Gazzetta n. 33 del 10 febbraio 2025 - PRESIDENZA DEL CONSIGLIO DEI MINISTRI

Gazzetta n. 33 del 10 febbraio 2025 (vai al sommario)

PRESIDENZA DEL CONSIGLIO DEI MINISTRI

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 9 dicembre 2024, n. 221

Regolamento per la definizione dei criteri per l'applicazione della clausola di salvaguardia di cui all'articolo 3, commi 4 e 12, del decreto legislativo del 4 settembre 2024, n. 138, di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.

IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei ministri»;
Visto il decreto legislativo 4 settembre 2024, n. 138 (decreto NIS), recante «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148» e, in particolare, gli articoli 3, comma 4, che consente di derogare all'applicazione dell'articolo 6, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE, qualora questa non risulti proporzionata, e 40, comma 1, lettera a), che demanda a un decreto del Presidente del Consiglio dei ministri, da adottarsi anche in deroga all'articolo 17 della legge n. 400 del 1988, la definizione dei criteri per l'applicazione della deroga di cui al citato articolo 3, comma 4;
Visto il regolamento (CEE) n. 2137/85 del Consiglio, del 25 luglio 1985, relativo all'istituzione di un gruppo europeo di interesse economico (GEIE);
Visto il decreto legislativo 23 luglio 1991, n. 240, recante «Norme per l'applicazione del regolamento n. 85/2137/CEE relativo all'istituzione di un Gruppo europeo di interesse economico - GEIE, ai sensi dell'art. 17 della legge 29 dicembre 1990, n. 428»;
Visto il decreto legislativo 12 gennaio 2019, n. 14, recante «Codice della crisi d'impresa e dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155» e, in particolare, l'articolo 2, comma 1, lettera h);
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Vista la raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese;
Visto il decreto del Presidente del Consiglio dei ministri 23 ottobre 2022, con il quale al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, dottor Alfredo Mantovano, e' stata delegata la firma dei decreti, degli atti e dei provvedimenti di competenza del Presidente del Consiglio dei ministri, a esclusione di quelli che richiedono una preventiva deliberazione del Consiglio dei ministri e di quelli relativi alle attribuzioni di cui all'articolo 5 della legge 23 agosto 1988, n. 400;
Visto il decreto del Presidente del Consiglio dei ministri 12 novembre 2022, recante delega di funzioni in materia di cybersicurezza, con il quale l'Autorita' delegata per la sicurezza della Repubblica e' delegata a svolgere le funzioni del Presidente del Consiglio dei ministri in materia di cybersicurezza, fatte salve quelle attribuite in via esclusiva al Presidente del Consiglio dei ministri;
Ritenuto di non richiedere il parere del Consiglio di Stato, anche tenuto conto dell'esigenza di assicurare il pronto avvio dell'attivita' di registrazione dei soggetti di cui al decreto NIS ai sensi del combinato disposto degli articoli 7, comma 1, e 42, comma 3, del decreto legislativo 4 settembre 2024, n. 138;
Sentito il Tavolo per l'attuazione della disciplina NIS di cui all'articolo 12 del decreto legislativo 4 settembre 2024, n. 138, nella riunione del 25 novembre 2024;
Acquisito il parere del Comitato interministeriale per la cybersicurezza di cui all'articolo 4 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, nella riunione del 9 dicembre 2024;
Sulla proposta dell'Agenzia per la cybersicurezza nazionale;

Adotta
il seguente regolamento:

Art. 1

Definizioni

1. Ai fini del presente regolamento si intende per:
a) «decreto NIS»: il decreto legislativo del 4 settembre 2024, n. 138;
b) «Agenzia»: l'Agenzia per la cybersicurezza nazionale di cui all'articolo 5, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
c) «Autorita' nazionale competente NIS»: l'Autorita' nazionale competente di cui all'articolo 10, comma 1, del decreto NIS;
d) «Autorita' di settore NIS»: le amministrazioni di cui all'articolo 11, commi 1 e 2, del decreto NIS;
e) «soggetto»: un soggetto pubblico o privato che richiede l'applicazione della clausola di salvaguardia ai sensi dell'articolo 3, comma 4, del decreto NIS;
f) «impresa collegata»: un soggetto che soddisfa i criteri di cui all'articolo 3, paragrafi 2 e 3, della raccomandazione 2003/361/CE, o che fa parte di un gruppo di imprese;
g) «gruppo di imprese»: ai sensi dell'articolo 2, comma 1, lettera h), del codice della crisi d'impresa e dell'insolvenza, di cui al decreto legislativo 12 gennaio 2019, n. 14, l'insieme delle societa', delle imprese e degli enti, esclusi lo Stato e gli enti territoriali, che, ai sensi degli articoli 2497 e 2545-septies del codice civile, esercitano o sono sottoposti alla direzione e coordinamento di una societa', di un ente o di una persona fisica; a tal fine si presume, salvo prova contraria, che l'attivita' di direzione e coordinamento delle societa' del gruppo sia esercitata dalla societa' o ente tenuto al consolidamento dei loro bilanci oppure dalla societa' o ente che le controlla, direttamente o indirettamente, anche nei casi di controllo congiunto;
h) «clausola di salvaguardia»: la clausola di cui all'articolo 3, commi 4 e 12, del decreto NIS;
i) «attivita' e servizi NIS»: le attivita' e i servizi che rientrano nell'ambito di applicazione del decreto NIS per i quali il soggetto richiede l'applicazione della clausola di salvaguardia;
l) «sistemi informativi e di rete NIS»: i sistemi informativi e di rete che abilitano attivita' e servizi NIS.

N O T E

Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge,
alle quali e' operato il rinvio. Restano invariati il
valore e l'efficacia degli atti legislativi qui trascritti.
Per gli atti dell'Unione europea vengono forniti gli
estremi di pubblicazione nella Gazzetta Ufficiale
dell'Unione Europea (GUUE).

