È stato pubblicato in Gazzetta Ufficiale il decreto per la definizione dei criteri per l’applicazione della clausola di salvaguardia contenuta nel Decreto Legislativo 138/2024, noto come Decreto NIS. Al Decreto NIS abbiamo dedicato l’articolo “Decreto Legislativo 138/2024 (decreto NIS) in Gazzetta Ufficiale”. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
Indice
1. Cos’è il Decreto 138/2024, detto Decreto NIS?
Il Decreto Legislativo 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, recepisce la Direttiva (UE) 2022/2555, nota come Direttiva NIS 2, nell’ordinamento italiano. Questo provvedimento mira a rafforzare la sicurezza informatica a livello nazionale, imponendo a imprese e pubbliche amministrazioni l’adozione di misure volte a garantire un elevato livello comune di cybersicurezza. Con l’entrata in vigore del decreto, l’Italia si allinea agli standard europei, potenziando la protezione dei propri sistemi informatici e delle infrastrutture critiche. Alla spiegazione della Direttiva abbiamo dedicato l’articolo: La Direttiva europea NIS2 per punti essenziali
2. In cosa consiste la clausola di salvaguardia?
La clausola di salvaguardia, introdotta dal DPCM n. 221/2024, è un meccanismo normativo che consente ad alcune imprese di derogare alla definizione di impresa collegata prevista dalla Raccomandazione 2003/361/CE. La sua finalità è garantire un’applicazione proporzionata della normativa NIS, evitando che aziende formalmente collegate a grandi gruppi societari – ma operativamente indipendenti – siano soggette a obblighi più stringenti rispetto alla loro reale struttura. In pratica, questa clausola permette di considerare un’impresa come separata dal gruppo di appartenenza se dimostra di gestire in modo autonomo le proprie infrastrutture e attività NIS. La principale conseguenza giuridica è la disapplicazione dell’articolo 6, paragrafo 2, della Raccomandazione 2003/361/CE, con il possibile “declassamento” da grande a media impresa o da media a piccola impresa, modificando quindi il suo status ai fini della normativa NIS. Tuttavia, la clausola non è applicabile alle imprese che, in base all’art. 3, comma 10, del Decreto NIS, risultano collegate a soggetti essenziali o importanti con influenza sulle decisioni strategiche in materia di cybersicurezza. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
3. Come si richiede e quali sono i requisiti per l’applicazione della clausola di salvaguardia?
Per ottenere l’applicazione della clausola di salvaguardia, l’impresa interessata deve presentare richiesta attraverso la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), tramite il proprio Punto di Contatto NIS, in fase di registrazione. La richiesta deve essere corredata da dichiarazioni che attestino il rispetto dei due requisiti fondamentali, che devono sussistere congiuntamente:
- Indipendenza totale dei sistemi informativi e di rete NIS – L’impresa deve dimostrare che le proprie infrastrutture NIS non dipendono da quelle delle altre aziende del gruppo e che non vi sia alcun collegamento funzionale.
- Indipendenza totale delle attività e dei servizi NIS – Le attività e i servizi NIS dell’impresa devono essere gestiti autonomamente, senza alcuna influenza o contributo da parte di altre entità del gruppo.
Oltre a questi criteri, durante la registrazione sulla piattaforma, l’impresa deve fornire informazioni su numero di dipendenti, fatturato e bilancio. Dopo la presentazione della domanda, l’ACN condivide le informazioni con le Autorità di settore NIS, che valutano la richiesta e comunicano l’accoglimento o il rigetto attraverso la stessa piattaforma. La concessione della clausola comporta l’applicazione di un regime normativo più proporzionato, con possibili ricadute sulla classificazione dell’impresa ai fini della normativa NIS. Tuttavia, la deroga non è applicabile alle imprese autonome, ovvero a quelle che non fanno parte di un gruppo societario e non hanno imprese collegate o associate.
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento