Dottor Maruccio, il DPCM n. 221/2024 introduce la clausola di salvaguardia. Ci può spiegare di cosa si tratta e come funziona?
La clausola di salvaguardia, introdotta con il DPCM n. 221/2024, è un meccanismo che consente a determinate imprese di ottenere un trattamento normativo più proporzionato rispetto agli obblighi previsti dal Decreto NIS (D. Lgs. n. 138/2024). Questo Decreto, che recepisce la Direttiva NIS 2 dell’Unione Europea, impone obblighi molto stringenti per quanto riguarda la cybersicurezza. Tuttavia, alcune imprese, pur facendo parte di un gruppo, potrebbero essere di fatto autonome e indipendenti sotto il profilo delle infrastrutture informatiche e delle attività legate alla sicurezza. Per queste realtà, la clausola di salvaguardia permette di evitare vincoli normativi troppo severi, adattando gli obblighi alle loro reali necessità.
Quali sono i requisiti fondamentali che un’impresa deve soddisfare per poter usufruire di questa deroga?
Per poter beneficiare della clausola di salvaguardia, un’impresa deve soddisfare due criteri principali: prima di tutto, deve avere un’indipendenza nei propri sistemi informativi e di rete NIS, che non devono dipendere da altre imprese del gruppo. In secondo luogo, le attività ei servizi NIS dell’impresa devono essere autonomi, senza contributi da parte di altre aziende collegate. Se questi due requisiti sono rispettati, l’impresa può fare richiesta sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), in modo da ottenere un regime normativo più adatto alla sua struttura.
Quali effetti giuridici hanno l’accoglimento della clausola di salvaguardia su un’impresa?
Se la richiesta viene accolta, la clausola comporta la disapplicazione di alcune disposizioni, come l’articolo 6, paragrafo 2, della Raccomandazione 2003/361/CE. In pratica, una grande impresa potrebbe essere riclassificata come una media impresa, riducendo gli obblighi previsti dal Decreto NIS. Questo potrebbe essere un beneficio significativo, soprattutto per quelle realtà che, pur facendo parte di un gruppo, sono strutturalmente autonomi. Tuttavia, ha sottolineato che la clausola non si applica alle imprese che esercitano un’influenza dominante sulla sicurezza informatica di soggetti essenziali o importanti.
Come avviene la procedura per richiedere l’applicazione della clausola di salvaguardia?
La procedura di richiesta è relativamente semplice. Le aziende che ritengono che l’applicazione dell’articolo 6, par. 2, del Decreto NIS sia sproporzionata, possono fare richiesta direttamente sulla piattaforma dell’ACN. In fase di registrazione, dichiarano il rispetto dei requisiti richiesti dal DPCM n. 221/2024. L’ACN, in collaborazione con le Autorità di settore, valuterà la domanda e notificherà l’esito tramite la stessa piattaforma. L’azienda, quindi, riceverà una risposta all’accoglimento o meno della sua richiesta.
Cosa cambia per le imprese che non soddisfano i requisiti o che non ottengono la deroga?
Per le imprese che non soddisfano i requisiti o che non ottengono la deroga, rimangono invariati gli obblighi previsti dal Decreto NIS. In questo caso, saranno soggette agli obblighi normativi previsti per le grandi imprese, che includono misure di cybersicurezza particolarmente severe, come la protezione dei sistemi informativi e la gestione dei rischi legati alla sicurezza digitale. La clausola di salvaguardia è, quindi, un’opportunità per quelle realtà che, pur facendo parte di un gruppo, lavorano in modo autonomo e vogliono evitare oneri eccessivi.
Cosa si aspetta, in generale, da questo nuovo regolamento per le imprese italiane?
Mi aspetto che il DPCM 221/2024 offra alle imprese italiane una maggiore flessibilità nella gestione della cybersicurezza. Le normative europee impongono obblighi sempre più stringenti, ma è fondamentale che questi siano proporzionati alla realtà operativa delle singole aziende. Le imprese più piccole e autonome, che non rappresentano una minaccia per la sicurezza nazionale o per la sicurezza delle infrastrutture critiche, non devono essere penalizzate da normative che non sono rilevanti per il loro modello di business. Con la clausola di salvaguardia, credo che si potrà raggiungere un equilibrio migliore tra la protezione della cybersicurezza e la sostenibilità delle imprese, creando un contesto normativo più equo per tutti.