L’Agenzia per la Cybersicurezza Nazionale (“ACN“) ha pubblicato sul proprio sito la versione aggiornata delle FAQ nn. 2.8, 2.10, 3.1 e 3.15, fornendo importanti chiarimenti interpretativi in merito alla definizione di “stabilimento principale” prevista dall’art. 5 del Decreto legislativo n. 138/2024, attuativo della Direttiva NIS2 (“Decreto NIS2”).
L’aggiornamento assume particolare rilevanza per i soggetti operanti in ambito digitale e tecnologico, poiché incide direttamente sull’individuazione della giurisdizione nazionale competente.
Quadro normativo
L’art. 5, comma 1, lett. a) del Decreto NIS2 stabilisce, come regola generale, che sono soggette alla giurisdizione italiana le società esercenti una delle attività rilevanti aventi sede legale in Italia. La successiva lett. b) del medesimo comma introduce tuttavia una disciplina specifica per alcune categorie di soggetti (ad esempio, i fornitori di servizi di cloud computing e i fornitori di servizi gestiti) per i quali la giurisdizione deve essere determinata facendo riferimento al concetto di stabilimento principale.
In particolare, ai sensi del art. 5, comma 2, del Decreto NIS2, per stabilimento principale nell’Unione europea si intende:
- lo Stato membro nel quale sono prevalentemente adottate le decisioni relative alle misure di gestione del rischio per la sicurezza informatica;
- qualora non sia possibile individuare tale Stato membro o qualora le decisioni non siano adottate nell’Unione, lo Stato membro in cui sono effettuate le operazioni di sicurezza informatica;
- ove neppure tale criterio sia applicabile, lo Stato membro in cui il soggetto interessato ha lo stabilimento con il maggior numero di dipendenti nell’Unione europea.
L’interpretazione di ACN
Con l’ultimo aggiornamento delle FAQ, ACN ha chiarito, sull’assunto che il Decreto NIS2 si applichi alla singola persona giuridica, che lo stabilimento principale deve essere individuato esclusivamente tra le sedi della medesima persona giuridica, senza che assumano rilievo le imprese a questa collegate o le relative sedi.
Seguendo tale interpretazione, dunque, una società priva di una sede operativa, anche secondaria, in Italia, non potrà essere soggetta alla giurisdizione italiana, anche nel caso in cui l’Italia possa astrattamente qualificarsi come stabilimento principale, ad esempio perché ivi sono adottate le decisioni relative alle misure di gestione del rischio per la sicurezza informatica da parte della società controllante. Il criterio dello stabilimento principale, infatti, può operare solo nell’ipotesi in cui la società disponga di una pluralità di sedi in diversi Stati membri o di branch prive di autonomia giuridica, e una di queste soddisfi i requisiti di cui all’art. 5, comma 2, del Decreto NIS2. Diversamente, nel caso di società collegate prive di una sede in Italia, seguendo tale interpretazione, queste non potranno essere assoggettate alla giurisdizione italiana ai fini dell’applicazione del Decreto NIS2.
Conclusioni
L’aggiornamento delle FAQ chiarisce l’orientamento interpretativo adottato da ACN in relazione alla nozione di stabilimento principale ai fini dell’applicazione del Decreto NIS2, precisando che la valutazione deve essere effettuata con riferimento alla singola persona giuridica.
