NIS2: come contestare una iscrizione errata nel registro ACN

Picture of Avv. Roberto Calzoni

Avv. Roberto Calzoni

Indice

I nostri servizi

No data was found

Questo articolo è tratto da un caso concreto seguito dallo Studio Legale Calzoni

1. NIS2 e piccole imprese: come contestare un’iscrizione errata nel registro ACN

Il d.lgs. 4 settembre 2024, n. 138, con cui l’Italia ha recepito la Direttiva (UE) 2022/2555 (c.d. NIS2), impone alle imprese che soddisfano determinati requisiti di registrarsi sulla piattaforma digitale gestita dall’Agenzia per la Cybersicurezza Nazionale (ACN) e di adeguare i propri sistemi informativi agli standard di sicurezza previsti dalla normativa.

La procedura è strutturata in due fasi distinte:

  • nella prima, il soggetto interessato compila il modello di registrazione disponibile sulla piattaforma ACN, fornendo le informazioni necessarie alla valutazione: settore di attività, dati dimensionali, servizi erogati;
  • nella seconda, l’Autorità esamina le informazioni ricevute e comunica all’impresa se rientra o meno nell’elenco dei soggetti NIS, attribuendole eventualmente la qualifica di soggetto essenziale o importante.

 Ma cosa accade quando l’Autorità iscrive nel registro una società che non soddisfa i requisiti dimensionali previsti dalla normativa? Un caso concreto seguìto dallo Studio offre l’occasione per fare chiarezza sul punto e per illustrare come sia possibile contestare efficacemente un’iscrizione errata e chiedere la cancellazione dal registro NIS2.

In sintesi

  • La normativa NIS2 (d.lgs. 138/2024) si applica solo alle imprese che superano entrambe le soglie dimensionali: almeno 50 dipendenti e oltre 10 milioni di euro di fatturato annuo o totale di bilancio.
  • Un’iscrizione errata nel registro ACN — come soggetto essenziale o importante — può essere contestata con un’istanza formale di riesame, documentata e basata su argomenti giuridici precisi.
  • L’istanza deve richiamare l’art. 3 del d.lgs. 138/2024, la raccomandazione 2003/361/CE e allegare visura camerale, bilancio approvato e, se disponibile, bilancio previsionale.
  • L’ACN ha dimostrato disponibilità a riesaminare la propria decisione: nel caso seguito dallo Studio, ha riconosciuto il difetto del requisito dimensionale e disposto la cancellazione dal registro.

2. I requisiti dimensionali: una soglia cumulativa

L’art. 3 del d.lgs. 138/2024 stabilisce che il decreto si applica ai soggetti che operano in determinati settori strategici a condizione che superano i massimali per le piccole imprese ai sensi dell’art. 2, par. 2, dell’allegato alla raccomandazione 2003/361/CE.

La raccomandazione definisce piccola impresa quella che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro. Entrambe le condizioni devono essere soddisfatte contemporaneamente.

Ne deriva che, ai fini NIS2, sono obbligate a presentare domanda di iscrizione nel registro ACN le imprese che:

  • impegnano almeno 50 dipendenti, e
  • superano i 10 milioni di euro di fatturato annuo o di totale di bilancio.

Il mancato superamento anche di una sola delle due soglie è, di per sé, sufficiente a collocare l’impresa fuori dal perimetro della normativa. Fanno eccezione alcune categorie specifiche per le quali il requisito dimensionale non rileva, come i fornitori di reti pubbliche di comunicazione elettronica, i prestatori di servizi fiduciari e i soggetti che si trovino a essere l’unico fornitore nazionale di un servizio essenziale: ipotesi che non riguardano la generalità delle imprese manifatturiere e di servizi.

3. Il caso: iscrizione nonostante i requisiti non fossero soddisfatti

Una società cliente dello Studio, operante nel settore della produzione di prodotti di erboristeria e cosmesi, si era registrata sulla piattaforma ACN nel termine previsto dalla normativa. Il sistema informatico, a esito della compilazione, aveva restituito un primo responso di non applicabilità della disciplina, in ragione delle dimensioni aziendali: meno di 50 dipendenti e fatturato inferiore ai 10 milioni di euro.

Nonostante questo, la società aveva completato la procedura di registrazione, al solo fine di ottenere una conferma formale da parte dell’Autorità. L’ACN ha invece proceduto all’iscrizione nel registro dei soggetti NIS, attribuendo alla società la qualifica di soggetto essenziale.

L’iscrizione non era priva di conseguenze. I soggetti essenziali sono tenuti ad adottare misure tecniche e organizzative di sicurezza informatica particolarmente stringenti, a istituire una governance interna dedicata alla cybersicurezza e a notificare tempestivamente gli incidenti significativi all’Autorità. Il mancato rispetto di questi obblighi espone l’impresa a sanzioni amministrative che possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale. A ciò si aggiunge la responsabilità personale degli amministratori, cui spetta vigilare sull’attuazione degli adempimenti e che rispondono in prima persona delle scelte gestionali adottate — o omesse — in materia di sicurezza informatica.

