Con il DPCM n. 221/2024, pubblicato in Gazzetta Ufficiale il 10 febbraio 2025, viene regolamentata la clausola di salvaguardia, un meccanismo che consente a determinate imprese di ottenere un trattamento normativo più proporzionato rispetto agli obblighi imposti dal Decreto NIS (D. Lgs. n. 138/2024), che recepisce in Italia la Direttiva (UE) 2022/2555 (NIS 2).
Entro il 28 febbraio 2025, aziende e pubbliche amministrazioni dovranno registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), indicando se ricadono tra i soggetti destinatari degli obblighi previsti dal Decreto.
Il DPCM n. 221/2024 consente a determinate imprese di derogare alla definizione di impresa collegata contenuta nella Raccomandazione 2003/361/CE, evitando che realtà formalmente appartenenti a un gruppo, ma di fatto indipendenti, siano soggette a vincoli normativi eccessivi.
Per ottenere questa deroga, devono essere soddisfatti due criteri fondamentali:
Effetti giuridici della clausola
L’accoglimento della clausola comporta la disapplicazione dell’art. 6, par. 2, della Raccomandazione 2003/361/CE, con possibili riclassificazioni aziendali: una grande impresa potrebbe essere riclassificata come media, riducendo gli obblighi del Decreto NIS.
Tuttavia, la clausola non è applicabile alle imprese che, ai sensi dell’art. 3, comma 10, del Decreto NIS, esercitano un’influenza dominante sulla sicurezza informatica di soggetti essenziali o importanti, ad esempio:
Procedura di richiesta
Le aziende che ritengono sproporzionata l’applicazione dell’art. 6, par. 2, possono fare richiesta attraverso il proprio Punto di contatto NIS in fase di registrazione sulla piattaforma ACN, dichiarando il rispetto dei criteri stabiliti dal DPCM n. 221/2024.
L’ACN, in collaborazione con le Autorità di settore NIS, valuterà le richieste e notificherà l’esito tramite la stessa piattaforma.