Note alle premesse:
- Si riporta il testo dell'articolo 17 della legge 23
agosto 1988, n. 400, recante: «Disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei
ministri», pubblicata nella Gazzetta Ufficiale n. 214 del
12 settembre 1988:
«Articolo 17 (Regolamenti). - In vigore dal 4 luglio
2009
1. Con decreto del Presidente della Repubblica,
previa deliberazione del Consiglio dei ministri, sentito il
parere del Consiglio di Stato che deve pronunziarsi entro
novanta giorni dalla richiesta, possono essere emanati
regolamenti per disciplinare:
a) l'esecuzione delle leggi e dei decreti
legislativi nonche' dei regolamenti comunitari;
b) l'attuazione e l'integrazione delle leggi e dei
decreti legislativi recanti norme di principio, esclusi
quelli relativi a materie riservate alla competenza
regionale;
c) le materie in cui manchi la disciplina da parte
di leggi o di atti aventi forza di legge, sempre che non si
tratti di materie comunque riservate alla legge;
d) l'organizzazione ed il funzionamento delle
amministrazioni pubbliche secondo le disposizioni dettate
dalla legge;
e) l'organizzazione del lavoro ed i rapporti di
lavoro dei pubblici dipendenti in base agli accordi
sindacali.
2. Con decreto del Presidente della Repubblica,
previa deliberazione del Consiglio dei ministri, sentito il
Consiglio di Stato e previo parere delle Commissioni
parlamentari competenti in materia, che si pronunciano
entro trenta giorni dalla richiesta, sono emanati i
regolamenti per la disciplina delle materie, non coperte da
riserva assoluta di legge prevista dalla Costituzione, per
le quali le leggi della Repubblica, autorizzando
l'esercizio della potesta' regolamentare del Governo,
determinano le norme generali regolatrici della materia e
dispongono l'abrogazione delle norme vigenti, con effetto
dall'entrata in vigore delle norme regolamentari.
3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del Ministro o di
autorita' sottordinate al Ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu' ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti
ministeriali ed interministeriali, che devono recare la
denominazione di "regolamento", sono adottati previo parere
del Consiglio di Stato, sottoposti al visto ed alla
registrazione della Corte dei conti e pubblicati nella
Gazzetta Ufficiale.
4-bis. L'organizzazione e la disciplina degli uffici
dei Ministeri sono determinate, con regolamenti emanati ai
sensi del comma 2, su proposta del Ministro competente
d'intesa con il Presidente del Consiglio dei ministri e con
il Ministro del tesoro, nel rispetto dei principi posti dal
decreto legislativo 3 febbraio 1993, n. 29, e successive
modificazioni, con i contenuti e con l'osservanza dei
criteri che seguono:
a) riordino degli uffici di diretta collaborazione
con i ministri ed i Sottosegretari di Stato, stabilendo che
tali uffici hanno esclusive competenze di supporto
dell'organo di direzione politica e di raccordo tra questo
e l'amministrazione;
b) individuazione degli uffici di livello
dirigenziale generale, centrali e periferici, mediante
diversificazione tra strutture con funzioni finali e con
funzioni strumentali e loro organizzazione per funzioni
omogenee e secondo criteri di flessibilita' eliminando le
duplicazioni funzionali;
c) previsione di strumenti di verifica periodica
dell'organizzazione e dei risultati;
d) indicazione e revisione periodica della
consistenza elle piante organiche;
e) previsione di decreti ministeriali di natura non
regolamentare per la definizione dei compiti delle unita'
dirigenziali nell'ambito degli uffici dirigenziali
generali.
4-ter. Con regolamenti da emanare ai sensi del comma
1 del presente articolo, si provvede al periodico riordino
delle disposizioni regolamentari vigenti, alla ricognizione
di quelle che sono state oggetto di abrogazione implicita e
all'espressa abrogazione di quelle che hanno esaurito la
loro funzione o sono prive di effettivo contenuto normativo
o sono comunque obsolete.».
- Si riportano gli articoli 3 e 40 del decreto
legislativo 4 settembre 2024, n. 138, recante: «Recepimento
della direttiva (UE) 2022/2555, relativa a misure per un
livello comune elevato di cibersicurezza nell'Unione,
recante modifica del regolamento (UE) n. 910/2014 e della
direttiva (UE) 2018/1972 e che abroga la direttiva (UE)
2016/1148», pubblicato nella Gazzetta Ufficiale n. 230 del
1° ottobre 2024:
«Articolo 3 (Ambito di applicazione). - 1.
Nell'ambito di applicazione del presente decreto rientrano
i soggetti pubblici e privati delle tipologie di cui agli
allegati I, II, III e IV, che costituiscono parte
integrante del presente decreto, che sono sottoposti alla
giurisdizione nazionale ai sensi dell'articolo 5. Gli
allegati I e II descrivono i settori ritenuti,
rispettivamente, altamente critici e critici, nonche' i
relativi sottosettori e le tipologie di soggetti. Gli
allegati III e IV descrivono, rispettivamente, le categorie
di pubbliche amministrazioni e le ulteriori tipologie di
soggetto a cui si applica il presente decreto.
2. Il presente decreto si applica ai soggetti delle
tipologie di cui all'allegato I e II, che superano i
massimali per le piccole imprese ai sensi dell'articolo 2,
paragrafo 2, dell'allegato alla raccomandazione
2003/361/CE.
3. L'articolo 3, paragrafo 4, dell'allegato alla
raccomandazione 2003/361/CE della Commissione, del 6 maggio
2003, non si applica ai fini del presente decreto.
4. Per determinare se un soggetto e' da considerarsi
una media o grande impresa ai sensi dell'articolo 2
dell'allegato della raccomandazione 2003/361/CE, si applica
l'articolo 6, paragrafo 2, del medesimo allegato, salvo che
cio' non sia proporzionato, tenuto anche conto
dell'indipendenza del soggetto dalle sue imprese collegate
in termini di sistemi informativi e di rete che utilizza
nella fornitura dei suoi servizi e in termini di servizi
che fornisce.
5. Il presente decreto si applica, indipendentemente
dalle loro dimensioni, anche:
a) ai soggetti che sono identificati come soggetti
critici ai sensi del decreto legislativo, che recepisce la
direttiva (UE) 2022/2557 del Parlamento europeo e del
Consiglio, del 14 dicembre 2022;
b) ai fornitori di reti pubbliche di comunicazione
elettronica o di servizi di comunicazione elettronica
accessibili al pubblico;
c) ai prestatori di servizi fiduciari;
d) ai gestori di registri dei nomi di dominio di
primo livello e fornitori di servizi di sistema dei nomi di
dominio;
e) ai fornitori di servizi di registrazione dei
nomi di dominio.
6. Il presente decreto si applica, altresi', anche
indipendentemente dalle loro dimensioni, alle pubbliche
amministrazioni di cui all'articolo 1, comma 3, della legge
31 dicembre 2009, n. 196, ricomprese nelle categorie
elencate nell'allegato III.
7. Sulla base di un criterio di gradualita',
dell'evoluzione del grado di esposizione al rischio della
pubblica amministrazione, della probabilita' che si
verifichino incidenti e della loro gravita', compreso il
loro impatto sociale ed economico, tenuto conto anche dei
criteri di cui al comma 9, con uno o piu' decreti del
Presidente del Consiglio dei ministri adottati secondo le
modalita' di cui all'articolo 40, comma 2, possono essere
individuate ulteriori categorie di pubbliche
amministrazioni a cui si applica il presente decreto al
fine di adeguare l'elenco di categorie di cui all'allegato
III.
8. Il presente decreto si applica, altresi',
indipendentemente dalle loro dimensioni, anche ai soggetti
delle tipologie di cui all'allegato IV, individuati secondo
le procedure di cui al comma 13.
9. Il presente decreto si applica, altresi', anche ai
soggetti dei settori o delle tipologie di cui agli allegati
I, II, III e IV, indipendentemente dalle loro dimensioni,
individuati secondo le procedure di cui al comma 13,
qualora:
a) il soggetto sia identificato prima della data di
entrata in vigore del presente decreto come operatore di
servizi essenziali ai sensi del decreto legislativo 18
maggio 2018, n. 65;
b) il soggetto sia l'unico fornitore nazionale di
un servizio che e' essenziale per il mantenimento di
attivita' sociali o economiche fondamentali;
c) una perturbazione del servizio fornito dal
soggetto potrebbe avere un impatto significativo sulla
sicurezza pubblica, l'incolumita' pubblica o la salute
pubblica;
d) una perturbazione del servizio fornito dal
soggetto potrebbe comportare un rischio sistemico
significativo, in particolare per i settori nei quali tale
perturbazione potrebbe avere un impatto transfrontaliero;
e) il soggetto sia critico in ragione della sua
particolare importanza a livello nazionale o regionale per
quel particolare settore o tipo di servizio o per altri
settori indipendenti nel territorio dello Stato;
f) il soggetto sia considerato critico ai sensi del
presente decreto quale elemento sistemico della catena di
approvvigionamento, anche digitale, di uno o piu' soggetti
considerati essenziali o importanti.
10. Il presente decreto si applica, infine,
indipendentemente dalle sue dimensioni, all'impresa
collegata ad un soggetto essenziale o importante, se
soddisfa almeno uno dei seguenti criteri:
a) adotta decisioni o esercita una influenza
dominante sulle decisioni relative alle misure di gestione
del rischio per la sicurezza informatica di un soggetto
importante o essenziale;
b) detiene o gestisce sistemi informativi e di rete
da cui dipende la fornitura dei servizi del soggetto
importante o essenziale;
c) effettua operazioni di sicurezza informatica del
soggetto importante o essenziale;
d) fornisce servizi TIC o di sicurezza, anche
gestiti, al soggetto importante o essenziale.
11. Resta ferma la disciplina in materia di
protezione dei dati personali di cui al regolamento (UE)
2016/679 del Parlamento europeo e del Consiglio, del 27
aprile 2016, e al decreto legislativo 30 giugno 2003, n.
196, nonche' in materia di lotta contro l'abuso e lo
sfruttamento sessuale dei minori e la pornografia minorile
di cui al decreto legislativo 4 marzo 2014, n. 39.
12. L'Autorita' nazionale competente NIS applica la
clausola di salvaguardia di cui al comma 4, secondo i
criteri per la determinazione individuati con le modalita'
di cui all'articolo 40, comma 1.
13. I soggetti di cui ai commi 8 e 9 sono individuati
dall'Autorita' nazionale competente NIS, su proposta delle
Autorita' di settore, secondo le modalita' di cui
all'articolo 40, comma 4. L'Autorita' nazionale competente
NIS notifica a tali soggetti la loro individuazione ai fini
della registrazione di cui all'articolo 7, comma 1.
14. Le disposizioni di cui all'articolo 17 e ai Capi
IV e V del presente decreto non si applicano ai soggetti
identificati come essenziali o importanti dei settori 3 e 4
di cui all'allegato I, ai quali si applica la disciplina di
cui al regolamento (UE) 2022/2554.
15. Il presente decreto non si applica, ai sensi
dell'articolo 2, comma 10, della direttiva, ai soggetti
esentati dall'ambito di applicazione del regolamento (UE)
2022/2554.».
«Articolo 40 (Attuazione). - 1. Con uno o piu'
decreti del Presidente del Consiglio dei ministri, adottati
anche in deroga all'articolo 17 della legge 23 agosto 1988,
n. 400, su proposta dell'Agenzia per la cybersicurezza
nazionale, sentito il Tavolo per l'attuazione della
disciplina NIS di cui all'articolo 12 e previo parere del
Comitato interministeriale per la cybersicurezza, di cui
all'articolo 4 del decreto-legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021,
n. 109:
a) sono definiti i criteri per l'applicazione della
clausola di salvaguardia di cui all'articolo 3, comma 4;
b) sono stabiliti i criteri, le procedure e le
modalita' di cui all'articolo 34, comma 10;
c) sono individuate le modalita' di applicazione,
nell'ambito del procedimento sanzionatorio, degli strumenti
deflattivi del contenzioso di cui all'articolo 38, comma
15.
2. Con uno o piu' decreti del Presidente del
Consiglio dei ministri, adottati anche in deroga
all'articolo 17 della legge 23 agosto 1988, n. 400, su
proposta dell'Agenzia per la cybersicurezza nazionale,
d'intesa con le Autorita' di settore NIS interessate,
sentito il Tavolo per l'attuazione della disciplina NIS e
previo parere del Comitato interministeriale per la
cybersicurezza:
a) possono essere stabiliti ulteriori criteri di
identificazione delle tipologie di soggetto di cui agli
allegati I e II, nonche' delle ulteriori tipologie di
soggetto di cui all'articolo 3;
b) possono essere individuate ulteriori categorie
di pubbliche amministrazioni di cui all'articolo 3, commi 6
e 7, a cui si applica il presente decreto;
c) sono stabilite le modalita' di raccordo e di
collaborazione tra l'Agenzia per la cybersicurezza
nazionale e le Autorita' di settore NIS ai fini del
presente decreto.
3. Con uno o piu' decreti del Presidente del
Consiglio dei ministri, adottati anche in deroga
all'articolo 17 della legge 23 agosto 1988, n. 400, su
proposta dell'Agenzia per la cybersicurezza nazionale,
d'intesa con le Amministrazioni interessate, sentito il
Tavolo per l'attuazione della disciplina NIS, previo parere
del Comitato interministeriale per la cybersicurezza, sono
stabilite, ove necessario, le modalita' di raccordo e
collaborazione di cui all'articolo 14.
4. Con una o piu' determinazioni dell'Agenzia per la
cybersicurezza nazionale, su proposta delle Autorita' di
settore NIS interessate, sentito il Tavolo per l'attuazione
della disciplina NIS:
a) sono individuati, ove necessario, i soggetti ai
quali si applica la clausola di salvaguardia di cui
all'articolo 3, comma 4;
b) sono individuati i soggetti ai quali si applica
il presente decreto ai sensi dell'articolo 3, commi 8 e 9.
5. Con una o piu' determinazioni dell'Agenzia per la
cybersicurezza nazionale, sentito il Tavolo per
l'attuazione della disciplina NIS:
a) ai sensi degli articoli 3 e 6, e' stabilito
l'elenco dei soggetti essenziali e dei soggetti importanti
di cui all'articolo 7, comma 2;
b) sono stabiliti i termini, le modalita' nonche' i
procedimenti di utilizzo e accesso di cui all'articolo 7,
comma 6, le eventuali ulteriori informazioni che i soggetti
devono fornire ai sensi dei commi 1 e 4 del medesimo
articolo, nonche' i termini, le modalita' e i procedimenti
di designazione dei rappresentanti di cui all'articolo 5,
comma 3;
c) possono essere definiti ulteriori disposizioni
per l'organizzazione e per il funzionamento del Tavolo per
l'attuazione della disciplina NIS di cui all'articolo 12;
d) e' adottata, d'intesa con il Ministero della
giustizia, la politica nazionale di divulgazione coordinata
delle vulnerabilita' di cui all'articolo 16, comma 4;
e) possono essere imposte condizioni per le
informazioni messe a disposizione dalle autorita'
competenti e dal CSIRT Italia nel contesto degli accordi di
condivisione delle informazioni sulla sicurezza informatica
di cui all'articolo 17, comma 3;
f) sono stabilite le modalita' con cui i soggetti
essenziali e i soggetti importanti notificano all'Autorita'
nazionale competente NIS la loro partecipazione agli
accordi di condivisione delle informazioni sulla sicurezza
informatica di cui all'articolo 17, comma 4;
g) possono essere designati gli esperti di
sicurezza informatica di cui all'articolo 21, comma 1,
nonche' individuate, se necessario, le modalita' per
l'esecuzione della revisione tra pari di cui al medesimo
articolo 21;
h) puo' essere imposto l'utilizzo di prodotti TIC,
servizi TIC e processi TIC certificati di cui all'articolo
27, definendo i relativi termini, criteri e modalita';
i) sono stabilite le categorie di rilevanza nonche'
le modalita' e i criteri per l'elencazione,
caratterizzazione e categorizzazione delle attivita' e dei
servizi, a valenza multisettoriale e, ove opportuno,
settoriale, di cui all'articolo 30;
l) sono stabiliti obblighi proporzionati e
graduali, a valenza multisettoriale e, ove opportuno,
settoriale, di cui all'articolo 31, le modalita' di
applicazione dei medesimi obblighi per i soggetti che
svolgono attivita' in piu' settori o sottosettori e per i
soggetti di cui all'articolo 32, commi 1 e 2;
m) sono stabiliti i criteri per la determinazione
dell'importo delle sanzioni ai sensi dell'articolo 38,
comma 2.
6. Sono esclusi dall'accesso e non sono soggetti a
pubblicazione:
a) i decreti di cui al comma 3;
b) le determinazioni di cui al comma 4, lettera b),
e al comma 5, lettera a);
c) atti, documenti, e informazioni relativi o
comunque collegati alle notifiche degli incidenti o la cui
divulgazione o il cui accesso possono comunque arrecare un
possibile pregiudizio alla sicurezza nazionale nello spazio
cibernetico.
7. Entro trenta giorni dalla data di entrata in
vigore del presente decreto sono adottati:
a) i decreti del Presidente del Consiglio dei
ministri di cui al comma 1, lettera a), e al comma 3;
b) le determinazioni dell'Agenzia per la
cybersicurezza nazionale di cui al comma 4, lettera b), e
al comma 5, lettere b) e c).
8. Entro sei mesi dalla data di entrata in vigore del
presente decreto, sono adottati:
a) i decreti del Presidente del Consiglio dei
ministri di cui al comma 1, lettere b) e c), e al comma 2,
lettera c);
b) le determinazioni dell'Agenzia per la
cybersicurezza nazionale di cui al comma 5, lettere d), f)
e l).
9. Entro diciotto mesi dalla data di entrata in
vigore del presente decreto, sono adottate le
determinazioni dell'Agenzia per la cybersicurezza nazionale
di cui al comma 5, lettera i).
10. I decreti del Presidente del Consiglio dei
ministri di cui al presente articolo sono aggiornati
periodicamente e, comunque, ogni tre anni.
11. Le determinazioni dell'Agenzia per la
cybersicurezza nazionale di cui al presente articolo sono
aggiornate periodicamente e, comunque, ogni due anni.».
- Il regolamento (CEE) n. 2137/85 del Consiglio, del 25
luglio 1985, relativo all'istituzione di un gruppo europeo
di interesse economico (GEIE), e' pubblicato nella G.U.C.E.
31 luglio 1985, n. L 199.
- Il decreto legislativo 23 luglio 1991, n. 240,
recante: «Norme per l'applicazione del regolamento n.
85/2137/CEE relativo all'istituzione di un Gruppo europeo
di interesse economico - GEIE, ai sensi dell'art. 17 della
legge 29 dicembre 1990, n. 428», e' pubblicato nella
Gazzetta Ufficiale n. 182 del 5 agosto 1991.
- Si riporta l'articolo 2 del decreto legislativo 12
gennaio 2019, n. 14, recante: «Codice della crisi d'impresa
e dell'insolvenza in attuazione della legge 19 ottobre
2017, n. 155», pubblicato nella Gazzetta Ufficiale n. 38
del 14 febbraio 2019:
«Articolo 2 (Definizioni). - 1. Ai fini del presente
codice si intende per:
a) «crisi»: lo stato del debitore che rende
probabile l'insolvenza e che si manifesta con
l'inadeguatezza dei flussi di cassa prospettici a far
fronte alle obbligazioni nei successivi dodici mesi;
b) «insolvenza»: lo stato del debitore che si
manifesta con inadempimenti od altri fatti esteriori, i
quali dimostrino che il debitore non e' piu' in grado di
soddisfare regolarmente le proprie obbligazioni;
c) «sovraindebitamento»: lo stato di crisi o di
insolvenza del consumatore, del professionista,
dell'imprenditore minore, dell'imprenditore agricolo, delle
start-up innovative di cui al decreto-legge 18 ottobre
2012, n. 179, convertito, con modificazioni, dalla legge 17
dicembre 2012, n. 221, e di ogni altro debitore non
assoggettabile alla liquidazione giudiziale ovvero a
liquidazione coatta amministrativa o ad altre procedure
liquidatorie previste dal codice civile o da leggi speciali
per il caso di crisi o insolvenza;
d) «impresa minore»: l'impresa che presenta
congiuntamente i seguenti requisiti: 1) un attivo
patrimoniale di ammontare complessivo annuo non superiore
ad euro trecentomila nei tre esercizi antecedenti la data
di deposito della istanza di apertura della liquidazione
giudiziale o dall'inizio dell'attivita' se di durata
inferiore; 2) ricavi, in qualunque modo essi risultino, per
un ammontare complessivo annuo non superiore ad euro
duecentomila nei tre esercizi antecedenti la data di
deposito dell'istanza di apertura della liquidazione
giudiziale o dall'inizio dell'attivita' se di durata
inferiore; 3) un ammontare di debiti anche non scaduti non
superiore ad euro cinquecentomila; i predetti valori
possono essere aggiornati ogni tre anni con decreto del
Ministro della giustizia adottato a norma dell'articolo
348;
e) «consumatore»: la persona fisica che agisce per
scopi estranei all'attivita' imprenditoriale, commerciale,
artigiana o professionale eventualmente svolta, anche se
socia di una delle societa' appartenenti ad uno dei tipi
regolati nei capi III, IV e VI del titolo V del libro
quinto del codice civile, e accede agli strumenti di
regolazione della crisi e dell'insolvenza per debiti
contratti nella qualita' di consumatore;
f) «societa' pubbliche»: le societa' a controllo
pubblico, le societa' a partecipazione pubblica e le
societa' in house di cui all'articolo 2, lettere m), n),
o), del decreto legislativo 19 agosto 2016, n. 175;
g);
h) «gruppo di imprese»: l'insieme delle societa',
delle imprese e degli enti, esclusi lo Stato e gli enti
territoriali, che, ai sensi degli articoli 2497 e
2545-septies del codice civile, esercitano o sono
sottoposti alla direzione e coordinamento di una societa',
di un ente o di una persona fisica; a tal fine si presume,
salvo prova contraria, che l'attivita' di direzione e
coordinamento delle societa' del gruppo sia esercitata
dalla societa' o ente tenuto al consolidamento dei loro
bilanci oppure dalla societa' o ente che le controlla,
direttamente o indirettamente, anche nei casi di controllo
congiunto;
i) «gruppi di imprese di rilevante dimensione»: i
gruppi di imprese composti da un'impresa madre e imprese
figlie da includere nel bilancio consolidato, che
rispettano i limiti numerici di cui all'articolo 3,
paragrafi 6 e 7, della direttiva 2013/34/UE del Parlamento
europeo e del Consiglio del 26 giugno 2013;
l) «parti correlate»: si intendono quelle indicate
come tali nel Regolamento della Consob in materia di
operazioni con parti correlate;
m) «centro degli interessi principali del debitore»
(COMI): il luogo in cui il debitore gestisce i suoi
interessi in modo abituale e riconoscibile dai terzi;
m-bis) «strumenti di regolazione della crisi e
dell'insolvenza»: le misure, gli accordi e le procedure,
diversi dalla liquidazione giudiziale e dalla liquidazione
controllata volti al risanamento dell'impresa attraverso la
modifica della composizione, dello stato o della struttura
delle sue attivita' e passivita' o del capitale, oppure
volti alla liquidazione del patrimonio o delle attivita'
che, a richiesta del debitore, possono essere preceduti
dalla composizione negoziata della crisi;
n) «elenco dei gestori della crisi e insolvenza
delle imprese»: l'elenco, istituito presso il Ministero
della giustizia e disciplinato dall'articolo 356, dei
soggetti che su incarico del giudice svolgono, anche in
forma associata o societaria, funzioni di gestione,
supervisione o controllo nell'ambito degli strumenti di
regolazione della crisi e dell'insolvenza e delle procedure
di insolvenza previsti dal presente codice;
o) «professionista indipendente»: il professionista
incaricato dal debitore nell'ambito di uno degli strumenti
di regolazione della crisi e dell'insolvenza che soddisfi
congiuntamente i seguenti requisiti: 1) essere iscritto
all'elenco dei gestori della crisi e insolvenza delle
imprese, nonche' nel registro dei revisori legali; 2)
essere in possesso dei requisiti previsti dall'articolo
2399 del codice civile; 3) non essere legato all'impresa o
ad altre parti interessate all'operazione di regolazione
della crisi da rapporti di natura personale o professionale
tali da comprometterne l'indipendenza di giudizio; il
professionista ed i soggetti con i quali e' eventualmente
unito in associazione professionale non devono aver
prestato negli ultimi cinque anni attivita' di lavoro
subordinato o autonomo in favore del debitore, ne' essere
stati membri degli organi di amministrazione o controllo
dell'impresa, ne' aver posseduto partecipazioni in essa;
o-bis) «esperto»: il soggetto terzo e indipendente,
iscritto nell'elenco di cui all'articolo 13, comma 3 e
nominato dalla commissione di cui al comma 6 del medesimo
articolo 13, che facilita le trattative nell'ambito della
composizione negoziata;
p) «misure protettive»: le misure temporanee
richieste dal debitore per evitare che determinate azioni o
condotte dei creditori possano pregiudicare, sin dalla fase
delle trattative, il buon esito delle iniziative assunte
per la regolazione della crisi o dell'insolvenza, anche
prima dell'accesso a uno degli strumenti di regolazione
della crisi e dell'insolvenza;
q) «misure cautelari»: i provvedimenti cautelari
emessi dal giudice competente a tutela del patrimonio o
dell'impresa del debitore, che appaiano secondo le
circostanze piu' idonei ad assicurare provvisoriamente il
buon esito delle trattative, gli effetti degli strumenti di
regolazione della crisi e dell'insolvenza e delle procedure
di insolvenza e l'attuazione delle relative decisioni;
r) «classe di creditori»: insieme di creditori che
hanno posizione giuridica e interessi economici omogenei;
s) «domicilio digitale»: il domicilio di cui
all'articolo 1, comma 1, lettera n-ter) del decreto
legislativo 7 marzo 2005, n. 82;
t) OCC: organismi di composizione delle crisi da
sovraindebitamento disciplinati dal decreto del Ministro
della giustizia del 24 settembre 2014, n. 202 e successive
modificazioni, che svolgono i compiti di composizione
assistita della crisi da sovraindebitamento previsti dal
presente codice;
u).».
- Il decreto-legge 14 giugno 2021, n. 82, recante:
«Disposizioni urgenti in materia di cybersicurezza,
definizione dell'architettura nazionale di cybersicurezza e
istituzione dell'Agenzia per la cybersicurezza nazionale»,
pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno
2021 e' convertito, con modificazioni, dalla legge 4 agosto
2021, n. 109, pubblicato nella Gazzetta Ufficiale n. 185
del 4 agosto 2021.
- La raccomandazione 2003/361/CE della Commissione, del
6 maggio 2003 relativa alla definizione delle microimprese,
piccole e medie imprese e' pubblicata nella GUUE del 20
maggio 2003, L 124.

