La Direttiva (UE) n. 2022/2555, nota come Direttiva NIS2, ha introdotto nuovi e più rigorosi requisiti di cybersecurity per tutti gli Stati membri dell’Unione Europea, imponendo loro l’obbligo di adottare misure di recepimento entro il 17 ottobre 2024. L’Italia si è segnalata come uno dei Paesi più pronti nell’adottare la Direttiva NIS2, recependola già il 4 settembre 2024 con il d.lgs. n. 138/2024, Decreto NIS2, entrato in vigore dal 16 ottobre 2024.
Indice degli argomenti
L’introduzione della direttiva nis2 e il suo recepimento in Italia
La Direttiva NIS2 rappresenta un aggiornamento significativo del quadro normativo preesistente sulla sicurezza delle reti e dei sistemi informativi, con l’intento di risolvere le carenze rilevate nella precedente normativa: riduce infatti la discrezionalità che in passato era concessa agli Stati membri, spingendo verso una maggiore armonizzazione delle politiche di cybersecurity in tutta l’Unione, con l’obiettivo di garantire un approccio più solido e uniforme nella protezione delle infrastrutture critiche.
Risk management: l’importanza di quantificare correttamente il rischio (non solo quello informatico)
Vista la centralità di questa normativa ed il ruolo di apripista che si è ritagliato l’Italia nell’averla recepita così in anticipo rispetto agli altri grandi Paesi europei, l’esperienza italiana potrà rivestire una particolare rilevanza anche come precedente per gli altri Paesi europei. E’ quindi interessante capire come l’ACN, Autorità nazionale competente NIS, risolverà i diversi dubbi interpretativi sorti dalla prima lettura del Decreto NIS2.
Dubbi interpretativi nella trasposizione italiana della NIS2
Un primo dubbio interpretativo riguarda innanzitutto l’ambito di applicazione oggettiva del Decreto NIS2.
Sotto tale profilo, infatti, il Decreto NIS2 si applica a tutti i soggetti, sia pubblici che privati, esplicitamente elencati negli allegati I, II, III e IV, che operano sotto la giurisdizione nazionale, come definito all’articolo 5.
L’incertezza nell’individuazione dei soggetti obbligati
Gli Allegati I e II riguardano settori particolarmente critici, indicando i relativi sottosettori e le categorie di soggetti interessati. Gli Allegati III e IV, invece, si riferiscono alle amministrazioni pubbliche e ad altri enti, ampliando così il campo di applicazione del Decreto NIS2.
Ora, gli allegati I e II riportano numerosissime ed eterogenee categorie che, mentre in alcuni casi sono permettono un agevole identificazione dei soggetti che vi ricadono, in molti casi lasciano profonde incertezze circa l’applicabilità del Decreto NIS2.
Quanto alle categorie di soggetti di facile individuazione, quella dei fornitori di reti di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico è senz’altro una delle più emblematiche. Si tratta infatti di tipologie di soggetti espressamente ricompresi nella categoria delle Infrastrutture digitali di cui all’Allegato I, e la loro individuazione è particolarmente agevole perché la fornitura dei relativi servizi è subordinata al possesso di un’autorizzazione generale emanata a seguito della presentazione di una SCIA al Ministero delle Imprese e del Made in Italy ai sensi dell’art. 13 del Codice delle Comunicazioni Elettroniche. Qualora pertanto un soggetto abbia un’autorizzazione generale per la fornitura di reti di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, sarà senz’altro soggetto agli obblighi di cui al Decreto NIS2.
Applicazione del decreto NIS2 ai fornitori di servizi gestiti: chiarimenti necessari
Molto meno agevole invece l’analisi di altre categorie. E’ questo il caso, ad esempio, dei fornitori di servizi gestiti.
Definizione e ruolo del fornitore di servizi gestiti
L’art. 2(iii) del Decreto NIS2 definisce il fornitore di servizi gestiti quale “soggetto che fornisce servizi relativi all’installazione, alla gestione, al funzionamento o alla manutenzione di prodotti, reti, infrastrutture, applicazioni TIC o di qualsiasi altro sistema informativo e di rete, tramite assistenza o amministrazione attiva effettuata nei locali dei clienti o a distanza”.
Si tratta di una definizione estremamente ampia e non particolarmente felice: non è infatti chiaro cosa sarebbero le richiamate “applicazioni TIC”, che non sono definite nel Decreto NIS2 e non ricorrono in nessun altro punto del medesimo decreto, né se i “prodotti” menzionati nella definizione vadano letti quali prodotti TIC (definiti come elementi o un gruppi di elementi di una rete o di un sistema informativo) o come prodotti in senso più generico, interpretazione questa però che estenderebbe l’applicazione del Decreto NIS2 in modo eccessivo e senz’altro al di fuori della ratio stessa della Direttiva NIS2.
Il testo inglese della definizione
Ci viene però in soccorso il testo inglese della definizione come contenuto della Direttiva NIS2, ai sensi del quale: “managed service provider means an entity that provides services related to the installation, management, operation or maintenance of ICT products, networks, infrastructure, applications or any other network and information systems”. È quindi chiaro che a rilevare siano solo i prodotti TIC (che in effetti godono di una definizione chiara nella Direttiva NIS2, al contrario delle inesistenti “applicazioni TIC”), e poi reti, infrastrutture ed applicazioni.
Chiarito questo primo punto, rimane il dubbio sull’effettiva portata dei servizi gestiti, che pur nella sua interpretazione corretta sembrerebbe ricomprendere un’ampia gamma di servizi, soprattutto software.
