Nell’ambito, talvolta trascurato, della compliance interna ai gruppi societari, si cela un rischio concreto e tutt’altro che marginale: l’applicabilità della Direttiva (UE) 2022/2555 nota come Direttiva NIS 2 alle società che prestano servizi IT o cybersecurity all’interno del proprio gruppo. Si tratta di una prassi gestionale consolidata – e spesso ritenuta neutra sul piano regolatorio – in molte realtà industriali o multinazionali, dove le infrastrutture informatiche e le funzioni di sicurezza digitale sono accentrate presso la capogruppo o affidate a una consociata dedicata.
Tuttavia, la normativa europea in materia di cybersicurezza – recepita in Italia con il Decreto Legislativo 24 ottobre 2024, n. 138 (il “Decreto NIS 2”) – prevede obblighi specifici anche per queste realtà, con un potenziale impatto sanzionatorio significativo in caso di mancato adeguamento. È quindi opportuno ricostruire, con ordine e chiarezza, il perimetro applicativo della disciplina e i principali adempimenti richiesti.
Dilazioni debiti fiscali
Assistenza fiscale
NIS 2, presupposti soggettivi e oggettivi di applicazione
La Direttiva NIS 2, come recepita nel nostro ordinamento mediante il Decreto NIS 2, ha ampliato sensibilmente il perimetro della disciplina previgente, includendo 18 settori (di cui 11 ad alta criticità) e oltre 80 categorie di soggetti, pubblici e privati.
Affinché una società rientri nel campo di applicazione della normativa, è necessario che ricorrano congiuntamente i seguenti requisiti:
- soggezione alla giurisdizione italiana (in ragione della sede o dell’attività svolta);
- superamento delle soglie dimensionali previste (numero di dipendenti e fatturato);
- appartenenza a uno dei settori elencati negli allegati del Decreto NIS 2.
Su tali presupposti, diventa rilevante soffermarsi su una delle categorie di soggetti più frequentemente coinvolte dagli obblighi introdotti dalla normativa: gli MSP e MSSP.
Quando i fornitori di servizi ICT e cyber rientrano nell’ambito di applicazione della NIS 2
Tra le categorie soggette agli obblighi previsti dal Decreto NIS 2 figurano i cosiddetti Managed Service Provider (“MSP”) e i Managed Security Service Provider (“MSSP”): si tratta di soggetti che, in via professionale e continuativa, gestiscono infrastrutture IT ovvero prestano servizi di cibersicurezza per conto di terzi. È importante evidenziare che rientrano in tale definizione anche le società che forniscono tali servizi esclusivamente in favore di altre società appartenenti al medesimo gruppo societario.
Assistenza per i sovraindebitati
Saldo e stralcio
Le attività tipicamente riconducibili agli MSP comprendono l’installazione e la gestione di server, reti, software e piattaforme (anche da remoto), l’esecuzione di aggiornamenti, il monitoraggio e l’amministrazione. Gli MSSP, invece, si occupano della gestione dei rischi cyber, con servizi che includono SOC, CSIRT, sistemi di rilevazione avanzati (EDR, XDR, IDS, SIEM), penetration testing e Red Teaming.
Elemento determinante ai fini dell’applicazione del Decreto NIS 2 è la presenza di un rapporto di “amministrazione attiva”: ossia, un’interconnessione diretta e continuativa tra l’infrastruttura del fornitore e quella del cliente (o consociata), tale da consentire un accesso operativo e la possibilità di intervento tecnico.
Nis2 e compliance interna al gruppo societario
A partire da tale nozione, è utile approfondire in che misura la prestazione di tali servizi all’interno di un gruppo rilevi ai fini dell’obbligo normativo. L’erogazione infragruppo dei servizi non esclude, infatti, l’applicazione della normativa.