Note all'art. 1:
- Per i riferimenti all'articolo 3 del decreto
legislativo 4 settembre 2024, n. 138 si vedano le note alle
premesse.
- Si riporta l'articolo 5 del citato decreto-legge 14
giugno 2021, n. 82:
«Articolo 5 (Agenzia per la cybersicurezza
nazionale). - 1. E' istituita, a tutela degli interessi
nazionali nel campo della cybersicurezza, l'Agenzia per la
cybersicurezza nazionale, denominata ai fini del presente
decreto «Agenzia», con sede in Roma.11
2. L'Agenzia ha personalita' giuridica di diritto
pubblico ed e' dotata di autonomia regolamentare,
amministrativa, patrimoniale, organizzativa, contabile e
finanziaria, nei limiti di quanto previsto dal presente
decreto. Il Presidente del Consiglio dei ministri e
l'Autorita' delegata, ove istituita, si avvalgono
dell'Agenzia per l'esercizio delle competenze di cui al
presente decreto.
3. Il direttore generale dell'Agenzia e' nominato tra
soggetti appartenenti a una delle categorie di cui
all'articolo 18, comma 2, della legge 23 agosto 1988, n.
400, in possesso di una documentata esperienza di elevato
livello nella gestione di processi di innovazione. Gli
incarichi del direttore generale e del vice direttore
generale hanno la durata massima di quattro anni e sono
rinnovabili, con successivi provvedimenti, per una durata
complessiva massima di ulteriori quattro anni. Il direttore
generale ed il vice direttore generale, ove provenienti da
pubbliche amministrazioni di cui all'articolo 1, comma 2,
del decreto legislativo 30 marzo 2001, n. 165, sono
collocati fuori ruolo o in posizione di comando o altra
analoga posizione, secondo gli ordinamenti di appartenenza.
Per quanto previsto dal presente decreto, il direttore
generale dell'Agenzia e' il diretto referente del
Presidente del Consiglio dei ministri e dell'Autorita'
delegata, ove istituita, ed e' gerarchicamente e
funzionalmente sovraordinato al personale dell'Agenzia. Il
direttore generale ha la rappresentanza legale
dell'Agenzia.
4. L'attivita' dell'Agenzia e' regolata dal presente
decreto e dalle disposizioni la cui adozione e' prevista
dallo stesso.
5. L'Agenzia puo' richiedere, anche sulla base di
apposite convenzioni e nel rispetto degli ambiti di
precipua competenza, la collaborazione di altri organi
dello Stato, di altre amministrazioni, delle Forze armate,
delle forze di polizia o di enti pubblici per lo
svolgimento dei suoi compiti istituzionali.
6. Il COPASIR, ai sensi di quanto previsto
dall'articolo 31, comma 3, della legge 3 agosto 2007, n.
124, puo' chiedere l'audizione del direttore generale
dell'Agenzia su questioni di propria competenza.».
- Si riportano gli articoli 10,11 e 12 del citato
decreto legislativo 4 settembre 2024, n. 138:
«Articolo 10 (Autorita' nazionale competente e Punto
di contatto unico). - 1. L'Agenzia per la cybersicurezza
nazionale e' l'Autorita' nazionale competente NIS di cui
all'articolo 8, paragrafo 1, della direttiva (UE) 2022/2555
e pertanto:
a) sovrintende all'implementazione e all'attuazione
del presente decreto;
b) predispone i provvedimenti necessari a dare
attuazione al presente decreto;
c) svolge le funzioni e le attivita' di
regolamentazione di cui al presente decreto, anche
adottando linee guida, raccomandazioni e orientamenti non
vincolanti;
d) individua i soggetti essenziali e i soggetti
importanti ai sensi degli articoli 3 e 6, nonche' redige
l'elenco di cui all'articolo 7, comma 2;
e) partecipa al Gruppo di cooperazione NIS, nonche'
ai consessi e alle iniziative promosse a livello di Unione
europea relativi all'attuazione della direttiva (UE)
2022/2555;
f) definisce gli obblighi di cui all'articolo 7,
comma 6, e al capo IV;
g) svolge le attivita' ed esercita i poteri di cui
al capo V.
2. L'Agenzia per la cybersicurezza nazionale e' il
Punto di contatto unico NIS di cui all'articolo 8,
paragrafo 3, della direttiva (UE) 2022/2555, svolgendo una
funzione di collegamento per garantire la cooperazione
transfrontaliera delle autorita' nazionali con le autorita'
pertinenti degli altri Stati membri, la Commissione e
l'ENISA.
3. Ai fini dell'attuazione del presente articolo e'
autorizzata la spesa pari a euro 2.000.000 annui a
decorrere dall'anno 2025 a cui si provvede ai sensi
dell'articolo 44.»
«Articolo 11 (Autorita' di settore NIS). - 1. Al fine
di assicurare l'efficace attuazione del presente decreto a
livello settoriale, sono individuate le Autorita' di
settore NIS che supportano l'Autorita' nazionale competente
NIS e collaborano con essa, secondo le modalita' di cui
all'articolo 40, comma 2, lettera c).
2. Sono designate quali Autorita' di settore NIS:
a) la Presidenza del Consiglio dei ministri per:
1) il settore gestione dei servizi TIC, di cui al
numero 9 dell'allegato I, in collaborazione con l'Agenzia
per la cybersicurezza nazionale;
2) il settore dello spazio, di cui al numero 10
dell'allegato I;
3) il settore delle pubbliche amministrazioni, di
cui all'articolo 3, commi 6 e 7;
4) le societa' in house e le societa' partecipate
o a controllo pubblico, di cui al numero 4 dell'allegato
IV;
b) il Ministero dell'economia e delle finanze, per
i settori bancario e delle infrastrutture dei mercati
finanziari, di cui ai numeri 3 e 4 dell'allegato I, sentite
le autorita' di vigilanza di settore, Banca d'Italia e
Consob;
c) il Ministero delle imprese e del made in Italy
per:
1) il settore delle infrastrutture digitali, di
cui al numero 8 dell'allegato I;
2) il settore dei servizi postali e di corriere,
di cui al numero 1 dell'allegato II;
3) il settore della fabbricazione, produzione e
distribuzione di sostanze chimiche, di cui al numero 3
dell'allegato II, sentito il Ministero della salute;
4) i sottosettori della fabbricazione di computer
e prodotti di elettronica e ottica, della fabbricazione di
apparecchiature elettriche e della fabbricazione di
macchinari e apparecchiature non classificati altrove
(n.c.a.), di cui, rispettivamente, alle lettere b), c) e d)
del settore fabbricazione, di cui al numero 5 dell'allegato
II;
5) i sottosettori della fabbricazione di
autoveicoli, rimorchi e semirimorchi, e della fabbricazione
di altri mezzi di trasporto, di cui, rispettivamente, alle
lettere e) e f) del settore fabbricazione, di cui al numero
5 dell'allegato II, sentito il Ministero delle
infrastrutture e dei trasporti;
6) i fornitori di servizi digitali, di cui al
numero 6 dell'allegato II;
d) il Ministero dell'agricoltura, della sovranita'
alimentare e delle foreste per il settore produzione,
trasformazione e distribuzione di alimenti, di cui al
numero 4 dell'allegato II;
e) il Ministero dell'ambiente e della sicurezza
energetica per:
1) il settore energia, di cui al numero 1
dell'allegato I;
2) il settore fornitura e distribuzione di acqua
potabile di cui al numero 6 dell'allegato I;
3) il settore acque reflue, di cui al numero 7
dell'allegato I;
4) il settore gestione dei rifiuti, di cui al
numero 2 dell'allegato II;
f) il Ministero delle infrastrutture e dei
trasporti per:
1) il settore trasporti, di cui al numero 2
dell'allegato I;
2) i soggetti che forniscono servizi di trasporto
pubblico locale di cui al numero 1 dell'allegato IV;
g) il Ministero dell'universita' e della ricerca
per il settore ricerca di cui al numero 7 dell'allegato II
e per gli istituti di istruzione che svolgono attivita' di
ricerca di cui al numero 2 dell'allegato IV, anche in
accordo con le altre amministrazioni vigilanti;
h) il Ministero della cultura per i soggetti che
svolgono attivita' di interesse culturale di cui al numero
3 dell'allegato IV;
i) il Ministero della salute per:
1) il settore sanitario, di cui al numero 5
dell'allegato I;
2) il sottosettore fabbricazione di dispositivi
medici e di dispositivi medico-diagnostici in vitro, di cui
alla lettera a) del settore fabbricazione, di cui al numero
5 dell'allegato II.
3. Le Amministrazioni di cui al comma 2, per i
rispettivi settori e sottosettori di competenza, sono
altresi' designate Autorita' di settore per i soggetti di
cui all'articolo 3, commi 9 e 10.
4. Le Autorita' di settore NIS, per i rispettivi
settori e sottosettori di competenza ai fini di cui al
comma 1, procedono, in particolare:
