trova applicazione in molteplici segmenti del mercato « LMF Lamiafinanza

Entro il 28 febbraio 2025, a pena di sanzioni pecuniarie non trascurabili, le imprese e le pubbliche amministrazioni di cui all’art. 3 del Decreto Legislativo 138/2024, di recepimento della Direttiva UE 2022/2555 (c.d. “NIS2”), in materia di sicurezza informatica, sono tenute a registrarsi sul portale telematico dell’Agenzia di Cybersicurezza Nazionale (ACN), completando l’apposito questionario di autovalutazione e comunicando il proprio “punto di contatto”.

Da alcuni giorni, l’ACN sta già inviando comunicazioni di sollecito ad adempiere a coloro che non abbiano ancora provveduto spontaneamente, anche se la ricezione di quest’ultime comunicazioni non è condizione necessaria o sufficiente al fine di valutare l’assoggettamento o meno all’obbligo, restando a ciascun operatore l’onere di effettuare la dovuta autovalutazione, sulla base delle indicazioni di legge, da interpretarsi alla luce della Determinazione 38565/2024 del Direttore dell’ACN stessa, delle FAQ dell’Agenzia, delle definizioni contenute nel Titolo V del Codice Civile e nella Raccomandazione 2003/361/CE, nonché del recentissimo Decreto del Presidente del Consiglio dei Ministri 221/2024.

Al di là del nome evocativo di “Network and Information Security Directive”, la NIS2 non è in realtà una normativa settoriale e mirata alle sole imprese operanti, ad esempio, nell’ambito dell’information technology e/o della cyber security, ma trova applicazione trasversale, oltre che alle già citate pubbliche amministrazioni (inclusi amministrazioni centrali, regionali e locali ed altri soggetti pubblici), pure ad imprese in molteplici segmenti del tessuto economico nazionale (vedasi l’elenco in calce*).

La disciplina dovrebbe teoricamente trovare applicazione solo al raggiungimento delle seguenti soglie dimensionali:

– 50 o più persone occupate; e/o
– un fatturato annuo superiore ai 50 milioni di euro; e/o
– un totale di bilancio annuo superiore ai 43 milioni di euro.

Tuttavia:

• da un lato, nella valutazione dei criteri dimensionali, vanno tenuti presenti anche i legami di gruppo e con altre imprese associate e collegate:
  1. conteggiando i dati delle imprese associate (ossia con una partecipazione superiore al 25%), immediatamente a monte o a valle di quella oggetto di autovalutazione, in proporzione al valore più alto tra la partecipazione al relativo capitale ed alla percentuale di diritti di voto detenuti;
  2. tenendo altresì conto, in caso di partecipazioni incrociate, della percentuale di partecipazione reciproca più elevata;
  3. nonché, includendo, al 100%, i dati delle imprese direttamente o indirettamente collegate (ossia controllanti e controllate, con una partecipazione superiore al 50% o comunque esercenti/soggette ad un’”influenza dominante” nei rapporti in esame), a meno che già ripresi nei conti dell’impresa oggetto di analisi, tramite consolidamento di bilancio; e
• dall’altro, sono presenti numerose eccezioni, attratte sempre e comunque nell’ambito d’applicazione della normativa, a prescindere dalle relative dimensioni (vedasi l’ulteriore elenco in calce**).

Vista la complessa normativa stratificata, purtroppo, difficilmente i soggetti tenuti all’autovalutazione godono delle necessarie competenze interne per poterla effettuare in autonomia, senza il rischio di incorrere in errate qualificazioni, che potrebbero comportare profili sanzionatori, oppure l’assoggettamento ad ulteriori oneri ed adempimenti, magari non dovuti o richiesti a differenti scadenze temporali, per la corretta categoria d’appartenenza.

Risulta pertanto fondamentale avvalersi delle idonee competenze legali per completare il processo in modo rapido e “senza intoppi”, competenze che, nel caso l’impresa o la pubblica amministrazione interessata non dovesse avere al suo interno, possiamo mettere a disposizione con il pool di professionisti di cui si avvale nostra società e l’esperienza maturata da quest’ultima in diversi processi di autovalutazione ed in vari settori interessati dal Decreto e dalla Direttiva, ai fini della registrazione sul portale telematico dell’ACN.

