News

Rimani aggiornato sul mondo Ricca IT
  • Home
  • Blog
  • News
  • NIS2 e decreto legislativo 138/2024: come valutare i requisiti dimensionali per l'inclusione nell'ambito di applicazione soggettivo
25 Ottobre 2024

NIS2 e decreto legislativo 138/2024: come valutare i requisiti dimensionali per l'inclusione nell'ambito di applicazione soggettivo

Sicurezza

INTRODUZIONE

La Direttiva NIS2, recepita in Italia con il d.lgs. 138/2024, ha introdotto importanti aggiornamenti nel panorama normativo della sicurezza cibernetica, ampliando l'ambito di applicazione soggettivo e prevedendo misure più stringenti per un numero maggiore di imprese. In tale contesto, le Organizzazioni sono chiamate ad effettuare un vero e proprio assessment preliminare, finalizzato a stabilire se esse possano auto-qualificarsi come "soggetti NIS2". Tale valutazione è infatti propedeutica ad un obbligo di registrazione, tra il 1° gennaio e il 28 febbraio 2025, ì sulla piattaforma digitale che sarà predisposta dall'Agenzia per la Cybersicurezza Nazionale (ACN), ai sensi dell’art. 7, comma 1.

Il summenzionato assessment richiede dunque alle Organizzazioni di verificare, in primo luogo, l’appartenenza alle tipologie di soggetti elencati negli Allegati I, II, III e IV della normativa in esame. Per le sole imprese private (Allegati I e II), un ulteriore aspetto rilevante riguarda il rispetto di appositi requisiti dimensionali - definiti in base al numero di occupati e ai parametri economici (fatturato e bilancio), sulla scorta di quanto stabilito dalla Raccomandazione 2003/361/CE – al netto delle ipotesi, stabilite dal Legislatore stesso, in cui tali requisiti dimensionali non trovano applicazione.

Il presente articolo si concentra sull'interpretazione di questi ultimi requisiti, con l’intento di offrire un approccio funzionale che consenta alle imprese di effettuare una corretta valutazione del loro status alla luce della normativa vigente.

REQUISITI DIMENSIONALI: ANALISI DEL DATO NORMATIVO

L'articolo 3, paragrafo 2, del d.lgs. 138/2024 perimetra l'ambito di applicazione soggettivo della Direttiva NIS2 alle tipologie di soggetti di cui agli Allegati I e II che superano i massimali per le piccole imprese ai sensi dell'articolo 2, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE.

Ebbene, la raccomandazione succitata - relativa alla definizione in ambito europeo delle microimprese, piccole imprese e medie imprese (c.d. PMI) - qualifica queste ultime come Organizzazioni che occupano meno di 250 persone, il cui fatturato non supera i 50 mln di EUR oppure il cui totale di bilancio annuo non supera i 43 mln di EUR.

Ciò premesso, da una lettura a contrario dell'articolo 2, paragrafo 2, della Raccomandazione in esame (relativo alla definizione dei criteri dimensionali delle piccole imprese), possiamo affermare che - ai fini dell'applicabilità soggettiva della Direttiva NIS2 e del relativo d.lgs. di recepimento - occorre considerare tutte le imprese che occupano da 50 persone in su E che realizzano un fatturato annuo O un totale di bilancio annuo superiori a 10 mln di EUR.

Ciò, ovviamente, fatto salvo tutte quelle Organizzazioni che, indipendentemente dal requisito dimensionale, vengono considerate nell'alveo di applicazione della normativa in esame.

Si propone, nel seguito, una tabella riassuntiva di quanto si evince dall'analisi dell'articolo 2 della Raccomandazione 2003/361/CE:

TIPOLOGIA IMPRESA DIPENDENTI FATTURATO (mln di EUR) BILANCIO (mln di EUR)
soglie Microimpresa Fino a 9 Fino a 2mln di EUR (x < 2mln di EUR) Fino a 2mln di EUR (x < 2mln di EUR)
soglie Piccola impresa Da 10 a 49 Fino a 10mln di EUR (x < 10mln di EUR) Fino a 10mln di EUR (x < 10mln di EUR)
soglie Media impresa Da 50 a 249 Fino a 50mln di EUR (x < 50mln di EUR) Fino a 43mln di EUR (x < 43mln di EUR)
soglie Grande impresa Da 250 in su Superiore a 50mln di EUR (x > 50mln di EUR) Superiore a 43mln di EUR (x > 43mln di EUR)

Tralasciando in questa sede la questione relativa all'interpretazione del termine "persone" (nel presente articolo utilizziamo anche il termine di "dipendenti" o "occupati”), dall'analisi testuale del disposto di cui all'articolo 2 della Raccomandazione sembrerebbe che il requisito del numero di dipendenti e dei parametri economici (fatturato/bilancio) siano da considerarsi cumulativi (stante l'utilizzo della congiunzione "e"); invero i dati relativi alle performance di fatturato/bilancio annuo sarebbero tra loro alternativi (stante l'utilizzo della congiunzione "o").