a) alla verifica dell'elenco dei soggetti di cui
all'articolo 7, comma 2;
b) al supporto nell'individuazione dei soggetti
essenziali e dei soggetti importanti ai sensi degli
articoli 3 e 6, in particolare identificando i soggetti
essenziali e i soggetti importanti di cui ai commi 8, 9 e
10 dell'articolo 3;
c) all'individuazione dei soggetti a cui si
applicano le deroghe di cui all'articolo 3, comma 4;
d) al supporto per le funzioni e per le attivita'
di regolamentazione di cui al presente decreto secondo le
modalita' di cui all'articolo 40;
e) all'elaborazione dei contributi per la relazione
annuale di cui all'articolo 12, comma 5, lettera c);
f) all'istituzione e al coordinamento dei tavoli
settoriali, al fine di contribuire all'efficace e coerente
attuazione settoriale del presente decreto nonche' al
relativo monitoraggio. Per la partecipazione ai tavoli
settoriali non sono previsti gettoni di presenza, compensi,
rimborsi di spese o emolumenti comunque denominati;
g) alla partecipazione alle attivita' settoriali
del Gruppo di Cooperazione NIS nonche' dei consessi e delle
iniziative a livello di Unione europea relativi
all'attuazione della direttiva (UE) 2022/2555.
5. Con accordo sancito entro il 30 ottobre 2024 in
sede di Conferenza permanente per i rapporti tra lo Stato,
le regioni e le province autonome di Trento e di Bolzano,
sono definite modalita' di collaborazione tra le Autorita'
di settore e le regioni e le province autonome di Trento e
di Bolzano interessate, quando il soggetto critico ha
carattere regionale ovvero opera esclusivamente sul
territorio di una regione o di una provincia autonoma nei
settori di cui al comma 2, lettere a), numeri 3 e 4, d),
e), f), h) e i), numero 1.
6. Per l'esercizio delle competenze attribuite dal
presente decreto, ciascuna autorita' di settore, ad
eccezione di quella indicata al comma 2, lettera b), e'
autorizzata a reclutare, con contratto di lavoro
subordinato a tempo indeterminato, n. 2 unita' di personale
non dirigenziale, appartenente all'area funzionari del
vigente contratto collettivo nazionale - Comparto funzioni
centrali, o categorie equivalenti, mediante procedure di
passaggio diretto di personale tra amministrazioni
pubbliche ai sensi dell'articolo 30 del decreto legislativo
30 marzo 2001, n. 165, scorrimento di vigenti graduatorie
di concorsi pubblici o avvio di nuove procedure concorsuali
pubbliche, nonche' ad avvalersi di personale non
dirigenziale posto in posizione di comando, ai sensi
dell'articolo 17, comma 14, della legge 15 maggio 1997, n.
127, di aspettativa, distacco o fuori ruolo ovvero altro
analogo istituto previsto dai rispettivi ordinamenti, ad
esclusione del personale docente, educativo,
amministrativo, tecnico e ausiliario delle istituzioni
scolastiche. All'atto del collocamento fuori ruolo e' reso
indisponibile, nella dotazione organica
dell'amministrazione di provenienza, per tutta la durata
del collocamento fuori ruolo, un numero di posti
equivalente dal punto di vista finanziario.
7. Per l'attuazione del comma 6 del presente articolo
e' autorizzata la spesa di 409.424 euro per l'anno 2024 e
di euro 925.695 annui a decorrere dall'anno 2025, a cui si
provvede ai sensi dell'articolo 44.».
«Articolo 12 (Tavolo per l'attuazione della
disciplina NIS). - 1. Presso l'Agenzia per la
cybersicurezza nazionale e' costituito, in via permanente,
il Tavolo per l'attuazione della disciplina NIS, per
assicurare l'implementazione e attuazione del presente
decreto.
2. Il Tavolo per l'attuazione della disciplina NIS e'
presieduto dal direttore generale dell'Agenzia per la
cybersicurezza nazionale, o da un suo delegato, ed e'
composto da un rappresentante di ogni Autorita' di settore
NIS di cui all'articolo 11 e da due rappresentanti
designati da regioni e province autonome in sede di
Conferenza permanente per i rapporti tra lo Stato, le
regioni e le province autonome di Trento e di Bolzano.
3. I componenti del Tavolo per l'attuazione della
disciplina NIS possono farsi assistere alle riunioni da
altri rappresentanti delle rispettive amministrazioni in
relazione alle materie oggetto di trattazione. In base agli
argomenti delle riunioni possono anche essere chiamati a
partecipare rappresentanti di altre amministrazioni, di
universita' o di enti e istituti di ricerca, nonche' di
operatori privati interessati dalle previsioni di cui al
presente decreto.
4. Il Tavolo per l'attuazione della disciplina NIS e'
convocato su indicazione del presidente o su richiesta di
almeno tre componenti e si riunisce almeno una volta per
trimestre.
5. Per le finalita' di cui al comma 1, il Tavolo per
l'attuazione della disciplina NIS:
a) supporta l'Autorita' nazionale competente NIS
nello svolgimento delle funzioni relative
all'implementazione e all'attuazione del presente decreto,
con particolare riferimento a quanto previsto dall'articolo
10, comma 1, lettere da a) a f);
b) formula proposte e pareri per l'adozione di
iniziative, linee guida o atti di indirizzo ai fini
dell'efficace attuazione del presente decreto;
c) predispone una relazione annuale sull'attuazione
del presente decreto.
6. Con le modalita' di cui all'articolo 40, comma 5,
possono essere dettate ulteriori disposizioni per
l'organizzazione e per il funzionamento del Tavolo. Per la
partecipazione al Tavolo per l'attuazione della disciplina
NIS non sono previsti gettoni di presenza, compensi,
rimborsi di spese o altri emolumenti, comunque
denominati.».
- Per i riferimenti alla raccomandazione 2003/361/CE si
vedano le note alle premesse.
- Per i riferimenti all'articolo 2 del decreto
legislativo 12 gennaio 2019, n. 14, si vedano le note alle
premesse.
- Si riportano gli articoli 2497 e 2545-septies del
codice civile:
«Articolo 2497 (Responsabilita'). - Le societa' o gli
enti che, esercitando attivita' di direzione e
coordinamento di societa', agiscono nell'interesse
imprenditoriale proprio o altrui in violazione dei principi
di corretta gestione societaria e imprenditoriale delle
societa' medesime, sono direttamente responsabili nei
confronti dei soci di queste per il pregiudizio arrecato
alla redditivita' ed al valore della partecipazione
sociale, nonche' nei confronti dei creditori sociali per la
lesione cagionata all'integrita' del patrimonio della
societa'. Non vi e' responsabilita' quando il danno risulta
mancante alla luce del risultato complessivo dell'attivita'
di direzione e coordinamento ovvero integralmente eliminato
anche a seguito di operazioni a cio' dirette.
Risponde in solido chi abbia comunque preso parte al
fatto lesivo e, nei limiti del vantaggio conseguito, chi ne
abbia consapevolmente tratto beneficio.
Il socio ed il creditore sociale possono agire contro
la societa' o l'ente che esercita l'attivita' di direzione
e coordinamento, solo se non sono stati soddisfatti dalla
societa' soggetta alla attivita' di direzione e
coordinamento.
Nel caso di liquidazione giudiziale, liquidazione
coatta amministrativa e amministrazione straordinaria di
societa' soggetta ad altrui direzione e coordinamento,
l'azione spettante ai creditori di questa e' esercitata dal
curatore o dal commissario liquidatore o dal commissario
straordinario.».
«Articolo 2545-septies (Gruppo cooperativo
paritetico). - Il contratto con cui piu' cooperative
appartenenti anche a categorie diverse regolano, anche in
forma consortile, la direzione e il coordinamento delle
rispettive imprese deve indicare:
1) la durata;
2) la cooperativa o le cooperative cui e'
attribuita direzione del gruppo, indicandone i relativi
poteri;
3) l'eventuale partecipazione di altri enti
pubblici e privati;
4) i criteri e le condizioni di adesione e di
recesso dal contratto;
5) i criteri di compensazione e l'equilibrio nella
distribuzione dei vantaggi derivanti dall'attivita' comune.
La cooperativa puo' recedere dal contratto senza che
ad essa possano essere imposti oneri di alcun tipo qualora,
per effetto dell'adesione al gruppo, le condizioni dello
scambio risultino pregiudizievoli per i propri soci.
Le cooperative aderenti ad un gruppo sono tenute a
depositare in forma scritta l'accordo di partecipazione
presso l'albo delle societa' cooperative.».

