06.5921743
consulenza@legislazionetecnica.it

Applicazione della direttiva “NIS” 2 agli ordini professionali

La direttiva (UE) 2022/2555, nota anche come “Direttiva NIS2”, reca la normativa unionistica in materia di cybersicurezza ed è stata recepita in Italia dal D.Lgs. 138/2024, in vigore dal 16 ottobre 2024.
La NIS2 impone obblighi specifici in materia di protezione dei sistemi informatici e delle reti, gestione dei rischi di disponibilità, integrità e riservatezza dei dati, compresi quelli personali, e di segnalazione di eventuali incidenti informatici e la sua attuazione richiede, pertanto, modifiche ed integrazioni alle infrastrutture informatiche degli enti di non lieve entità.
A fronte di ciò e anche per conformarsi alle tempistiche disposte dal legislatore nazionale, risulta essenziale comprendere chi sono i soggetti destinatari di tali nuove previsioni.
A tal riguardo, l’art. 3 del D.Lgs. 138/2024 (Ambito di applicazione), utilizzando la tecnica del rinvio, stabilisce che la NIS2 si applica “ai soggetti sia pubblici che privati delle tipologie di cui agli allegati I, II, III e IV, […], che sono sottoposti alla giurisdizione nazionale”.  Per determinare chi è soggetto agli obblighi della NIS2, anche considerando la moltitudine di soggetti di derivazione pubblica pertinenti al nostro ordinamento, risulta necessaria un’analisi approfondita degli allegati I, II, III e IV del d.lgs. 138/2024, che individuano i soggetti obbligati in base a criteri dimensionali, al settore di operatività e ad altri fattori specifici.
Con riferimento ai soggetti pubblici, l’allegato III include tra i soggetti obbligati al rispetto della NIS:

  1. le amministrazioni centrali
  2. le amministrazioni regionali
  3. le amministrazioni locali
  4. gli altri soggetti pubblici

e tale ultima categoria viene così dettagliata dal Legislatore:

  • enti di regolazione dell’attività economica
  • enti produttori di servizi economici
  • enti a struttura associativa
  • enti fornitori di servizi assistenziali, ricreativi e culturali
  • enti e istituzioni di ricerca
  • istituti zooprofilattici sperimentali.

L’applicazione formale dell’allegato III, pertanto, anche coerentemente al disposto dell’art. 2bis del DL 101/2013, l’allegato III, non annovererebbe gli Ordini tra gli enti obbligati.

Tale orientamento viene confermato anche sotto il profilo sostanziale; ed infatti, rispetto all’applicazione della NIS2 agli Ordini professionali, una risposta interessante è pervenuta dall’Agenzia per la Cybersicurezza nazionale che mediante la FAQ 2.6 chiarisce che “Il decreto NIS si applica alle pubbliche amministrazioni, indipendentemente dalla dimensione dell’ente (in termini di dipendenti e bilancio) elencate nel bilancio consolidato dello Stato (elenco ISTAT) nelle 15 categorie indicate nell’allegato III del decreto NIS”.
Ad oggi nell’elenco ISTAT, ovvero l’Elenco delle amministrazioni pubbliche inserite nel conto economico consolidato individuate ai sensi dell’articolo 1, comma 3 della legge 31 dicembre 2009, n. 196 e ss.mm. (Legge di contabilità e di finanza pubblica), gli Ordini professionali non compaiono e per l’effetto non sono sottoposti all’applicazione della direttiva NIS2.
Va da sé che tale interpretazione potrebbe, in seguito, essere superata posto che la stessa FAQ 2 stabilisce che “(…) rimane ferma la facoltà per l’Autorità nazionale competente NIS, su proposta delle Autorità di settore interessate, di individuare ulteriori organizzazioni che operano nei settori di cui agli allegati I, II, III e IV, del decreto NIS (ex. articolo 9), quali soggetti importanti o essenziali. In tal caso, queste organizzazioni riceveranno una notifica al proprio domicilio digitale (ex. articolo 3, comma 13, del decreto NIS)”.

Back To Top