Business Digitali
Questo articolo è pensato come una guida semplice e completa per aiutare le imprese a capire rapidamente se rientrano nel perimetro della Direttiva NIS 2. Attraverso un’analisi chiara e dettagliata, vengono illustrati i settori e le categorie di soggetti coinvolti, i requisiti dimensionali e organizzativi, le principali scadenze operative e gli adempimenti richiesti. Viene inoltre approfondito il trattamento specifico per le società collegate al settore pubblico e il regime sanzionatorio previsto. L’articolo offre strumenti pratici per valutare la propria posizione rispetto alla normativa e fornisce consigli utili per adeguarsi, sottolineando l’importanza di affidarsi a professionisti con competenze integrate, tecniche e legali. Un supporto concreto per orientarsi nel panorama normativo e garantire la conformità.
La nuova Direttiva NIS2, adottata con l’obiettivo di armonizzare le strategie di cybersecurity tra gli Stati membri dell’Unione Europea, punta a rafforzare i livelli di sicurezza dei servizi digitali su scala europea. Questa direttiva si integra con altre normative e linee guida sulla protezione dei dati personali e della sicurezza informatica, come il GDPR, il Regolamento DORA e il Cyber Resilience Act, fornendo un quadro normativo coerente per affrontare le crescenti minacce informatiche, che negli ultimi anni hanno registrato un significativo incremento in sofisticazione e portata.
In Italia, il recepimento della Direttiva (UE) 2022/2555, nota come Direttiva NIS2, è stato formalizzato con il Decreto Legislativo n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024. Come previsto dall’iter legislativo, il decreto è entrato in vigore il 16 ottobre 2024, ovvero 15 giorni dopo la pubblicazione.
Quali scadenze prevede la NIS 2?
La normativa prevede diverse scadenze operative per i soggetti coinvolti che, come ricorda l’Agenzia per la
Cibersecurity Nazionale (ACN) nelle sue FAQ, possono essere così riassunte:
La Direttiva e il relativo decreto di attuazione si applicano al ricorrere di ben specifici presupposti.
In primo luogo, è necessario che l'impresa rientri nei settori indicati negli allegati di cui alla normativa e che qui si riportano sinteticamente:
Allegato I: Settori altamente critici
Allegato II: Settori critici
Appurata l’appartenenza ad uno dei suddetti settori, è necessario che l'impresa superi i seguenti limiti dimensionali e di fatturato:
+ 50 dipendenti
+ 10 mln di fatturato
Tuttavia, anche laddove l’impresa non superi tali limiti, è possibile che la stessa rientri nel perimetro NIS 2 al ricorrere di ben definiti requisiti:
Tali soggetti dovranno riconoscersi in base ai suddetti criteri, autoidentificarsi e manifestarsi all’Autorità nazionale competente NIS attraverso l’apposita registrazione sulla piattaforma digitale messa a disposizione da ACN (articolo 7, comma 1).
Inoltre, l’Autorità Nazionale Competente NIS (ACN) su proposta delle Autorità di settore, può identificare:
Tali soggetti, alla conclusione della procedura di identificazione di cui all’articolo 3, comma 13, riceveranno
una specifica notifica da parte dell’Autorità nazionale competente NIS e di conseguenza dovranno
successivamente registrarsi sulla piattaforma di ACN (articolo 7, comma 1)
Il Decreto 138 afferma che i limiti dimensionali si ritengono superati al ricorrere di alcune condizioni soddisfatte da imprese associate o collegate ad altre imprese come definite nella Raccomandazione 2003/361/CE.
In particolare, per le imprese associate o collegate, i limiti di fatturato, sono determinati sulla base dei conti e di altri dati dell’impresa oppure, se disponibili, sulla base dei conti consolidati dell’impresa o di conti consolidati in cui l’impresa è ripresa tramite consolidamento.
Ai dati dell’impresa, in sostanza, si aggregano i dati delle eventuali imprese associate dell’impresa in questione, situate immediatamente a monte o a valle di quest’ultima. L’aggregazione è effettuata in proporzione alla percentuale di partecipazione al capitale o alla percentuale di diritti di voto detenuti (si sceglie la percentuale più elevata fra le due). Per le partecipazioni incrociate si applica la percentuale più elevata. Ai dati di cui al primo e al secondo comma si aggiunge il 100% dei dati relativi alle eventuali imprese direttamente o indirettamente collegate all’impresa in questione che non siano già stati ripresi nei conti tramite consolidamento.
Capire cosa si intende con impresa collegata o associate diventa quindi essenziale per capire se si applica o meno la NIS 2.
A tal riguardo, in base alla Raccomandazione 2003/361/CE, si definiscono “imprese associate“; tutte le imprese non identificabili come imprese collegate e tra le quali esiste la relazione seguente: un’impresa (impresa a monte) detiene, da sola o insieme a una o più imprese collegate ai sensi del paragrafo 3, almeno il 25 % del capitale o dei diritti di voto di un’altra impresa (impresa a valle).