Art. 2

Oggetto

1. Il presente regolamento, adottato ai sensi dell'articolo 40, comma 1, lettera a), del decreto NIS, definisce i criteri per l'applicazione della clausola di salvaguardia che, ai sensi dell'articolo 3, comma 4, del decreto NIS, consente di derogare all'applicazione dell'articolo 6, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE, e definisce il relativo procedimento per la sua applicazione.

Note all'art. 2:
- Per i riferimenti agli articoli 3 e 40 del decreto
legislativo 4 settembre 2024, n. 138, si vedano le note
alle premesse.
- Per i riferimenti alla raccomandazione 2003/361/CE si
vedano le note alle premesse.

Art. 3

Criteri per l'applicazione della clausola
di salvaguardia

1. La richiesta di applicazione della clausola di salvaguardia puo' essere accolta qualora il soggetto dichiari congiuntamente:
a) la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate, nel senso che i sistemi informativi e di rete delle imprese collegate non contribuiscono in alcun modo al funzionamento dei sistemi informativi e di rete NIS del soggetto medesimo;
b) la totale indipendenza delle proprie attivita' e servizi NIS da quelli delle imprese collegate, nel senso che le attivita' e i servizi delle imprese collegate non contribuiscono in alcun modo allo svolgimento delle attivita' e all'erogazione dei servizi NIS del soggetto medesimo.
2. La clausola di salvaguardia non puo' essere richiesta dal soggetto a cui si applica la disciplina del decreto NIS ai sensi dell'articolo 3, comma 10, del medesimo decreto.

Note all'art. 3:
- Per i riferimenti all'articolo 3 del decreto
legislativo 4 settembre 2024, n. 138, si vedano le note
alle premesse.

Art. 4

Modalita' di richiesta di applicazione
della clausola di salvaguardia

1. Il soggetto che ritiene sussistenti i presupposti di cui all'articolo 3 per richiedere l'applicazione della clausola di salvaguardia procede alla relativa richiesta nell'ambito della registrazione nella piattaforma digitale di cui all'articolo 7, comma 1, del decreto NIS, secondo le modalita' e i termini individuati con la determinazione di cui al comma 6 del citato articolo 7.
2. Al soggetto e' fornito riscontro con la comunicazione dell'Autorita' nazionale competente NIS effettuata attraverso la piattaforma di cui l'articolo 7 del decreto NIS.
3. Alle dichiarazioni rese ai sensi del presente regolamento si applica l'articolo 76 del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445.

