Nel contesto della cyber security e della protezione delle infrastrutture critiche, la Direttiva NIS 2 rappresenta un caposaldo, avendo introdotto nuovi e rigorosi standard per la sicurezza delle reti e dei sistemi informativi.
Il D.lgs. 138/2024 che l’ha recepita ha definito in modo chiaro le tempistiche e gli obblighi per le organizzazioni che rientrano nel perimetro normativo. Ma cosa accade quando un’azienda, pur essendo potenzialmente inclusa in tale perimetro, ritiene di non esserne soggetta?
L’autovalutazione e la conseguente decisione di escludersi dall’applicazione della normativa devono essere affrontate con la stessa attenzione e serietà riservata alle decisioni di inclusione. In questo quadro, l’accountability si estende anche alla formalizzazione delle decisioni “in negativo”, le quali potrebbero rivelarsi strategiche in occasione di eventuali ispezioni future.
Indice degli argomenti
Autovalutazione e autocertificazione: un’accountability necessaria
Sebbene non esplicitamente richiesto dalla normativa, un’azienda che decide di autovalutarsi come non soggetta alla NIS 2 dovrebbe comunque documentare formalmente tale scelta.
Questo può essere realizzato mediante un atto ufficiale del Consiglio di Amministrazione il quale costituisce una prova tangibile della consapevolezza della dirigenza riguardo ai rischi e alle opportunità derivanti dall’applicazione, o dalla mancata applicazione, della direttiva.
Un simile documento non solo dimostra che l’organizzazione ha condotto una riflessione approfondita sulla propria posizione rispetto al decreto, ma rappresenta anche un esempio di trasparenza e accountability, utile in eventuali fasi di controlli o ispezioni.
Esempio di atto del Consiglio di Amministrazione
Come è noto, gli organi di amministrazione e direttivi delle aziende soggette al D.Lgs. 138/2024, sono tenuti, ai sensi dell’articolo 23, a formalizzare mediante un atto l’approvazione del piano di implementazione delle misure previste.
Tuttavia, le aziende che, a seguito di analisi interne, riconoscono di non rientrare nel perimetro di applicazione della NIS 2, possono – o meglio: dovrebbero – redigere un atto del Consiglio di Amministrazione (CdA) che illustri le motivazioni di questa scelta. Tale atto dovrebbe contenere:
- un riepilogo delle analisi effettuate: una descrizione dettagliata delle valutazioni condotte, che includa gli aspetti – quali la natura delle attività svolte, le dimensioni aziendali e il volume di fatturato – che hanno portato alla conclusione che l’azienda non rientri tra quelle soggette alla normativa;
- una motivazione della decisione: le ragioni specifiche per cui l’organizzazione ritiene di non essere soggetta agli obblighi della NIS 2, con particolare riferimento ai parametri chiave definiti dalla normativa, come il numero di dipendenti, il settore di appartenenza e il fatturato;
- un piano di rivalutazione periodica: nonostante l’esclusione attuale, è fondamentale prevedere una verifica periodica dei parametri aziendali, quali il numero di dipendenti o il volume di fatturato. Questo garantirà che, in caso di cambiamenti significativi (come fusioni, acquisizioni o crescita organica, estensione del perimetro del business,), l’organizzazione possa rivalutare la propria posizione rispetto all’applicazione della NIS 2.
L’obiettivo di tale atto è garantire un approccio trasparente e responsabile, dimostrando che l’azienda è consapevole della propria posizione rispetto alla normativa e pronta ad adeguarsi qualora le circostanze lo richiedano.
Di seguito si propone un modello di verbale.
VERBALE DEL CONSIGLIO DI AMMINISTRAZIONE
Società [Ragione sociale]
Verbale n. [XX] del [Data]
Oggetto: Delibera sull’esclusione dal perimetro applicativo della Direttiva NIS 2 come recepita dal D.Lgs. 138/2024.
In data [data], presso la sede legale di [indirizzo], si è riunito il Consiglio di Amministrazione di [Nome Azienda], sotto la presidenza di [Nome Presidente] e con la presenza dei seguenti consiglieri:
- [Nome e Cognome Consigliere 1]
- [Nome e Cognome Consigliere 2]
- [Nome e Cognome Consigliere 3]
- [Nome e Cognome Segretario del CdA]
Il Presidente, constatata la regolarità della convocazione e la presenza del numero legale, dichiara aperta la seduta alle ore [XX].
Ordine del giorno
Valutazione e deliberazione sull’applicabilità Decreto Legislativo n. 138/2024 a [Ragione sociale], con particolare riferimento all’esclusione dal perimetro normativo e alla definizione di un piano di rivalutazione periodica dei parametri aziendali.
