i nuovi criteri per l’applicazione per la Clausola di salvaguardia del Decreto NIS

Nella Gazzetta Ufficiale di ieri, lunedì 10 febbraio 2025, è stato pubblicato il Decreto del Presidente del Consiglio dei Ministri n. 221 del 9 dicembre 2024 che introduce un regolamento chiave per la definizione dei criteri relativi alla clausola di salvaguardia prevista dal Decreto NIS (D. Lgs. 138/2024), recependo la Direttiva UE 2022/2555. Questa normativa si colloca nel più ampio contesto della cybersecurity europea, rafforzando le misure di protezione per le infrastrutture critiche e i servizi digitali essenziali.

Un nuovo quadro regolatorio per la cybersicurezza

Il Decreto NIS è lo strumento legislativo con cui l’Italia ha recepito la Direttiva NIS 2 (Direttiva 2022/2555/UE), che impone un livello comune elevato di sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea.

Tra le disposizioni più rilevanti, l’articolo 3, commi 4 e 12, introduce una clausola di salvaguardia che consente ai soggetti regolati di derogare ad alcuni obblighi del decreto, qualora dimostrino di operare in maniera indipendente dalle imprese collegate. Il regolamento adottato con il DPCM 221/2024 stabilisce i criteri specifici per l’applicazione di tale deroga.

Criteri per l’applicazione della clausola di salvaguardia

L’articolo 3 del decreto stabilisce che la richiesta di applicazione della clausola di salvaguardia può essere accolta solo se il soggetto interessato dimostra congiuntamente:

1. indipendenza assoluta dei sistemi informativi e di rete rispetto alle imprese collegate. I sistemi ICT delle imprese collegate non devono in alcun modo contribuire al funzionamento dei sistemi del soggetto richiedente;
2. autonomia operativa nelle attività e nei servizi NIS. Le imprese collegate non devono influenzare lo svolgimento delle attività e l’erogazione dei servizi digitali del soggetto che richiede la deroga.

Questa previsione risponde alla necessità di evitare che soggetti appartenenti a gruppi societari possano eludere gli obblighi previsti dal Decreto NIS sfruttando strutture parallele non soggette agli stessi vincoli di sicurezza.

Procedura per la richiesta della clausola di salvaguardia

Il soggetto interessato deve presentare richiesta attraverso la piattaforma digitale dedicata, in fase di registrazione, come previsto dall’articolo 7 del Decreto NIS.

L’Autorità nazionale competente NIS valuterà la richiesta e fornirà riscontro ufficiale tramite la stessa piattaforma. Le dichiarazioni rese saranno soggette alle responsabilità previste dal D.P.R. 445/2000, con possibili conseguenze in caso di dichiarazioni mendaci.

Effetti e implicazioni per le imprese e le Pubbliche Amministrazioni

L’introduzione di questi criteri porta con sé importanti implicazioni per le organizzazioni soggette alla disciplina del Decreto NIS:

• Maggiori oneri di compliance per le aziende che desiderano ottenere la deroga, dovendo fornire prove dettagliate della loro indipendenza operativa e tecnologica.
• Maggiore certezza giuridica per i soggetti regolati, grazie a criteri chiari e verificabili per l’ottenimento della clausola di salvaguardia.
• Rafforzamento della sicurezza nazionale attraverso la riduzione del rischio che soggetti interconnessi con imprese non conformi possano eludere gli obblighi normativi.

La cybersicurezza è ormai una priorità strategica per le istituzioni e il tessuto economico nazionale. Le aziende e le pubbliche amministrazioni devono quindi adeguarsi tempestivamente, adottando misure organizzative e tecnologiche che garantiscano la conformità al nuovo quadro normativo.