Con il D.Lgs. n. 138/2024 è stata recepita nell'ordinamento italiano la direttiva (UE) 2022/2555, nota come direttiva NIS 2 (Network and Information Security 2), che mira a garantire un livello comune elevato di sicurezza informatica nell'Unione europea.
Nello specifico, la direttiva si propone di rafforzare i requisiti di sicurezza, razionalizzare gli obblighi di segnalazione, introdurre misure di vigilanza più rigorose e armonizzare i regimi sanzionatori in tutti gli Stati membri.

Per raggiungere tali obiettivi, la NIS 2 ha ampliato l'ambito di applicazione rispetto alla precedente direttiva 2016/1148, includendo nuovi settori e tipologie di enti sulla base della loro criticità per l'economia e la società, tra cui anche gli enti della PA.
In questo contesto, vista la dichiarata applicabilità della normativa anche al settore pubblico, il CNF ha inteso chiarire se anche le istituzioni forensi, sia a livello nazionale che locale siano o meno soggetti alle sue disposizioni.

Si chiede dunque se la direttiva NIS2 si applica anche al Consiglio Nazionale Forense e ai Consigli dell'Ordine degli Avvocati, stante la loro natura di enti pubblici non economici a carattere associativo codificata all'art. 24 della legge professionale forense (L. n. 247/2012). Ciò in quanto il suddetto allegato III include tra i soggetti pubblici destinatari della novella sulla cybersecurity proprio gli enti a struttura associativa.

Per rispondere al quesito, il CNF esamina il combinato disposto dell'art. 3, comma 6, D.Lgs. n. 138/2024 e del suo allegato III.
Da tale lettura si evince che per essere assoggettati all'applicazione della direttiva NIS 2 gli enti pubblici in esame devono essere:

• a struttura associativa;
• qualificabili come pubbliche amministrazioni ai sensi dell'art. 1, c. 3, L. n. 196/2009.

Quest'ultima disposizione affida all'ISTAT il compito di effettuare annualmente una ricognizione degli enti da considerare pubbliche amministrazioni, pubblicandone l'elenco in Gazzetta Ufficiale ogni anno entro il 30 settembre.

Poiché la ricognizione ISTAT per il 2024 include, tra gli enti a struttura associativa, solo specifiche organizzazioni quali ANCI, ANEA, CISIS, FEDERBIM, UPI, UNIONCAMERE e UNCEM e non il Consiglio Nazionale Forense o i Consigli dell'Ordine degli Avvocati, si può concludere per la non applicabilità delle disposizioni della direttiva NIS 2 agli enti professionali.