate a garantire un livello elevato e uniforme di sicurezza informatica all’interno dell’Unione Europea.

Il legislatore ha riconosciuto la necessità di prevedere meccanismi di esenzione per quei soggetti che, pur rientrando nel perimetro di applicazione della normativa, presentano caratteristiche tali da giustificare una deroga agli obblighi previsti. Il DPCM 221/2024 stabilisce quindi i criteri per accedere alla clausola di salvaguardia NIS 2, individuando specifici requisiti di indipendenza operativa che devono essere soddisfatti affinché un’impresa possa richiedere l’esclusione dal regime di compliance previsto dal Decreto NIS 2.

L’esenzione mira a evitare che le imprese con un impatto marginale nel contesto della cybersicurezza nazionale o che presentano un’elevata autonomia operativa rispetto al gruppo di appartenenza siano gravate da obblighi sproporzionati rispetto al loro ruolo effettivo nel sistema informatico e di rete nazionale. La possibilità di ottenere tale esenzione è però subordinata alla verifica di rigorosi criteri di indipendenza, i quali saranno analizzati nei paragrafi successivi.

Criteri di applicazione della clausola di salvaguardia NIS 2

Il DPCM 221/2024, all’articolo 3, definisce i criteri specifici per la richiesta di applicazione della Clausola di salvaguardia NIS 2, stabilendo le condizioni che un soggetto deve soddisfare per essere escluso dagli obblighi previsti dal Decreto NIS 2. In particolare, la normativa individua come elemento essenziale la totale indipendenza operativa e informatica del soggetto richiedente rispetto alle altre imprese collegate.

Affinché un’impresa possa beneficiare della clausola di salvaguardia NIS 2, essa deve attestare la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate. Ciò significa che i sistemi informativi e le infrastrutture di rete utilizzati dal soggetto richiedente devono essere completamente autonomi e non devono dipendere, in alcun modo, dalle infrastrutture informatiche delle altre aziende appartenenti al medesimo gruppo.

L’indipendenza deve riguardare non solo le componenti hardware e software, ma anche i flussi di dati e le interconnessioni, evitando qualsiasi forma di interdipendenza tecnologica che potrebbe compromettere la separazione operativa.

Parallelamente, la normativa richiede che il soggetto dimostri la totale indipendenza delle proprie attività e dei propri servizi NIS rispetto alle imprese collegate. In altri termini, le attività e i servizi che rientrano nell’ambito di applicazione del Decreto NIS 2 non devono essere in alcun modo influenzati da altre realtà societarie appartenenti allo stesso gruppo. La separazione deve essere assoluta, senza alcuna condivisione di risorse operative, tecniche o di personale che possa compromettere l’autonomia della gestione dei servizi NIS.

Non tutti i soggetti rientranti nel perimetro di applicazione della normativa possono richiedere l’attivazione della clausola di salvaguardia NIS 2. L’articolo 3, comma 10, del Decreto NIS 2 stabilisce infatti che determinati enti e organizzazioni, in ragione della loro natura e delle funzioni svolte, non possono beneficiare di tale esenzione.

Pertanto, prima di presentare la richiesta, è necessario verificare con attenzione l’effettiva sussistenza dei requisiti di indipendenza operativa e tecnologica, al fine di evitare il rigetto dell’istanza da parte dell’Autorità nazionale competente NIS.

L’individuazione di criteri così stringenti evidenzia come il legislatore abbia voluto limitare l’accesso alla Clausola di salvaguardia NIS 2 ai soli soggetti che, per caratteristiche oggettive, risultano realmente estranei ai rischi sistemici connessi alla cybersicurezza nazionale.

Procedura per richiedere e applicare la clausola di salvaguardia NIS 2

Il DPCM 221/2024 stabilisce che la richiesta di applicazione della clausola di salvaguardia NIS 2 debba essere presentata attraverso un’apposita procedura. In particolare, l’articolo 4 del DPCM disciplina le modalità con cui i soggetti che ritengano di possedere i requisiti di indipendenza operativa e tecnologica possono ottenere l’esenzione dagli obblighi previsti dalla normativa.