Un’impresa può tuttavia essere definita autonoma, dunque priva di imprese associate, anche se viene raggiunta o superata la soglia del 25 %, qualora siano presenti le categorie di investitori elencate qui di seguito, a condizione che tali investitori non siano individualmente o congiuntamente collegati ai sensi del paragrafo 3 con l’impresa in questione:
a) società pubbliche di partecipazione, società di capitale di rischio, persone fisiche o gruppi di persone fisiche, esercitanti regolare attività di investimento in capitali di rischio (“business angels”) che investono fondi propri in imprese non quotate, a condizione che il totale investito da suddetti “business angels”; in una stessa impresa non superi 1250000 EUR;
b) università o centri di ricerca senza scopo di lucro;
c) investitori istituzionali, compresi i fondi di sviluppo regionale;
d) autorità locali autonome aventi un budget annuale inferiore a 10 milioni di EUR e meno di 5000 abitanti.
Di contro, si definiscono “imprese collegate”; le imprese fra le quali esiste una delle relazioni seguenti:
a) un’impresa detiene la maggioranza dei diritti di voto degli azionisti o soci di un’altra impresa;
b) un’impresa ha il diritto di nominare o revocare la maggioranza dei membri del consiglio di amministrazione, direzione o sorveglianza di un’altra impresa;
c) un’impresa ha il diritto di esercitare un influenza dominante su un’altra impresa in virtù di un contratto concluso con quest’ultima oppure in virtù di una clausola dello statuto di quest’ultima;
d) un’impresa azionista o socia di un’altra impresa controlla da sola, in virtù di un accordo stipulato con altri azionisti o soci dell’altra impresa, la maggioranza dei diritti di voto degli azionisti o soci di quest’ultima.
Sussiste una presunzione juris tantum che non vi sia influenza dominante qualora gli investitori di cui al paragrafo 2, secondo comma, non intervengano direttamente o indirettamente nella gestione dell’impresa in questione, fermi restando i diritti che essi detengono in quanto azionisti o soci.
Le imprese fra le quali intercorre una delle relazioni di cui al primo comma tramite una o più altre imprese, o con degli investitori di cui al paragrafo 2, sono anch’esse considerate imprese collegate.
Individuato il collegamento, ai fini dell’applicabilità della NIS 2 il Decreto 138 prevede un’ulteriore specifica:
“Per determinare se un soggetto è da considerarsi una media o grande impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, si applica l’articolo 6, paragrafo 2, del medesimo allegato, salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce”
Pertanto, anche ove si verificassero i suddetti requisiti di collegamento e associazione con superamento dei limiti dimensionali di cui sopra, ove l’impresa fosse nei fatti un soggetto indipendente in termini di sistemi informativi, la stessa potrebbe ritenersi esclusa dall’ambito di applicazione NIS 2.
L’allegato 4 del Decreto 138 prevede che rientrino nell’ambito NIS2 anche le “società in house”, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175.
A tal riguardo occorre precisare che la normativa italiana fornisce le seguenti definizioni:
«partecipazione»: la titolarità di rapporti comportanti la qualità di socio in società o la titolarità di strumenti finanziari che attribuiscono diritti amministrativi;
«controllo»: la situazione descritta nell’articolo 2359 del codice civile. Il controllo può sussistere anche quando, in applicazione di norme di legge o statutarie o di patti parasociali, per le decisioni finanziarie e gestionali strategiche relative all’attività sociale è richiesto il consenso unanime di tutte le parti che condividono il controllo;
Al di là delle sanzioni amministrative pecuniarie di cui può essere destinatario l’ente (sino ad un Massimo di 10.000.000 o il 20% del fatturato globale), il decreto di recepimento della Direttiva NIS 2 introduce sanzioni accessorie che riguardano direttamente:
Essi, ad esempio, non potranno svolgere funzioni dirigenziali all’interno dell’ente, finché lo stesso non avrà adottato le misure necessarie a porre rimedio alle carenze riscontrate dall’Agenzia per la Cybersicurezza Nazionale, o finché non si sarà conformato alle prescrizioni indicate dalla stessa.
Il consiglio principale è di non sottovalutare la questione, per evitare di trovarsi impreparati davanti alle scadenze e incorrere in sanzioni. La scelta migliore è affidarsi a un partner strutturato, capace di integrare competenze tecniche e legali. Purtroppo, molti si rivolgono a professionisti che operano esclusivamente in ambito informatico o legale, commettendo un grave errore. Gli adempimenti richiesti dalla normativa, infatti, abbracciano diverse aree e non possono essere gestiti efficacemente né dal più giurista degli informatici né dal più informatico dei giuristi. Proprio per rispondere a questa esigenza, BSD Legal offre un servizio strutturato, collaborando con partner selezionati e con cui intrattiene rapporti consolidati da anni.
Questo approccio garantisce soluzioni complete e affidabili, all'altezza delle aspettative più elevate. Se
volete approfondire vi consigliamo di visitare la pagina relativa ai servizi offerti da BSD Legal a tutte le
imprese che intendono adeguarsi alla normative NIS 2.
Articoli correlati