l’analisi

Decreto NIS2, troppe ambiguità: guida ai nuovi obblighi cyber



Indirizzo copiato

La trasposizione italiana della Direttiva NIS2 presenta ambiguità nell’individuazione dei soggetti obbligati. Esaminiamo il processo di registrazione e i criteri per applicare la clausola di salvaguardia nel calcolo delle soglie dimensionali

Pubblicato il 17 mar 2025

Andrea Cristina Tassoni

Senior Vice Head of Legal Affairs di Minerva Pictures

Andrea Mezzetti

Of Counsel, Orrick



nis 2, approvato il decreto attuativo (1)

La Direttiva (UE) n. 2022/2555, nota come Direttiva NIS2, ha introdotto nuovi e più rigorosi requisiti di cybersecurity per tutti gli Stati membri dell’Unione Europea, imponendo loro l’obbligo di adottare misure di recepimento entro il 17 ottobre 2024. L’Italia si è segnalata come uno dei Paesi più pronti nell’adottare la Direttiva NIS2, recependola già il 4 settembre 2024 con il d.lgs. n. 138/2024, Decreto NIS2, entrato in vigore dal 16 ottobre 2024.

L’introduzione della direttiva nis2 e il suo recepimento in Italia

La Direttiva NIS2 rappresenta un aggiornamento significativo del quadro normativo preesistente sulla sicurezza delle reti e dei sistemi informativi, con l’intento di risolvere le carenze rilevate nella precedente normativa: riduce infatti la discrezionalità che in passato era concessa agli Stati membri, spingendo verso una maggiore armonizzazione delle politiche di cybersecurity in tutta l’Unione, con l’obiettivo di garantire un approccio più solido e uniforme nella protezione delle infrastrutture critiche.

Vista la centralità di questa normativa ed il ruolo di apripista che si è ritagliato l’Italia nell’averla recepita così in anticipo rispetto agli altri grandi Paesi europei, l’esperienza italiana potrà rivestire una particolare rilevanza anche come precedente per gli altri Paesi europei. E’ quindi interessante capire come l’ACN, Autorità nazionale competente NIS, risolverà i diversi dubbi interpretativi sorti dalla prima lettura del Decreto NIS2.

Dubbi interpretativi nella trasposizione italiana della NIS2

Un primo dubbio interpretativo riguarda innanzitutto l’ambito di applicazione oggettiva del Decreto NIS2.

Sotto tale profilo, infatti, il Decreto NIS2 si applica a tutti i soggetti, sia pubblici che privati, esplicitamente elencati negli allegati I, II, III e IV, che operano sotto la giurisdizione nazionale, come definito all’articolo 5.

L’incertezza nell’individuazione dei soggetti obbligati

Gli Allegati I e II riguardano settori particolarmente critici, indicando i relativi sottosettori e le categorie di soggetti interessati. Gli Allegati III e IV, invece, si riferiscono alle amministrazioni pubbliche e ad altri enti, ampliando così il campo di applicazione del Decreto NIS2.

Ora, gli allegati I e II riportano numerosissime ed eterogenee categorie che, mentre in alcuni casi sono permettono un agevole identificazione dei soggetti che vi ricadono, in molti casi lasciano profonde incertezze circa l’applicabilità del Decreto NIS2.

Quanto alle categorie di soggetti di facile individuazione, quella dei fornitori di reti di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico è senz’altro una delle più emblematiche. Si tratta infatti di tipologie di soggetti espressamente ricompresi nella categoria delle Infrastrutture digitali di cui all’Allegato I, e la loro individuazione è particolarmente agevole perché la fornitura dei relativi servizi è subordinata al possesso di un’autorizzazione generale emanata a seguito della presentazione di una SCIA al Ministero delle Imprese e del Made in Italy ai sensi dell’art. 13 del Codice delle Comunicazioni Elettroniche. Qualora pertanto un soggetto abbia un’autorizzazione generale per la fornitura di reti di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, sarà senz’altro soggetto agli obblighi di cui al Decreto NIS2.

Applicazione del decreto NIS2 ai fornitori di servizi gestiti: chiarimenti necessari

Molto meno agevole invece l’analisi di altre categorie. E’ questo il caso, ad esempio, dei fornitori di servizi gestiti.

Definizione e ruolo del fornitore di servizi gestiti

L’art. 2(iii) del Decreto NIS2 definisce il fornitore di servizi gestiti quale “soggetto che fornisce servizi relativi all’installazione, alla gestione, al funzionamento o alla manutenzione di prodotti, reti, infrastrutture, applicazioni TIC o di qualsiasi altro sistema informativo e di rete, tramite assistenza o amministrazione attiva effettuata nei locali dei clienti o a distanza”.

Si tratta di una definizione estremamente ampia e non particolarmente felice: non è infatti chiaro cosa sarebbero le richiamate “applicazioni TIC”, che non sono definite nel Decreto NIS2 e non ricorrono in nessun altro punto del medesimo decreto, né se i “prodotti” menzionati nella definizione vadano letti quali prodotti TIC (definiti come elementi o un gruppi di elementi di una rete o di un sistema informativo) o come prodotti in senso più generico, interpretazione questa però che estenderebbe l’applicazione del Decreto NIS2 in modo eccessivo e senz’altro al di fuori della ratio stessa della Direttiva NIS2.

Il testo inglese della definizione

Ci viene però in soccorso il testo inglese della definizione come contenuto della Direttiva NIS2, ai sensi del quale: “managed service provider means an entity that provides services related to the installation, management, operation or maintenance of ICT products, networks, infrastructure, applications or any other network and information systems”. È quindi chiaro che a rilevare siano solo i prodotti TIC (che in effetti godono di una definizione chiara nella Direttiva NIS2, al contrario delle inesistenti “applicazioni TIC”), e poi reti, infrastrutture ed applicazioni.