Il procedimento ha inizio con la registrazione del soggetto richiedente sulla piattaforma digitale prevista dall’articolo 7, comma 1, del Decreto NIS 2. Nel corso di tale registrazione, il soggetto deve esplicitamente dichiarare di soddisfare i requisiti previsti dall’articolo 3 del DPCM 221/2024, attestando la totale indipendenza dei propri sistemi informativi e di rete e la totale indipendenza delle proprie attività e servizi NIS rispetto alle imprese collegate.

La dichiarazione deve essere resa in modo veritiero e completo, in quanto le informazioni fornite saranno oggetto di verifica da parte dell’Autorità nazionale competente NIS.

La scadenza per la presentazione della richiesta è fissata al 28 febbraio 2025, termine entro il quale tutti i soggetti interessati dovranno aver completato la procedura di registrazione e trasmissione dell’istanza. Una volta inoltrata la richiesta, l’Autorità nazionale competente NIS procederà alla valutazione delle dichiarazioni rese, verificando la sussistenza effettiva delle condizioni per l’applicazione della clausola di salvaguardia NIS 2.

L’esito del procedimento verrà comunicato al soggetto richiedente attraverso la stessa piattaforma digitale utilizzata per la registrazione. Qualora l’Autorità nazionale competente NIS accolga la richiesta, il soggetto sarà esonerato dagli obblighi previsti dalla normativa. In caso di rigetto, invece, il soggetto dovrà conformarsi pienamente alla normativa, implementando tutte le misure di cybersicurezza previste per la propria categoria di appartenenza.

È importante sottolineare che la richiesta di esenzione è soggetta a responsabilità dichiarativa, in quanto l’articolo 76 del DPR 445/2000 prevede sanzioni per le dichiarazioni mendaci rese nell’ambito di procedimenti amministrativi. Di conseguenza, la compilazione della richiesta deve essere effettuata con la massima attenzione, evitando inesattezze o omissioni che potrebbero pregiudicare l’accoglimento dell’istanza o determinare conseguenze sanzionatorie per il soggetto richiedente.

Clausola di salvaguardia NIS 2: attenzione alla corretta gestione degli adempimenti

Il DPCM 221/2024 ha chiarito con precisione i criteri di applicazione della clausola, evidenziando la necessità di un’indipendenza assoluta sia dal punto di vista informatico che gestionale. La normativa ha introdotto requisiti stringenti, proprio per evitare che l’esenzione possa essere richiesta in assenza di reali presupposti.

La procedura per ottenere l’applicazione della Clausola di salvaguardia NIS 2 deve essere gestita con particolare attenzione, poiché prevede la presentazione di una dichiarazione formale da parte del soggetto richiedente, il quale è tenuto ad attestare, sotto la propria responsabilità, la totale indipendenza dei propri sistemi informativi e di rete e delle proprie attività e servizi NIS rispetto alle imprese collegate. Inoltre, l’Autorità nazionale competente effettuerà verifiche sulle istanze presentate, valutando caso per caso la fondatezza delle dichiarazioni rese.

Considerata la complessità della disciplina e la necessità di garantire la piena conformità alle disposizioni del Decreto NIS 2, è opportuno che le imprese valutino con attenzione la propria posizione prima di procedere con la richiesta di esenzione. Un’analisi accurata dei requisiti e una gestione scrupolosa della procedura possono ridurre il rischio di errori o dichiarazioni inesatte, che potrebbero comportare il rigetto dell’istanza o altre conseguenze sul piano amministrativo.

In questo contesto, il supporto di figure specializzate in compliance normativa e cybersicurezza può risultare di particolare utilità, sia nella fase di valutazione preliminare sia nella predisposizione della documentazione necessaria, assicurando un approccio metodico e conforme alle prescrizioni della normativa vigente.