Riepilogo delle analisi effettuate
Il Consiglio, sulla base delle valutazioni interne condotte dal dipartimento legale e dal team di compliance aziendale, ha esaminato la posizione di [Nome Azienda] rispetto ai requisiti previsti dalla Direttiva NIS 2. Le analisi, che hanno preso in esame i seguenti parametri:
- natura delle attività svolte: l’azienda opera nel settore [settore di appartenenza], fornendo [descrizione delle attività principali], che non rientrano tra le infrastrutture critiche o i servizi essenziali così come definiti dalla Direttiva NIS 2.
- dimensioni aziendali: con un organico di [numero dipendenti] dipendenti, la società si posiziona al di sotto della soglia minima prevista per l’applicabilità della normativa.
- fatturato: il volume d’affari dell’azienda, pari a [XX milioni di euro] nell’ultimo esercizio, è anch’esso inferiore al limite dei 10 milioni di euro stabilito dalla normativa per le piccole e medie imprese.
Tali parametri sono stati valutati in conformità ai criteri di inclusione/esclusione definiti dagli artt. 3 e 6 del D.Lgs. 138/2024, che disciplina l’applicabilità della NIS 2 alle organizzazioni che rivestono il ruolo di soggetti essenziali e soggetti importanti.
Motivazione della decisione
A fronte delle analisi condotte, il Consiglio rileva che [Nome Azienda] non rientra nel perimetro della Direttiva NIS 2 per i seguenti motivi:
- esclusione per settore: le attività svolte non rientrano nelle categorie considerate critiche o essenziali, come chiaramente definito dal D.Lgs. 138/2024 e dalle linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN);
- parametri dimensionali: il numero di dipendenti e il fatturato annuale sono inferiori ai requisiti minimi per l’applicazione della normativa, escludendo di fatto l’azienda dall’obbligo di registrazione e conformità alle misure imposte dal decreto;
- rischio residuo: l’analisi del rischio condotta dal dipartimento di sicurezza IT ha dimostrato che l’attuale esposizione dell’azienda a rischi cyber è considerata gestibile con i protocolli di sicurezza già in essere, senza la necessità di adeguamenti strutturali imposti dalla normativa.
In virtù di tali considerazioni, il Consiglio delibera di non procedere all’applicazione delle misure previste dalla NIS 2 e di non effettuare la registrazione presso l’Agenzia per la Cybersicurezza Nazionale.
Piano di rivalutazione periodica
Pur non rientrando al momento nel perimetro della Direttiva NIS 2, il Consiglio concorda sulla necessità di istituire un piano di rivalutazione periodica dei parametri aziendali.
Tale piano prevederà:
- monitoraggio trimestrale del numero di dipendenti e del fatturato aziendale (stima con proiezione a fine anno), con l’obiettivo di verificare eventuali superamenti delle soglie previste dalla normativa;
- rivalutazione annuale del rischio: il dipartimento di sicurezza IT, in collaborazione con l’ufficio legale, condurrà una revisione completa della posizione aziendale rispetto ai requisiti della NIS 2, considerando eventuali cambiamenti nel panorama normativo o nel profilo di rischio dell’azienda.
- piano di azione in caso di cambiamenti: nel caso in cui i parametri aziendali superino le soglie previste dalla NIS 2 (ad esempio, a seguito di acquisizioni, fusioni o crescita organica), il Consiglio provvederà tempestivamente a rivedere la propria decisione e a predisporre le misure necessarie per l’adeguamento normativo, inclusa la registrazione presso l’ACN.
Impegno per un Audit a fronte della ISO/IEC 27001:2022
Il Consiglio è consapevole che, indipendentemente dalle disposizioni normative vigenti, il presidio della cybersicurezza rappresenta un aspetto essenziale. Pertanto, delibera di assegnare al Responsabile ICT un budget di € XXX per l’esecuzione di una Gap Analysis, che sarà affidata a un esperto esterno in conformità alla norma ISO/IEC 27001:2022, entro il mese di XX. Sulla base dei risultati di tale audit, e con il supporto delle funzioni interne – in particolare del Responsabile ICT – si procederà alla valutazione di un piano di intervento. Il Consiglio di Amministrazione destinerà le risorse necessarie per affrontare le criticità più significative emerse.
Impegno verso i fornitori e partner critici
Infine, il Consiglio sottolinea l’importanza di mantenere elevati standard di sicurezza informatica anche nei confronti dei fornitori che operano in settori critici o rientrano nel perimetro della NIS 2. A tal fine, sarà cura dell’azienda verificare regolarmente la conformità dei propri fornitori alle normative vigenti, predisponendo, se necessario, appositi accordi di compliance.
Conclusioni e delibera
Il Consiglio, preso atto delle valutazioni e analisi svolte, delibera all’unanimità quanto segue:
- [Ragione sociale] non rientra nel perimetro della Direttiva NIS 2 e del D.Lgs. 138/2024, sulla base delle motivazioni sopra esposte.