Permane, talvolta, l’erronea convinzione che la Direttiva NIS 2 trovi applicazione unicamente nei confronti di soggetti che offrono servizi a terzi. In realtà, come chiarito espressamente dalle FAQ dell’Agenzia per la Cybersicurezza Nazionale (“ACN”), ciò che rileva ai fini applicativi è la natura dell’attività svolta, indipendentemente dal fatto che il destinatario sia un soggetto esterno o una società appartenente al medesimo gruppo.
Pertanto, qualora una capogruppo – o un’altra società del gruppo – svolga attività qualificabili come MSP o MSSP a beneficio di consociate, sarà tenuta al rispetto degli obblighi previsti dal Decreto NIS 2, inclusa la registrazione presso il portale ACN. Ciò vale anche in assenza di rapporti contrattuali formalizzati o di compensi intercompany.
Questa impostazione conduce a una conseguenza rilevante anche in termini organizzativi, che merita di essere considerata separatamente.
Registrazione e obblighi in capo alle singole entità giuridiche
Un ulteriore profilo da considerare riguarda la soggettività dell’obbligo di registrazione. La registrazione effettuata dalla capogruppo non produce effetti nei confronti delle altre società del gruppo. Ogni entità giuridica stabilita in Italia è tenuta, infatti, a verificare autonomamente il proprio inquadramento rispetto ai requisiti normativi.
In tale prospettiva, può assumere rilievo la cosiddetta “clausola di salvaguardia”, disciplinata dal D.P.C.M. 3 gennaio 2024, n. 221, la quale consente – a determinate condizioni – di escludere dall’obbligo di registrazione le società formalmente appartenenti a gruppi di grandi dimensioni, ma effettivamente autonome sotto il profilo operativo, informativo e infrastrutturale. Tale esenzione non è tuttavia applicabile nei seguenti casi:
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
- sussistenza di qualunque forma di condivisione dei sistemi informativi con altre entità del gruppo;
- supporto tecnico o funzionale erogato da strutture centralizzate;
- mancata dimostrazione dell’autonomia tecnica e organizzativa.
Alla luce di quanto precede, è opportuno richiamare brevemente le scadenze normative e le conseguenze in caso di inadempimento.
Tempistiche, riapertura del portale ACN e profili sanzionatori
I soggetti rientranti nel perimetro della normativa avrebbero dovuto completare la registrazione presso il portale ACN entro il 28 febbraio 2025 (entro il 17 gennaio per determinate categorie ad alta criticità). L’aggiornamento annuale dei dati era previsto entro il 31 luglio 2025, necessario fornire diverse informazioni, tra cui l’elenco dei componenti degli organi di amministrazione.
A partire dal 14 aprile 2025, tuttavia, l’ACN ha riaperto il portale per consentire le registrazioni tardive, anche se tale riattivazione non esonera in via ufficiale i soggetti interessati da possibili sanzioni eventualmente applicabili. Si ricorda, infatti, che in caso di omessa registrazione, sono previste sanzioni pecuniarie fino allo 0,1% del fatturato mondiale (0,07% per i soggetti qualificati come importanti). In caso di tardiva registrazione, possono essere contestate anche altre violazioni e, in questi casi, si applicherà la sanzione prevista per la violazione più grave, aumentata fino al triplo.
Si segnala, infine, che la normativa attribuisce una responsabilità personale e diretta agli organi di amministrazione e direzione delle società soggette, i quali non possono delegare gli obblighi previsti dal Decreto NIS 2.
Compliance interna Nis2, raccomandazioni operative
In presenza di attività riconducibili, anche solo in via residuale, a servizi MSP o MSSP prestati a favore di altre società del gruppo, è fortemente consigliabile procedere alla registrazione presso il portale ACN, previa opportuna analisi del contesto di riferimento.
Come ribadito anche nelle FAQ ufficiali, infatti, in caso di incertezza è opportuno adottare un approccio prudenziale.
Opportunità unica
partecipa alle aste immobiliari.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