Note all'art. 4:
- Si riporta l'articolo 7 del citato decreto
legislativo 4 settembre 2024, n. 138:
«Articolo 7 (Identificazione ed elencazione dei
soggetti essenziali e dei soggetti importanti). - 1. Dal 1°
gennaio al 28 febbraio di ogni anno successivo alla data di
entrata in vigore del presente decreto, i soggetti di cui
all'articolo 3, si registrano o aggiornano la propria
registrazione sulla piattaforma digitale resa disponibile
dall'Autorita' nazionale competente NIS ai fini dello
svolgimento delle funzioni attribuite all'Agenzia per la
cybersicurezza nazionale anche ai sensi del presente
decreto. A tal fine, tali soggetti forniscono o aggiornano
almeno le informazioni seguenti:
a) la ragione sociale;
b) l'indirizzo e i recapiti aggiornati, compresi
gli indirizzi e-mail e i numeri di telefono;
c) la designazione di un punto di contatto,
indicando il ruolo presso il soggetto e i recapiti
aggiornati, compresi gli indirizzi e-mail e i numeri di
telefono;
d) ove applicabile, i pertinenti settori,
sottosettori e tipologie di soggetto di cui agli allegati
I, II, III e IV;
2. Entro il 31 marzo di ogni anno successivo alla
data di entrata in vigore del presente decreto, l'Autorita'
nazionale competente NIS, redige, secondo le modalita' di
cui all'articolo 40, comma 5, l'elenco dei soggetti
essenziali e dei soggetti importanti, sulla base delle
registrazioni di cui al comma 1 e delle decisioni adottate
ai sensi degli articoli 3, 4, e 6.
3. Tramite la piattaforma digitale di cui al comma 1,
l'Autorita' nazionale competente NIS comunica ai soggetti
registrati di cui al comma 2:
a) l'inserimento nell'elenco dei soggetti
essenziali o importanti;
b) la permanenza nell'elenco dei soggetti
essenziali o importanti;
c) l'espunzione dall'elenco dei soggetti.
4. Dal 15 aprile al 31 maggio di ogni anno successivo
alla data di entrata in vigore del presente decreto,
tramite la piattaforma digitale di cui al comma 1, i
soggetti che hanno ricevuto la comunicazione di cui al
comma 3, lettere a) e b), forniscono o aggiornano almeno le
informazioni seguenti:
a) lo spazio di indirizzamento IP pubblico e i nomi
di dominio in uso o nella disponibilita' del soggetto;
b) ove applicabile, l'elenco degli Stati membri in
cui forniscono servizi che rientrano nell'ambito di
applicazione del presente decreto;
c) i responsabili di cui all'articolo 38, comma 5,
indicando il ruolo presso il soggetto e i loro recapiti
aggiornati, compresi gli indirizzi e-mail e i numeri di
telefono;
d) un sostituto del punto di contatto di cui al
comma 1, lettera c), indicando il ruolo presso il soggetto
e i recapiti aggiornati, compresi gli indirizzi e-mail e i
numeri di telefono.
5. I fornitori di servizi di sistema dei nomi di
dominio, i gestori di registri dei nomi di dominio di primo
livello, i fornitori di servizi di registrazione dei nomi
di dominio, i fornitori di servizi di cloud computing, i
fornitori di servizi di data center, i fornitori di reti di
distribuzione dei contenuti, i fornitori di servizi
gestiti, i fornitori di servizi di sicurezza gestiti,
nonche' i fornitori di mercati online, i fornitori di
motori di ricerca online e i fornitori di piattaforme di
social network, forniscono all'Autorita' nazionale
competente NIS, secondo le modalita' di cui al comma 4,
anche:
a) l'indirizzo della sede principale e delle altre
sedi del soggetto nell'Unione europea;
b) se non e' stabilito nell'Unione europea,
l'indirizzo della sede del suo rappresentante ai sensi
dell'articolo 5, comma 3, unitamente ai dati di contatto
aggiornati, compresi gli indirizzi e-mail e i numeri di
telefono.
6. L'Autorita' nazionale competente NIS stabilisce,
secondo le modalita' di cui all'articolo 40, comma 5, i
termini, le modalita' e i procedimenti di utilizzo e
accesso alla piattaforma digitale di cui al comma 1,
indicando altresi' eventuali ulteriori informazioni che i
soggetti devono fornire ai sensi dei commi 1 e 4, nonche' i
termini, le modalita' e i procedimenti di designazione dei
rappresentanti di cui all'articolo 5, comma 3.
7. I soggetti che hanno ricevuto la comunicazione di
cui al comma 3, lettere a) e b), notificano all'Autorita'
nazionale competente NIS, tramite la piattaforma digitale
di cui al comma 1, qualsiasi modifica delle informazioni
trasmesse ai sensi del presente articolo tempestivamente e,
in ogni caso, entro quattordici giorni dalla data della
modifica.».
- Si riporta l'articolo 76 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445, recante: «Testo
unico delle disposizioni legislative e regolamentari in
materia di documentazione amministrativa (Testo A)»,
pubblicato nella Gazzetta Ufficiale n. 42 del 20 febbraio
2001:
«Articolo 76 (L) (Norme penali). - 1. Chiunque
rilascia dichiarazioni mendaci, forma atti falsi o ne fa
uso nei casi previsti dal presente testo unico e' punito ai
sensi del codice penale e delle leggi speciali in materia.
La sanzione ordinariamente prevista dal codice penale e'
aumentata da un terzo alla meta'.
2. L'esibizione di un atto contenente dati non piu'
rispondenti a verita' equivale ad uso di atto falso.
3. Le dichiarazioni sostitutive rese ai sensi degli
articoli 46 e 47 e le dichiarazioni rese per conto delle
persone indicate nell'articolo 4, comma 2, sono considerate
come fatte a pubblico ufficiale.
4. Se i reati indicati nei commi 1, 2 e 3 sono
commessi per ottenere la nomina ad un pubblico ufficio o
l'autorizzazione all'esercizio di una professione o arte,
il giudice, nei casi piu' gravi, puo' applicare
l'interdizione temporanea dai pubblici uffici o dalla
professione e arte.
4-bis. Le disposizioni del presente articolo si
applicano anche alle attestazioni previste dall'articolo
840-septies, secondo comma, lettera g), del codice di
procedura civile.».

Art. 5

Clausola di invarianza finanziaria

1. Dall'attuazione del presente regolamento non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.
2. Alle attivita' previste dal presente regolamento si provvede con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.

Art. 6

Pubblicita'

1. Il presente regolamento e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana e sui siti internet istituzionali dell'Agenzia e delle Autorita' di settore NIS.

Art. 7

Entrata in vigore

1. Il presente regolamento entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Il presente decreto munito del sigillo dello Stato sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Roma, 9 dicembre 2024

p. Il Presidente
del Consiglio dei ministri
Il Sottosegretario di Stato
alla Presidenza
del Consiglio dei ministri
Mantovano
Visto, il Guardasigilli: Nordio

Registrato alla Corte dei conti il 28 gennaio 2025 Ufficio di controllo sugli atti della Presidenza del Consiglio dei ministri, del Ministero della giustizia e del Ministero degli affari esteri e della cooperazione internazionale, n. 267