- Viene approvato il piano di rivalutazione periodica dei parametri aziendali come indicato, con verifiche trimestrali.
- Viene dato mandato al dipartimento di sicurezza IT di predisporre una relazione annuale da sottoporre al Consiglio in merito ai rischi di cybersecurity e alla conformità normativa. La prima relazione dovrà includere i risultati della Gap Analysis deliberata.
- Il Consiglio resta impegnato a mantenere elevati standard di sicurezza e a monitorare le interazioni con fornitori e partner che operano nei settori regolamentati dalla NIS 2.
Non essendoci ulteriori argomenti all’ordine del giorno, la seduta viene chiusa alle ore [XX].
Letto, approvato e sottoscritto.
[Nome Presidente del CdA]
[Nome Segretario del CdA]
Il caso delle aziende “borderline”
Esistono aziende che si trovano in una posizione borderline rispetto ai requisiti della Direttiva NIS 2. Un esempio comune è costituito da imprese con più di 50 dipendenti e un fatturato superiore ai 10 milioni di euro, come quelle che operano nel settore della distribuzione alimentare.
Tuttavia, la normativa utilizza il termine “distribuzione all’ingrosso” in maniera ambigua, senza chiarire se si riferisca esclusivamente alla commercializzazione o anche ad altre attività correlate.
L’ambiguità, in questo caso, nasce dal fatto che il D.Lgs. 138/2024, nell’Allegato II, include tra i settori critici, alla voce “4. Produzione, trasformazione e distribuzione di alimenti”, anche le “Imprese alimentari, come definite all’articolo 3, punto 2), del regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio, che si occupano della distribuzione all’ingrosso e della produzione industriale e trasformazione”.
Tuttavia, l’articolo 3, punto 2), del regolamento (CE) n. 178/2002 definisce “impresa alimentare”, “ogni soggetto pubblico o privato, con o senza fini di lucro, che svolge una qualsiasi delle attività connesse a una delle fasi di produzione, trasformazione e distribuzione degli alimenti”.
Le due definizioni, come appare evidente, non sono perfettamente sovrapponibili, generando così possibili ambiguità.
In questi casi, è consigliabile che l’organo di governo rediga un atto formale, nel quale espliciti in modo dettagliato le motivazioni per cui l’azienda ritiene di non essere soggetta agli obblighi previsti dal decreto.
L’importanza di monitorare costantemente la conformità
La verifica della conformità alla NIS 2 non può essere considerata un’attività da eseguire una sola volta. Le organizzazioni che operano in settori a rischio devono adottare un approccio proattivo e dinamico, monitorando costantemente i parametri aziendali che potrebbero influenzare l’applicabilità della normativa.
Il superamento delle soglie di fatturato o del numero di dipendenti richiede una revisione immediata della conformità e l’adeguamento delle politiche di cybersecurity. Analogamente, l’estensione delle attività impone un’analisi puntuale della conformità.
Un esempio è quello di un’organizzazione con un fatturato superiore a 10 milioni di euro, che attualmente produce integratori alimentari. A seguito di un ampliamento del proprio business, e dopo aver ottenuto tutte le autorizzazioni necessarie, avvia la produzione di alimenti, sfruttando le similitudini tra i due processi produttivi.
Di conseguenza, la verifica del vincolo di applicazione della NIS 2 non è un processo “one shot”, ma deve essere ripetuta con regolarità nelle aziende.
Infine, non bisogna trascurare le aziende che, pur non rientrando direttamente nel perimetro della NIS 2, sono fornitori di organizzazioni soggette alla normativa. Queste imprese dovrebbero considerare l’opportunità di applicare, in tutto o in parte, le disposizioni del decreto, sia su indicazione dei propri clienti, sia come strategia per qualificarsi meglio sul mercato.
Questa situazione, pur differente rispetto ai casi precedenti, merita un’attenta valutazione da parte di tali aziende.
Conclusioni
Con questo articolo abbiamo voluto sottolineare che l’accountability non si limita alle aziende obbligate a conformarsi alla NIS 2, ma si applica anche a quelle che, a ragion veduta, decidono di escludersi dal suo perimetro o più in generale riconoscono che alla data del 17 ottobre 2024 non rientranti nel perimetro.
Documentare tali scelte tramite atti formali del Consiglio di Amministrazione non solo offre protezione legale contro possibili sanzioni, ma rappresenta anche una dimostrazione di gestione consapevole e responsabile.
In un contesto in cui la sicurezza delle informazioni è fondamentale, anche le decisioni “in negativo” devono essere affrontate con la massima trasparenza e attenzione.
Non si tratta solo di adempiere alla normativa, ma di coltivare una cultura della responsabilità che superi i semplici obblighi giuridici.