In tale contesto, una conferma della correttezza di tale interpretazione ci giunge da quanto disposto dal Legislatore nazionale in sede di adeguamento della disciplina comunitaria dei criteri di individuazione di piccole e medie imprese. In particolare, è possibile fare riferimento al Decreto Ministeriale del 18 aprile 2005 (Ministero delle attività produttive) che, prendendo le mosse dalla Raccomandazione 2003/361/CE, "fornisce le necessarie indicazioni per la determinazione della dimensione aziendale…" (art.1).

Più nello specifico, l'articolo 2 del suddetto Decreto Ministeriale richiama i medesimi parametri dimensionali utilizzati dal Legislatore europeo per identificare le PMI, aggiungendo tuttavia un elemento importante al comma 4, nel quale si afferma espressamente che "I due requisiti… [vale a dire il numero di persone impiegate e i dati di fatturato/bilancio annuo] …sono cumulativi, nel senso che tutti e due devono sussistere". 

Quanto finora affermato risulta da ultimo confermato dalla stessa ACN, nelle FAQ relative alla Direttiva NIS1 (vedasi quesito 1.41).
1  https://www.acn.gov.it/portale/faq/nis

DATO OCCUPAZIONALE E DATI ECONOMICI: GLI IMPATTI DELLE DIVERSE COMBINAZIONI IN TERMINI DI DETERMINAZIONE DELLA DIMENSIONE AZIENDALE. IL “WORST-CASE SCENARIO” INTERPRETATIVO.

Una volta appurata la logica "cumulativa" (in termini di "AND", volendo usare un linguaggio informatico) tra requisito del numero dei dipendenti e parametri economici dell'impresa, occorre indagare in che termini va intesa l'alternatività tra dato di fatturato e dato di bilancio annuo e, soprattutto, come gestire le diverse combinazioni che si possono realizzare tra i due requisiti in esame.

In quest'ottica – proponendosi in tale sede l’approccio interpretativo più severo (volutamente definito come “worst-case scenario”) – viene ancora una volta in soccorso il Decreto Ministeriale del 18 aprile 2005, la cui appendice è dedicata alle "note esplicative sulle modalità di calcolo dei parametri dimensionali". 

Ebbene, dagli esempi applicativi in essa forniti si evince che:

  • qualora un'impresa occupi 250 o più dipendenti, va considerata una grande impresa, indipendentemente dai dati di fatturato e di bilancio (il dato degli occupati è sempre predominante);
  • qualora un'impresa occupi da 50 a 249 dipendenti - e almeno un parametro di fatturato o di bilancio rientri nelle soglie definite dall'articolo 2, comma 1 del D.M. per le medie imprese (l'altro potrebbe quindi essere anche "sopra soglia") - va considerata una media impresa (si realizza il cumulo tra i requisiti relativi al dato degli occupati e un parametro economico);
  • qualora un'impresa occupi meno di 50 dipendenti - ma entrambi i parametri di fatturato e di bilancio non rientrino nelle soglie definite dall'articolo 2, comma 2 del D.M. per le piccole imprese - va considerata media impresa (non si realizza il cumulo tra i requisiti relativi al dato degli occupati e dati economici);
  • qualora un'impresa occupi meno di 50 dipendenti - e almeno un parametro di fatturato o di bilancio rientri nelle soglie definite dall'articolo 2, comma 2 del D.M. per le piccole imprese (l'altro potrebbe quindi essere anche "sopra soglia") - va considerata piccola impresa (si realizza il cumulo tra i requisiti relativi al dato degli occupati e dati economici);

Si riporta nel seguito una tabella riassuntiva di quanto sopra descritto:

ESEMPI DI IMPRESA DIPENDENTI FATTURATO (mln di EUR) BILANCIO (mln di EUR) DIMENSIONI
A 250 48 42 Grande
B 249 51 42 Media
C 49 11 11 Media
D 49 10 11 Piccola

