Il Consiglio Nazionale Forense, con una comunicazione del 21 Febbraio 2025 indirizzata ai Presidenti dei Consigli degli Ordini degli Avvocati, prende posizione sulla non applicabilità della normativa in materia di sicurezza informatica NIS2 agli stessi enti professionali.
La comunicazione del 21 Febbraio 2025 del Consiglio Nazionale Forense Il Presidente del Consiglio Nazionale Forense ha recentemente indirizzato a tutti i Presidenti degli Ordini degli Avvocati una comunicazione “interpretativa” circa l'applicabilità agli enti professionali del decreto legislativo numero 138 del 4 settembre 2024 , il quale ha recepito nell'ordinamento italiano la direttiva UE 2022/2555 NIS2 - Network and Information Security 2 , che mira a garantire un livello comune elevato di sicurezza informatica nell'Unione Europea. La conclusione a cui si giunge nella menzionata comunicazione è quella della non applicabilità della disciplina agli enti professionali forensi poiché, anche se l'articolo 3, sesto comma, della suddetta normativa statuisce l'applicabilità «alle pubbliche amministrazioni di cui all' articolo 1, comma 3, della legge 31 dicembre 2009, numero 196 , ricomprese nelle categorie elencate nell'allegato III», tra cui vi sono gli “enti a struttura associativa”, tuttavia gli enti professionali non rientrerebbero nella definizione di cui alla richiamata legge . Infatti, l' articolo 1, terzo comma, della legge numero 196/2009 prevede che la «ricognizione delle amministrazioni pubbliche di cui al comma 2 è operata annualmente dall'ISTAT con proprio provvedimento e pubblicata nella Gazzetta Ufficiale entro il 30 settembre» e la ricognizione ISTAT per il 2024 non include il Consiglio Nazionale Forense ed i Consigli degli Ordini degli Avvocati. Sulla base di tale combinato disposto, il CNF conclude per la non applicabilità delle disposizioni della direttiva NIS2 agli enti professionali forensi. La normativa NIS2 La ricostruzione normativa da parte del Consiglio Nazionale Forense è ineccepibile sul piano testuale, ma ha vari elementi di debolezza da un punto di vista oggettivo e sostanziale. In primo luogo , appare quanto mai anomalo delegare integralmente l'applicabilità o meno di una normativa importante e sistemica, come quella in materia di sicurezza informatica, ad un “atto ricognitivo” da parte dell'ente pubblico di ricerca per la produzione dell'informazione statistica ufficiale e di indirizzo e coordinamento del Sistema statistico nazionale quale è, in Italia, l'ISTAT. L' altro punto di debolezza è la constatazione oggettiva che la ricognizione in questione da parte dell'ISTAT viene fatta annualmente, con la conseguenza che un'eventuale inclusione successiva degli enti professionali forensi, ad esempio nel 2025, comporterebbe automaticamente l'inclusione degli stessi nell'ambito di applicazione della normativa NIS2, con tutte le difficoltà interpretative ad es. sulla decorrenza ed operative derivanti dalla mancanza di un adeguato periodo di implementazione. Tale “rischio” si verificherebbe ovviamente con cadenza annuale ad ogni pubblicazione da parte dell'ISTAT. Il Regolamento EU 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario c.d. DORA Il Consiglio Nazionale Forense, inoltre, ha omesso di affrontare il tema della normativa in materia di sicurezza informatica in modo ampio ed “olistico”, allorquando non si è posto il problema dell'ambito di applicazione del Digital Operational Resilience Act i.e. DORA in vigore dal 17 gennaio 2025 che all'articolo 2, primo comma, p include gli «enti pensionistici aziendali o professionali» nell'ambito di applicazione, definendo gli stessi all'articolo 3 con un rimando all'articolo 6, punto 1 , della direttiva 2016/2341 quali « enti, a prescindere dalla forma giuridica, operanti secondo il principio di capitalizzazione , distinti da qualsiasi impresa promotrice o associazione di categoria, costituiti al fine di erogare prestazioni pensionistiche in relazione a un'attività lavorativa sulla base di un accordo o di un contratto stipulato a individualmente o collettivamente tra datore di lavoro e lavoratore, o i loro rispettivi rappresentanti o b con lavoratori autonomi, individualmente o collettivamente, conformemente alla legislazione dello Stato membro di origine e dello Stato membro ospitante, e che esercita le attività direttamente connesse», con ciò ponendosi la questione dell' applicazione della normativa sulla sicurezza informatica alla Cassa Nazionale Forense , organo certamente distinto dal Consiglio Nazionale Forense, ma che può esercitare le sue funzioni anche attraverso i Consigli dell'Ordine forense articolo 7 dello Statuto della Cassa Forense . Il tema dell'applicabilità di DORA alle Casse previdenziali obbligatorie è tutt'oggi aperto , ma non può considerarsi estraneo alla sfera di interesse e, quindi, interpretativa dell'organo apicale dell'Avvocatura, quale è il Consiglio Nazionale Forense. Conclusioni L'interpretazione fornita dal Consiglio Nazionale Forense è testuale, formalmente corretta, ma anche probabilmente “tattica” in quanto finalizzata a prendere posizione sull'effettiva applicazione della normativa NIS2 a pochi giorni dalla scadenza del 28 febbraio 2025 ai sensi dell'articolo 7 del decreto legislativo numero 138 del 4 settembre 2024 per la registrazione sulla piattaforma digitale, resa disponibile dall'Autorità nazionale ai fini dello svolgimento delle funzioni attribuite all'Agenzia per la cybersicurezza nazionale. Pertanto, il tema è probabilmente solo rinviato poiché la tenuta interpretativa della comunicazione del Consiglio Nazionale Forense potrebbe vacillare già con la prossima pubblicazione ISTAT 2025 ai sensi della legge numero 196/2009 . La sensazione è che, in generale, sul tema della cybersecurity bisognerebbe acquisire una consapevolezza collettiva che, prima o poi, un modello normativo si dovrebbe applicare alla più ampia platea di soggetti, indipendentemente dalla interpretazione contingente sull'ambito di applicazione, con la conseguenza che la domanda da porsi dovrebbe piuttosto essere “quando” e “come” implementare un tale sistema di norme in ambito cybersecurity, all'occorrenza anche su base volontaria.