DECRETO PRESIDENTE DEL CONSIGLIO DEI MINISTRI 9 dicembre 2024, n. 221
G.U.R.I. 10 febbraio 2025, n. 33
Regolamento per la definizione dei criteri per l'applicazione della clausola di salvaguardia di cui all'articolo 3, commi 4 e 12, del decreto legislativo del 4 settembre 2024, n. 138, di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri»;
Visto il decreto legislativo 4 settembre 2024, n. 138 (decreto NIS), recante «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148» e, in particolare, gli articoli 3, comma 4, che consente di derogare all'applicazione dell'articolo 6, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE, qualora questa non risulti proporzionata, e 40, comma 1, lettera a), che demanda a un decreto del Presidente del Consiglio dei ministri, da adottarsi anche in deroga all'articolo 17 della legge n. 400 del 1988, la definizione dei criteri per l'applicazione della deroga di cui al citato articolo 3, comma 4;
Visto il regolamento (CEE) n. 2137/85 del Consiglio, del 25 luglio 1985, relativo all'istituzione di un gruppo europeo di interesse economico (GEIE);
Visto il decreto legislativo 23 luglio 1991, n. 240, recante «Norme per l'applicazione del regolamento n. 85/2137/CEE relativo all'istituzione di un Gruppo europeo di interesse economico - GEIE, ai sensi dell'art. 17 della legge 29 dicembre 1990, n. 428»;
Visto il decreto legislativo 12 gennaio 2019, n. 14, recante «Codice della crisi d'impresa e dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155» e, in particolare, l'articolo 2, comma 1, lettera h);
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Vista la raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese;
Visto il decreto del Presidente del Consiglio dei ministri 23 ottobre 2022, con il quale al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, dottor Alfredo Mantovano, è stata delegata la firma dei decreti, degli atti e dei provvedimenti di competenza del Presidente del Consiglio dei ministri, a esclusione di quelli che richiedono una preventiva deliberazione del Consiglio dei ministri e di quelli relativi alle attribuzioni di cui all'articolo 5 della legge 23 agosto 1988, n. 400;
Visto il decreto del Presidente del Consiglio dei ministri 12 novembre 2022, recante delega di funzioni in materia di cybersicurezza, con il quale l'Autorità delegata per la sicurezza della Repubblica è delegata a svolgere le funzioni del Presidente del Consiglio dei ministri in materia di cybersicurezza, fatte salve quelle attribuite in via esclusiva al Presidente del Consiglio dei ministri;
Ritenuto di non richiedere il parere del Consiglio di Stato, anche tenuto conto dell'esigenza di assicurare il pronto avvio dell'attività di registrazione dei soggetti di cui al decreto NIS ai sensi del combinato disposto degli articoli 7, comma 1, e 42, comma 3, del decreto legislativo 4 settembre 2024, n. 138;
Sentito il Tavolo per l'attuazione della disciplina NIS di cui all'articolo 12 del decreto legislativo 4 settembre 2024, n. 138, nella riunione del 25 novembre 2024;
Acquisito il parere del Comitato interministeriale per la cybersicurezza di cui all'articolo 4 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, nella riunione del 9 dicembre 2024;
Sulla proposta dell'Agenzia per la cybersicurezza nazionale;
Adotta
il seguente regolamento:
Definizioni
1. Ai fini del presente regolamento si intende per:
a) «decreto NIS»: il decreto legislativo del 4 settembre 2024, n. 138;
b) «Agenzia»: l'Agenzia per la cybersicurezza nazionale di cui all'articolo 5, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
c) «Autorità nazionale competente NIS»: l'Autorità nazionale competente di cui all'articolo 10, comma 1, del decreto NIS;
d) «Autorità di settore NIS»: le amministrazioni di cui all'articolo 11, commi 1 e 2, del decreto NIS;
e) «soggetto»: un soggetto pubblico o privato che richiede l'applicazione della clausola di salvaguardia ai sensi dell'articolo 3, comma 4, del decreto NIS;
f) «impresa collegata»: un soggetto che soddisfa i criteri di cui all'articolo 3, paragrafi 2 e 3, della raccomandazione 2003/361/CE, o che fa parte di un gruppo di imprese;