(FONTE: Appendice al D.M. 18 Aprile del 2005)

CONCLUSIONI

Al termine siffatta breve disamina, possiamo sostenere con ragionevole convinzione che - ai fini di un corretto e prudenziale assessment sull'appartenenza all'ambito di applicazione soggettivo della Direttiva NIS2 (d.lgs. 138/2024) in termini di requisiti dimensionali - l'approccio più idoneo sia quello “severamente” adottato dal Legislatore nazionale in sede di adeguamento alla disciplina comunitaria dei criteri di individuazione delle piccole e medie imprese. In sintesi:

  • Qualora il dato relativo al numero degli occupati (e.g. 60 dipendenti, numeri da media impresa) e almeno un parametro economico (bilancio o fatturato) rientri nella medesima soglia stabilita dall'art. 2 del D.M. per le piccole o medie imprese (es. fatturato di 55mln di EUR, sopra-soglia; bilancio di 40mln di EUR, soglia media impresa), si realizza il cumulo previsto dall'articolo 2, comma 4 del D.M. stesso, e l'impresa verrà qualificata sulla base di siffatta soglia.
  • Qualora, invero, il dato occupazionale appartenga ad una determinata soglia dimensionale (e.g. 49 dipendenti, numeri da piccola impresa) e i dati di fatturato e/o bilancio ad un'altra soglia (e.g. fatturato 13mln, soglia medie imprese; bilancio 11mln, soglie media impresa), il cumulo tra le due variabili non si realizza e l'impresa viene qualificata secondo la variabile più "elevata" (nel caso di specie, l'impresa viene considerata come "media impresa"). 

Riprendendo gli esempi proposti dal D.M. 18 aprile 2005:

  Requisito "Numero dipendenti" Requisito "Parametri economici"    
IMPRESA DIPENDENTI FATTURATO (mln di EUR) BILANCIO (mln di EUR) CUMULO? DIMENSIONI
A 250 (soglia grandi imprese) 48 (soglia medie imprese) 42 (soglia medie imprese) NO Grande (prevale la variabile "Dipendenti")
B 249 (soglia medie imprese) 51 (soglia grandi imprese) 42 (soglia medie imprese) SI Media (dipendenti e bilancio rientrano nella soglia stabilita per le "Medie Imprese")
C 49 (soglia piccole imprese) 11 (soglia medie imprese) 11 (soglia medie imprese) NO Media (prevalgono le variabili "Fatturato" e "Bilancio")
D 49 (soglia piccole imprese) 10 (soglia piccole imprese) 10 (soglia piccole imprese) SI Piccola (tutte le variabili rientrano nella soglia stabilita per le "Medie Imprese")

Trattasi, in conclusione, di un approccio utile ad agevolare le Organizzazioni nel comprendere – al netto di ulteriori comunicazioni e precisazioni da parte di ACN – se esse rientrino nel perimetro dell'articolo 3, comma 2 del d.lgs. 138/2024 - al di là del settore di cui agli allegati I e II della normativa e al netto dei casi in cui il requisito dimensionale non rileva ai fini della qualificazione dell'impresa come "soggetto NIS2".

Oltre a ciò, le suddette valutazioni possono essere utili anche per quelle Organizzazioni che sicuramente rientrano nell'ambito di applicazione soggettiva della Direttiva NIS2, al fine di stimare una loro successiva qualificazione come soggetto essenziale o importante e, di conseguenza, stimare il possibile effort che potrebbe esser loro richiesto in termini di misure di sicurezza e obblighi di notifica. 

Tale qualificazione, va tuttavia sottolineato, sarà compito esclusivo dell'l'Autorità nazionale competente NIS (rectius ACN) che, ai sensi dell'art. 7, commi 2 e 3 del d.lgs. 138/2024, redigerà l'elenco dei soggetti essenziali e importanti entro il 31 marzo 2025, dandone opportuna comunicazione alle imprese incluse nel perimetro di applicazione della normativa.

La Ricca IT utilizza solo cookies tecnici necessari al corretto funzionamento del sito e strumenti statistici. Fai però attenzione se usi funzioni che interagiscono con i social network, perchè questi potrebbero tracciare la tua navigazione con i loro cookies. Per saperne di più leggi la cookie policy e l’informativa privacy.

Ho Capito