I pacchetti di assistenza “FULL SERVICE” di inVetta Group

inVetta Group è una rete integrata di servizi per professionisti e imprese: costituisce per i suoi Clienti un partner di consulenza completamente integrato, le cui competenze spaziano dal ramo legale e della proprietà intellettuale al campo affari e IT, fornendo così la soluzione unica di cui gli operatori economici sono alla ricerca per soddisfare le loro esigenze.

inVetta Group ha eleborato dei pacchetti di assistenza “FULL SERVICE”, all’importo fisso di 750,00 € + IVA di legge per ciascuna impresa/pubblica amministrazione coinvolta, che includono:

– consulenza legale nella valutazione se si rientri o meno tra i soggetti tenuti alla registrazione entro la prossima scadenza del 28.02.2025; e, in caso affermativo,

– affiancamento, in tempo reale, nel processo telematico di autovalutazione, registrazione, nonché individuazione e comunicazione del “punto di contatto”, sull’apposita piattaforma dell’ACN;

– assistenza nella mappatura dell’appartenenza a gruppi e della presenza o meno di associate o collegate, con valutazione della relativa eventuale attrazione nel perimetro del Decreto, ai sensi del relativo art. 3, co. 10 (di cui deve essere altresì dato atto nel summenzionato processo telematico di autovalutazione, al fine di permettere all’ACN di svolgere gli opportuni “controlli incrociati”); così come

– inquadramento della corretta categoria di inserimento del soggetto analizzato, tra quelle previste dal Decreto, con conseguente individuazione degli adempimenti previsti da normativa e delle relative scadenze applicabili, ai fini del raggiungimento della compliance alla disciplina NIS2.

Dove, nel caso non interessasse anche l’inquadramento nella corretta categoria di inserimento del soggetto analizzato, con le conseguenti prestazioni professionali, a nostro carico, di cui all’ultimo punto nell’elenco sopra, detto importo fisso potrà essere ridotto a 600,00 € + IVA di legge, optando per i pacchetti “SMART”.

Resta ad ogni modo espressamente inteso che tali pacchetti “FULL SERVICE” e “SMART” non includono:

– anche per eventuali gruppi, associate o collegate, che fossero individuati nel processo di mappatura e risultati essere tenuti a tali ulteriori adempimenti, i successivi step di affiancamento, in tempo reale, nel processo telematico di autovalutazione, registrazione, nonché individuazione e comunicazione del “punto di contatto”, sull’apposita piattaforma dell’ACN, così come di inquadramento della corretta categoria di inserimento di tali soggetti, tra quelle previste dal Decreto, con conseguente individuazione degli adempimenti previsti da normativa e delle relative scadenze applicabili, che saranno considerati un progetto a parte, a cui applicarsi nuovamente i prezzi sopra indicati, per ciascuna impresa aggiuntiva, che risulti tenuta agli adempimenti stessi, tra collegate, associate ed appartenenti ai gruppi in questione; e

– l’analisi in concreto degli adempimenti specifici che il soggetto analizzato dovrà porre in essere, una volta registratosi al portale ACN, al fine di raggiungere la compliance alla disciplina NIS2, così come l’affiancamento nella relativa implementazione, che potranno essere oggetto di separati preventivi, per un audit iniziale, con l’individuazione, in un report, degli interventi mirati necessari, nonché per la successiva attività di predisposizione di un modello di compliance in materia e di eventuale affiancamento nell’implementazione dello stesso.

Se interessati alla proposta, scrivete all’indirizzo mail legal@invetta.com, indicando:

– gli estremi identificativi del soggetto da sottoporre all’analisi;
– quelli di fatturazione (inclusi regime IVA rilevante e codice SDI, ove applicabile);
– se abbiate già ricevuto o meno una comunicazione di sollecito all’iscrizione, dall’ACN (allegandola); e
– di quale dei due pacchetti proposti intendiate avvalerVi: “FULL SERVICE” (750,00 € + IVA) o “SMART” (600,00 € + IVA);

e riceverete i dettagli per finalizzare il conferimento dell’incarico e l’indicazione della documentazione da predisporre e dei tool di identificazione digitale di cui dotarsi al fine di poter completare il processo, così come per procedere alla comunicazione del “punto di contatto” individuato.