4. L’istanza di riesame: struttura e argomenti

Lo Studio ha predisposto un’istanza formale di riesame, articolata su due distinti argomenti.

Il primo, di carattere testuale, riguardava il difetto del requisito dimensionale. L’istanza ha richiamato puntualmente l’art. 3 del d.lgs. 138/2024 e la raccomandazione 2003/361/CE, evidenziando come entrambe le soglie — personale e fatturato — non fossero superate né con riferimento all’esercizio 2024, né in via prospettica per il 2025. Il rispetto di questi parametri era documentato allegando la visura camerale, il bilancio approvato e la bozza di bilancio previsionale.

Il secondo argomento riguardava invece la classificazione come soggetto essenziale, che appariva incompatibile sia con i criteri stabiliti dall’art. 6 del decreto, sia con le istruzioni operative pubblicate dall’ACN nel proprio documento “Dettaglio-Ambiti-di-applicazione_NIS2”. L’istanza chiedeva in via principale la classificazione come soggetto “fuori ambito”, e in via subordinata come “soggetto importante”, con richiesta di adeguata motivazione in ordine ai criteri applicati.

L’istanza sottolineava inoltre la rilevanza del principio di proporzionalità che informa l’intera disciplina NIS2: la normativa è strutturata per concentrare gli obblighi più gravosi sugli operatori di maggiori dimensioni o con un più elevato livello di esposizione al rischio sistemico, ed estendere progressivamente il perimetro ad altre realtà. L’imposizione di adempimenti significativi in assenza dei presupposti normativi si traduce in costi organizzativi e tecnologici che il legislatore ha espressamente inteso limitare alle imprese oltre soglia.

5. La risposta dell’ACN: cancellazione dall’elenco

L’ACN ha accolto l’istanza presentata dal nostro Studio legale.

 Nella propria risposta, l’Autorità ha riconosciuto l’insussistenza dei presupposti per l’inserimento nell’ambito di applicazione del decreto NIS per difetto del requisito dimensionale, comunicando che la società sarebbe stata espunta dall’elenco dei soggetti NIS in occasione del primo aggiornamento utile, ai sensi dell’art. 7, comma 3, del d.lgs. 138/2024.

L’ACN ha inoltre precisato che, allo stato attuale, la società non è obbligata ad effettuare alcun adempimento ai sensi della disciplina NIS, pur richiamando l’attenzione sull’opportunità di adottare, su base volontaria, le misure di sicurezza di base disponibili sul portale dell’Agenzia. L’Autorità ha infine avvertito che l’eventuale raggiungimento, in futuro, del requisito dimensionale determinerebbe la sussistenza dei presupposti per l’inclusione nell’ambito di applicazione del decreto.

6. Cosa fare se ci si trova nella stessa situazione

Il caso illustrato evidenzia alcune indicazioni operative utili per i soggetti che abbiano ricevuto una comunicazione di iscrizione nel registro NIS e ritengano di non soddisfare i requisiti previsti.

In primo luogo, è necessario verificare con precisione i dati dimensionali rilevanti: il numero di dipendenti e il fatturato (o il totale di bilancio) dell’ultimo esercizio approvato, tenendo conto delle eventuali regole di aggregazione previste dalla raccomandazione 2003/361/CE per le imprese associate o collegate.

In secondo luogo, occorre controllare la correttezza della classificazione ricevuta (soggetto essenziale o importante) verificando la coerenza con i settori di attività effettivi e con i criteri applicativi pubblicati dall’ACN.

In caso di non conformità, è possibile presentare istanza di riesame documentata, allegando i dati aziendali rilevanti e richiamando le disposizioni normative pertinenti. L’istanza deve essere circostanziata e basata su argomenti giuridici precisi: l’ACN ha dimostrato, in questo caso come in altri, di essere disponibile a riesaminare la propria decisione quando le ragioni addotte sono fondate.

Va ricordato che la procedura di registrazione e la risposta dell’ACN implicano il trattamento di dati aziendali e, in alcuni casi, di informazioni relative a persone fisiche (legale rappresentante, punto di contatto NIS). È opportuno che i soggetti coinvolti verifichino la corretta gestione di tali dati nel rispetto della normativa in materia di protezione dei dati personali.

Compila il modulo: ti ricontattiamo entro 24 ore.

 

I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.

 

I nostri servizi:

No data was found

NIS2: cosa fare entro dicembre 2025 e aprile 2026

Leggi di più

NIS2: differenza tra soggetto importante ed essenziale

Leggi di più
Call Now Button