Pubblicato nella GURI n. 33 del 10 Febbraio 2025 il DPCM 9 dicembre 2024, n. 221 “Regolamento per la definizione dei criteri per l’applicazione della clausola di salvaguardia di cui all’articolo 3, commi 4 e 12, del decreto legislativo del 4 settembre 2024, n. 138, di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”
Questo il link al testo del DPCM, recante il Regolamento di definizione dei criteri per l’applicazione della clausola di salvaguardia che consente di derogare all’applicazione del criterio di aggregazione dei dati per la determinazione della qualifica di media o grande impresa, in attuazione di quanto previsto dal DLGS 138/2024, di recepimento della direttiva cosiddetta NIS2, in materia di cybersicurezza delle reti informatiche.
In particolare, il DLGS 138 prevede che per determinare se un soggetto sia da considerarsi una media o grande impresa, i suoi dati non vengano valutati isolatamente ma si considerino anche quelli delle imprese associate e collegate, in modo da riflettere la reale dimensione economica del soggetto. Tuttavia, un’impresa può essere considerata separatamente – applicando la c.d. clausola di salvaguardia – nel caso in cui questa sia indipendente dalle sue imprese collegate sia in termini di sistemi informativi e di rete che in termini di servizi che fornisce.
Nello specifico, il Regolamento stabilisce le condizioni e le modalità in base alle quali un’impresa può essere considerata indipendente dalle sue imprese collegate, e prevede che la clausola di salvaguardia possa essere accolta qualora il soggetto dichiari congiuntamente:
- Indipendenza sistemi informativi e di rete NIS da quelli delle imprese collegate – I sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo;
- Indipendenza attività e servizi NIS dalle imprese collegate – Le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all’erogazione dei servizi NIS del soggetto medesimo.
L’applicazione della clausola può essere richiesta nell’ambito della registrazione nella piattaforma digitale sul sito dell’Agenzia per la cybersicurezza nazionale (ACN), da effettuarsi entro il 28 Febbraio p.v..
In ogni caso, la clausola non può essere richiesta dai soggetti che, indipendentemente dalle dimensioni, soddisfano almeno uno dei seguenti criteri:
- Adottano decisioni o esercitano un’influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
- Detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
- Effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
- Forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.
Maggiori informazioni sul sito dell’ACN.
Fonte: ANIE News
