Tra i principali adempimenti richiesti dalla NIS 2 vi è la ormai prossima registrazione sull’apposito portale reso disponibile dall’Agenzia per la Cybersicurezza Nazionale (ACN) con le informazioni specificate all’interno del Decreto Legislativo no. 138/2024, tra le quali – per alcune categorie di fornitori di servizi digitali – potrebbe rendersi necessaria l’indicazione del c.d. “stabilimento principale”. In questo articolo prenderemo in considerazione cosa debba intendersi per stabilimento principale per quanto riguarda i fornitori di servizi digitali che operano anche al di fuori del territorio nazionale, i quali potrebbero essere destinatari del meccanismo dello sportello unico (“one-stop-shop”), volto a semplificare l’individuazione della corretta giurisdizione applicabile alle imprese.
“One-stop-shop” nella Direttiva NIS 2
Tra i temi più rilevanti della Direttiva NIS 2 vi è il meccanismo dello sportello unico, pensato per semplificare la gestione della compliance per le imprese che operano anche al di fuori del territorio nazionale. Questo meccanismo prevede che tali imprese siano sottoposte alla giurisdizione esclusiva dell’autorità competente dello Stato Membro in cui forniscono i loro servizi o, per specifiche categorie che vedremo di seguito, presso il quale hanno il loro “stabilimento principale”.
Chi può beneficiare dello sportello unico
In base all’articolo 5 del Decreto Legislativo no.138/2024, il meccanismo si applica a specifiche categorie di fornitori di servizi digitali caratterizzati dalla natura transfrontaliera dei loro servizi, tra cui:
- fornitori di reti pubbliche di comunicazione elettronica o i fornitori di servizi di comunicazione elettronica accessibili al pubblico, che sono considerati sotto la giurisdizione dello Stato Membro nel quale forniscono i loro servizi;
- gli enti della pubblica amministrazione, che sono sottoposti alla giurisdizione dello Stato Membro che li ha istituiti;
- fornitori di servizi di sistema dei nomi di dominio DNS, registri dei nomi di dominio di primo livello, i soggetti che forniscono servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online o di piattaforme di servizi di social network, che sono invece sottoposti alla giurisdizione dello Stato Membro in cui hanno lo stabilimento principale nell’Unione.
Pertanto, se la vostra impresa rientra in questa ultima categoria, diventa fondamentale identificare correttamente il vostro stabilimento principale all’interno dell’Unione.
Come identificare lo stabilimento principale?
NIS 2 prevede modalità diverse per determinare lo stabilimento principale, per esso dovendosi considerare nell’Unione:
- quello dello Stato Membro nel quale sono prevalentemente adottate le decisioni relative alle misure di gestione del rischio per la sicurezza informatica;
- se non è possibile determinare lo Stato Membro in cui sono adottate le suddette decisioni o se le stesse non sono adottate nell’Unione, lo stabilimento principale è considerato quello collocato nello Stato Membro in cui sono effettuate le operazioni di sicurezza informatica;
- ove anche ciò non sia possibile, quello dello Stato Membro in cui il soggetto interessato ha lo stabilimento con il maggior numero di dipendenti nell’Unione europea.
Inoltre, per quanto riguarda i soggetti di cui sopra non stabiliti nel territorio dell’Unione, ma che offrono servizi all’interno dello stesso, questi sono tenuti a designare un rappresentante nell’Unione, che è stabilito in uno degli Stati membri in cui sono offerti i predetti servizi e che sarà sottoposto alla relativa giurisdizione.
Sfide nell’individuazione dello stabilimento principale
Molte imprese possono incontrare difficoltà nel definire con certezza il proprio stabilimento principale secondo i criteri appena descritti, specie quando le decisioni in materia di cybersecurity sono decentralizzate e distribuite tra diverse sedi nell’UE.
In attesa di chiarimenti specifici da parte delle autorità nazionali competenti, considerando che il meccanismo dello sportello unico nell’ambito dei servizi digitali è presente anche in altri strumenti normativi dell’UE (come il GDPR e il DSA), è ragionevole prendere in considerazione gli sviluppi del concetto di stabilimento principale nell’ambito della protezione dei dati. A tal proposito, può essere utile fare riferimento alle linee guida del Comitato europeo per la protezione dei dati (EDPB) “sulla nozione di stabilimento principale” nel contesto del GDPR.
Secondo l’EDPB, lo stabilimento principale dovrebbe essere il luogo in cui vengono prese le decisioni riguardanti le finalità e i mezzi del trattamento dei dati, con il potere di farle implementare. Traslando questo concetto al contesto NIS 2, lo stabilimento principale sarebbe quindi lo Stato Membro dove vengono prese e attuate le decisioni strategiche sulla gestione del rischio informatico.
In ogni caso, qualora la verifica secondo i criteri di cui sopra non dovesse essere possibile, sarà sempre possibile applicare il criterio, più facilmente determinabile, del numero di dipendenti. In questo scenario, lo stabilimento principale sarà lo Stato Membro in cui si ha il maggior numero di dipendenti nell’UE.
Conclusioni
La Direttiva NIS 2 è ancora in fase di recepimento in diversi Paesi dell’Unione, creando un panorama normativo che può generare incertezze per le imprese operanti a livello europeo o transfrontaliero. Il meccanismo dello sportello unico rappresenta, pertanto, un’opportunità per le imprese di semplificare gli obblighi di conformità, ma per poterne beneficiare è richiesta un’attenta analisi e preparazione.
Per ulteriori informazioni su come la Direttiva NIS 2 potrebbe influire sulla vostra impresa potrebbe essere di interesse l’articolo “La Direttiva NIS 2 è implementata in Italia: il decreto legislativo 138/2024“.