Gli obblighi di registrazione e le relative criticità
Si tratta di un dubbio tutt’altro che ozioso, visto che il primo degli obblighi introdotti dal Decreto NIS2 consiste nella necessità per tutti i soggetti rientranti nell’ambito di applicazione del Decreto stesso di registrarsi sulla piattaforma digitale ACN, pena l’applicazione delle sanzioni amministrative di cui all’art 38, comma 11, del Decreto NIS2.
Proprio con riferimento al processo di registrazione sono poi insorti altri dubbi interpretativi di natura più pratica, il principale dei quali riguarda senz’altro l’applicazione della cosiddetta clasuola di salvaguardia.
Registrazione alla piattaforma digitale ACN, la determinazione 38565
Per fornire una guida pratica alla registrazione sulla piattaforma, l’ACN ha emanato in data 26 novembre 2024 la propria Determinazione 38565, che all’art. 8 contiene una serie di informazioni da riportare in fase di registrazione. Tra le altre, il comma 2, lett. (f) del medesimo articolo riporta “i valori del fatturato e del bilancio nonché del numero di dipendenti al fine di determinare l’appartenenza del soggetto NIS alla categoria delle medie o grandi imprese ai sensi della raccomandazione 2003/361/CE”. Si tratta di un elemento importante, da cui può dipendere la qualifica di un soggetto auale soggetto essenziale o importante, con tutte le conseguenze del caso.
La clausola di salvaguardia: definizione e applicabilità
Il successivo comma 4 precisa poi che “qualora il soggetto non sia una impresa autonoma, il calcolo del fatturato e del bilancio nonché del numero di dipendenti di cui al comma 2, lettera f), del presente articolo è effettuato ai sensi dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE”: vale a dire, in estrema sintesi, che i dati delle imprese collegate all’impresa che effettua l’iscrizione contribuiscono al raggiungimento delle soglie di fatturato e di numero di dipendenti. Questo però salvo che ciò non sia proporzionato, “tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce”, come riportato dall’art. 3, comma 4, del Decreto NIS2: tale eccezione è indicata, nella Determinazione, quale “clausola di salvaguardia”.
Le problematiche interpretative della norma
Tale norma però presentava diverse problematiche interpretative: cosa doveva intendersi per “imprese collegate”? Quali parametri andavano presi in considerazione per valutare la proporzionalità? E quando un’impresa può dirsi indipendente dalle proprie imprese collegate?
La definizione di impresa collegata
Quanto alla definizione di impresa collegata, è la stessa Determinazione a fornirne una definizione all’art. 1, lett. (s), laddove chairisce che l’impresa collegata è “un soggetto che soddisfa i criteri di cui all’articolo 3, paragrafi 2 e 3, dell’allegato alla raccomandazione 2003/361/CE, o che fa parte di un gruppo di imprese”: si tratta di una definizione resa molto ampia dal generico richiamo all’appartenenza d un gruppo di imprese, che la successiva lettera (u) del medesimo art. 1 della Determinazione definisce come “l’insieme delle società, delle imprese e degli enti, esclusi lo Stato e gli enti territoriali, che esercitano o sono sottoposti, ai sensi degli articoli 2497 e 2545-septies del codice civile, alla direzione e coordinamento di una società, di un ente o di una persona fisica; a tal fine si presume, salvo prova contraria, che l’attività di direzione e coordinamento delle società del gruppo sia esercitata dalla società o ente tenuto al consolidamento dei loro bilanci oppure dalla società o ente che le controlla, direttamente o indirettamente, anche nei casi di controllo congiunto”.
Le domande sull’applicabilità della clausola di salvaguardia
Le domande invece sull’applicabilità della clausola di salvaguardia trovavano risposta con il dPCM n. 221 del 9 dicembre 2024, pubblicato in GU n.33 del 10 febbraio 2025. In particolare, il dPCM indicava all’art. 3 due requisiti che dovevano sussistere contemporaneamente per sancire la possibile applicabilità della clausola di salvaguardia:
(a) la totale indipendenza dei sistemi informativi e di rete NIS del soggetto dichiarante da quelli delle imprese collegate, nel senso che i sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo;
(b) la totale indipendenza delle attività e servizi NIS del soggetto dichiarante da quelli delle imprese collegate, nel senso che le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo.
Pertanto, qualora in un gruppo societario ci siano società collegate che svolgono attività completamente indipendenti da quelle del soggetto che sta effettuando la registrazione, e tali attività siano rese con sistemi informativi e di rete completamente indipendenti, il soggetto NIS in fase di registrazione alla piattaforma dovrà dichiarare di volersi avvalere della clausola di salvaguardia così da evitare che il fatturato ed i dipendenti di tali società collegate vadano a sommarsi alle proprie soglie di fatturato e dipendenti, così da incidere potenzialmente sulla qualifica di soggetto essenziale invece che importante.
Decreto NIS 2: le prossime fasi e prospettive future
Una volta terminata con il 28 febbraio 2025 la fase di iscrizione alla piattaforma, si aprirà per l’ACN la delicata fase di analisi delle domande di registrazione così da comporre il panorama dei soggetti sottoposti agli obblighi di cui al Decreto NIS2, fase che dovrebbe concludersi il 31 marzo: sarà interessante vedere come l’ACN affronterà questo delicato compito che la vede protagonista, e come si districherà tra le inevitabili criticità interpretative che sorgeranno una volta che saranno emanati gli ulteriori decreti implementativi attesi per il mese di aprile.
Preparati per la NIS2: guida essenziale per rispettare gli obblighi cyber in tempo!