SETTORI INTERESSATI

– energia elettrica, teleriscaldamento e teleraffrescamento, petrolio, gas ed idrogeno;
– trasporto aereo, ferroviario, per vie d’acqua e su strada;
– aerospaziale/space economy (operatori di infrastrutture terrestri che sostengono la fornitura di servizi spaziali);
– banche, altri enti creditizi ed infrastrutture dei mercati finanziari;
– healthcare (sia strutture sanitarie e centri di assistenza sanitaria, che laboratori, soggetti che svolgono ricerca e sviluppo di medicinali, imprese farmaceutiche e produttrici di preparati farmaceutici, nonché fabbricanti di dispositivi medici e medico-diagnostici in vitro);
– fornitori e distributori di acqua potabile ed imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali;
– gestione dei rifiuti;
– prestatori di servizi fiduciari qualificati e non qualificati;
– fornitori di reti pubbliche di comunicazione elettronica, di servizi di comunicazione elettronica accessibili al pubblico e punti di interscambio Internet (IXP);
– fornitori di servizi postali e di corriere;
– fabbricazione, produzione e distribuzione di sostanze chimiche;
– produzione, trasformazione e distribuzione di alimenti;
– fabbricazione di computer e prodotti di elettronica;
– fabbricazione di prodotti dell’ottica;
– fabbricazione di apparecchiature elettriche;
– fabbricazione di macchinari e apparecchiature n.c.a.;
– fabbricazione di autoveicoli, rimorchi e semirimorchi, nonché di altri mezzi di trasporto; ed
– organizzazioni di ricerca.

CASI ECCEZIONALI:

I soggetti rientranti nelle seguenti ipotesi risultano sempre e comunque attratti nel perimetro della normativa, a prescindere dal rispetto dei criteri dimensionali rilevanti:

1. fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico e prestatori di servizi di fiducia;
2. unici fornitori, in uno Stato membro dell’UE, di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali nello stesso;
3. qualora una perturbazione del servizio fornito possa comunque avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
4. qualora una perturbazione del servizio fornito possa, in aggiunta o in alternativa, comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero, a livello di Unione Europea;
5. qualora si assuma un ruolo critico, in ragione della propria particolare importanza, a livello nazionale o regionale, per quel particolare settore o tipo di servizio in cui si opera o per altri settori da essi dipendenti od indipendenti, nello Stato membro dell’Unione in cui si è stabiliti;
6. enti della pubblica amministrazione dell’amministrazione centrale o regionale, che, a seguito di una valutazione basata sul rischio, forniscano servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche nello Stato o nella regione di stabilimento;
7. fornitori di servizi di trasporto pubblico locale;
8. qualora venga svolta attività istituzionale di istruzione o di ricerca;
9. qualora venga svolta attività di interesse culturale rilevante;
10. società in house, società partecipate o società a controllo pubblico, come definite nel Decreto Legislativo 175/2016; o, infine,
11. qualora sussista un rapporto di associazione, collegamento od appartenenza ad uno stesso gruppo di imprese con un soggetto che sia di per sé sottoposto alla presente disciplina, sui sistemi e decisioni di sicurezza del quale si possa esercitare una qualche forma di controllo o di influenza dominante, soddisfacendo almeno uno dei seguenti criteri:
    – si abbia un’influenza dominante sulle relative decisioni di gestione del rischio per la sicurezza informatica;
    – si detengano o gestiscano sistemi informativi e di rete da cui dipenda la fornitura dei servizi dell’altro soggetto;
    – si effettuino le operazioni di sicurezza informatica di quest’ultimo, e/o
    – si forniscano servizi TIC o di sicurezza, anche gestiti, al medesimo.