La clausola di salvaguardia mira a garantire che gli obblighi imposti dalla normativa sulla cybersicurezza siano proporzionati alla reale esposizione al rischio delle imprese, evitando oneri eccessivi per quelle che, pur appartenendo a grandi gruppi, operano con un elevato grado di autonomia.
In Gazzetta ufficiale è stato pubblicato il dpcm, datato 9 dicembre 2024, relativo al “Regolamento per la definizione dei criteri per l’applicazione della clausola di salvaguardia di cui all’articolo 3, commi 4 e 12, del decreto legislativo del 4 settembre 2024, n. 138, di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148″.
Il provvedimento è entrato in vigore ieri, il 10 febbraio 2025, e riguarda la clausola introdotta nel dlgs per evitare oneri eccessivi – nell’ambito dell’applicazione della direttiva Ue (la NIS 2) – per aziende che hanno una minima presenza sul territorio.
Cos’è la clausola di salvaguardia
La “clausola di salvaguardia” nell’ambito della cybersicurezza dell’Unione Europea è un meccanismo previsto dalla Direttiva NIS2 (Direttiva UE 2022/2555) e recepito in Italia con il Decreto Legislativo 4 settembre 2024, n. 138. Questo strumento consente di evitare che imprese con una presenza minima sul territorio o con un grado elevato di indipendenza operativa rispetto al gruppo di appartenenza siano soggette a obblighi sproporzionati derivanti dalla normativa sulla sicurezza informatica.
In particolare, la clausola permette di escludere dal calcolo delle dimensioni aziendali (come numero di dipendenti, fatturato e bilancio) le imprese collegate o associate, qualora queste operino in modo indipendente, soprattutto in termini di sistemi informativi e di rete. Questo è particolarmente rilevante per aziende che, pur facendo parte di un gruppo più ampio, gestiscono autonomamente le proprie infrastrutture ICT.
Cosa stabilisce il regolamento
Il regolamento stabilisce che un soggetto può richiedere l’applicazione della clausola di salvaguardia dichiarando congiuntamente:
- La totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate, ossia che i sistemi delle imprese collegate non contribuiscono in alcun modo al funzionamento dei propri sistemi.
- La totale indipendenza delle proprie attività e servizi NIS da quelli delle imprese collegate, nel senso che le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle proprie attività e all’erogazione dei propri servizi NIS.
La richiesta di applicazione della clausola di salvaguardia deve essere presentata nell’ambito della registrazione sulla piattaforma digitale prevista dall’articolo 7, comma 1, del Decreto NIS. L’Autorità nazionale competente NIS fornirà riscontro attraverso la stessa piattaforma.
Questo regolamento mira a garantire che gli obblighi imposti dalla normativa sulla cybersicurezza siano proporzionati alla reale esposizione al rischio delle imprese, evitando oneri eccessivi per quelle che, pur appartenendo a grandi gruppi, operano con un elevato grado di autonomia.
English (US)