g) «gruppo di imprese»: ai sensi dell'articolo 2, comma 1, lettera h), del codice della crisi d'impresa e dell'insolvenza, di cui al decreto legislativo 12 gennaio 2019, n. 14, l'insieme delle società, delle imprese e degli enti, esclusi lo Stato e gli enti territoriali, che, ai sensi degli articoli 2497 e 2545-septies del codice civile, esercitano o sono sottoposti alla direzione e coordinamento di una società, di un ente o di una persona fisica; a tal fine si presume, salvo prova contraria, che l'attività di direzione e coordinamento delle società del gruppo sia esercitata dalla società o ente tenuto al consolidamento dei loro bilanci oppure dalla società o ente che le controlla, direttamente o indirettamente, anche nei casi di controllo congiunto;
h) «clausola di salvaguardia»: la clausola di cui all'articolo 3, commi 4 e 12, del decreto NIS;
i) «attività e servizi NIS»: le attività e i servizi che rientrano nell'ambito di applicazione del decreto NIS per i quali il soggetto richiede l'applicazione della clausola di salvaguardia;
l) «sistemi informativi e di rete NIS»: i sistemi informativi e di rete che abilitano attività e servizi NIS.
Oggetto
1. Il presente regolamento, adottato ai sensi dell'articolo 40, comma 1, lettera a), del decreto NIS, definisce i criteri per l'applicazione della clausola di salvaguardia che, ai sensi dell'articolo 3, comma 4, del decreto NIS, consente di derogare all'applicazione dell'articolo 6, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE, e definisce il relativo procedimento per la sua applicazione.
Criteri per l'applicazione della clausola di salvaguardia
1. La richiesta di applicazione della clausola di salvaguardia può essere accolta qualora il soggetto dichiari congiuntamente:
a) la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate, nel senso che i sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo;
b) la totale indipendenza delle proprie attività e servizi NIS da quelli delle imprese collegate, nel senso che le attività e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attività e all'erogazione dei servizi NIS del soggetto medesimo.
2. La clausola di salvaguardia non può essere richiesta dal soggetto a cui si applica la disciplina del decreto NIS ai sensi dell'articolo 3, comma 10, del medesimo decreto.
Modalità di richiesta di applicazione della clausola di salvaguardia
1. Il soggetto che ritiene sussistenti i presupposti di cui all'articolo 3 per richiedere l'applicazione della clausola di salvaguardia procede alla relativa richiesta nell'ambito della registrazione nella piattaforma digitale di cui all'articolo 7, comma 1, del decreto NIS, secondo le modalità e i termini individuati con la determinazione di cui al comma 6 del citato articolo 7.
2. Al soggetto è fornito riscontro con la comunicazione dell'Autorità nazionale competente NIS effettuata attraverso la piattaforma di cui l'articolo 7 del decreto NIS.
3. Alle dichiarazioni rese ai sensi del presente regolamento si applica l'articolo 76 del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445.
Clausola di invarianza finanziaria
1. Dall'attuazione del presente regolamento non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.
2. Alle attività previste dal presente regolamento si provvede con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.
Pubblicità
1. Il presente regolamento è pubblicato nella Gazzetta Ufficiale della Repubblica italiana e sui siti internet istituzionali dell'Agenzia e delle Autorità di settore NIS.
Entrata in vigore
1. Il presente regolamento entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Il presente decreto munito del sigillo dello Stato sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Roma, 9 dicembre 2024
p. Il Presidente del Consiglio dei ministri
Il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri
MANTOVANO
Visto, il Guardasigilli: NORDIO
Registrato alla Corte dei conti il 28 gennaio 2025
Ufficio di controllo sugli atti della Presidenza del Consiglio dei ministri, del Ministero della giustizia e del Ministero degli affari esteri e della cooperazione internazionale, n. 267