Chiarito questo primo punto, rimane il dubbio sull’effettiva portata dei servizi gestiti, che pur nella sua interpretazione corretta sembrerebbe ricomprendere un’ampia gamma di servizi, soprattutto software.

Gli obblighi di registrazione e le relative criticità

Si tratta di un dubbio tutt’altro che ozioso, visto che il primo degli obblighi introdotti dal Decreto NIS2 consiste nella necessità per tutti i soggetti rientranti nell’ambito di applicazione del Decreto stesso di registrarsi sulla piattaforma digitale ACN, pena l’applicazione delle sanzioni amministrative di cui all’art 38, comma 11, del Decreto NIS2.

Proprio con riferimento al processo di registrazione sono poi insorti altri dubbi interpretativi di natura più pratica, il principale dei quali riguarda senz’altro l’applicazione della cosiddetta clasuola di salvaguardia.

Registrazione alla piattaforma digitale ACN, la determinazione 38565

Per fornire una guida pratica alla registrazione sulla piattaforma, l’ACN ha emanato in data 26 novembre 2024 la propria Determinazione 38565, che all’art. 8 contiene una serie di informazioni da riportare in fase di registrazione. Tra le altre, il comma 2, lett. (f) del medesimo articolo riporta “i valori del fatturato e del bilancio nonché del numero di dipendenti al fine di determinare l’appartenenza del soggetto NIS alla categoria delle medie o grandi imprese ai sensi della raccomandazione 2003/361/CE”. Si tratta di un elemento importante, da cui può dipendere la qualifica di un soggetto auale soggetto essenziale o importante, con tutte le conseguenze del caso.

La clausola di salvaguardia: definizione e applicabilità

Il successivo comma 4 precisa poi che “qualora il soggetto non sia una impresa autonoma, il calcolo del fatturato e del bilancio nonché del numero di dipendenti di cui al comma 2, lettera f), del presente articolo è effettuato ai sensi dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE”: vale a dire, in estrema sintesi, che i dati delle imprese collegate all’impresa che effettua l’iscrizione contribuiscono al raggiungimento delle soglie di fatturato e di numero di dipendenti. Questo però salvo che ciò non sia proporzionato, “tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce”, come riportato dall’art. 3, comma 4, del Decreto NIS2: tale eccezione è indicata, nella Determinazione, quale “clausola di salvaguardia”.

Le problematiche interpretative della norma

Tale norma però presentava diverse problematiche interpretative: cosa doveva intendersi per “imprese collegate”? Quali parametri andavano presi in considerazione per valutare la proporzionalità? E quando un’impresa può dirsi indipendente dalle proprie imprese collegate?

La definizione di impresa collegata

Quanto alla definizione di impresa collegata, è la stessa Determinazione a fornirne una definizione all’art. 1, lett. (s), laddove chairisce che l’impresa collegata è “un soggetto che soddisfa i criteri di cui all’articolo 3, paragrafi 2 e 3, dell’allegato alla raccomandazione 2003/361/CE, o che fa parte di un gruppo di imprese”: si tratta di una definizione resa molto ampia dal generico richiamo all’appartenenza d un gruppo di imprese, che la successiva lettera (u) del medesimo art. 1 della Determinazione definisce come “l’insieme delle società, delle imprese e degli enti, esclusi lo Stato e gli enti territoriali, che esercitano o sono sottoposti, ai sensi degli articoli 2497 e 2545-septies del codice civile, alla direzione e coordinamento di una società, di un ente o di una persona fisica; a tal fine si presume, salvo prova contraria, che l’attività di direzione e coordinamento delle società del gruppo sia esercitata dalla società o ente tenuto al consolidamento dei loro bilanci oppure dalla società o ente che le controlla, direttamente o indirettamente, anche nei casi di controllo congiunto”.

Le domande sull’applicabilità della clausola di salvaguardia

Le domande invece sull’applicabilità della clausola di salvaguardia trovavano risposta con il dPCM n. 221 del 9 dicembre 2024, pubblicato in GU n.33 del 10 febbraio 2025. In particolare, il dPCM indicava all’art. 3 due requisiti che dovevano sussistere contemporaneamente per sancire la possibile applicabilità della clausola di salvaguardia:

(a) la totale indipendenza dei sistemi informativi e di rete NIS del soggetto dichiarante da quelli delle imprese collegate, nel senso che i sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo;

(b) la totale indipendenza delle attività e servizi NIS del soggetto dichiarante da quelli delle imprese collegate, nel senso che le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo.

Pertanto, qualora in un gruppo societario ci siano società collegate che svolgono attività completamente indipendenti da quelle del soggetto che sta effettuando la registrazione, e tali attività siano rese con sistemi informativi e di rete completamente indipendenti, il soggetto NIS in fase di registrazione alla piattaforma dovrà dichiarare di volersi avvalere della clausola di salvaguardia così da evitare che il fatturato ed i dipendenti di tali società collegate vadano a sommarsi alle proprie soglie di fatturato e dipendenti, così da incidere potenzialmente sulla qualifica di soggetto essenziale invece che importante.

Decreto NIS 2: le prossime fasi e prospettive future

Una volta terminata con il 28 febbraio 2025 la fase di iscrizione alla piattaforma, si aprirà per l’ACN la delicata fase di analisi delle domande di registrazione così da comporre il panorama dei soggetti sottoposti agli obblighi di cui al Decreto NIS2, fase che dovrebbe concludersi il 31 marzo: sarà interessante vedere come l’ACN affronterà questo delicato compito che la vede protagonista, e come si districherà tra le inevitabili criticità interpretative che sorgeranno una volta che saranno emanati gli ulteriori decreti implementativi attesi per il mese di aprile.

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4