La disciplina NIS2 segna un passaggio concettuale rilevante nella regolazione della cybersecurity: il perimetro della responsabilità non coincide più necessariamente con la sede legale del soggetto formalmente vigilato, né con i confini societari della singola legal entity. Nel contesto dei gruppi multinazionali, delle architetture cloud distribuite, dei servizi gestiti, delle piattaforme condivise e delle funzioni di sicurezza centralizzate, la sicurezza informatica non è più allocata secondo una logica puramente territoriale, ma secondo una logica funzionale.
Il D.Lgs. 138/2024, di recepimento della Direttiva NIS2, deve essere letto esattamente in tale prospettiva. L’art. 3 individua l’ambito di applicazione soggettivo del decreto, includendo i soggetti pubblici e privati appartenenti alle tipologie indicate negli allegati e sottoposti alla giurisdizione nazionale ai sensi dell’art. 5. La norma, tuttavia, non si limita a recepire criteri dimensionali o settoriali. Essa contiene clausole di attrazione ulteriori, funzionali a intercettare soggetti che, pur non apparendo immediatamente come operatori nazionali autonomi, incidono in modo essenziale sulla sicurezza, sulla continuità e sull’affidabilità dei servizi erogati da soggetti essenziali o importanti.
In tale quadro, la vera novità non consiste soltanto nell’ampliamento quantitativo dei soggetti inclusi nel perimetro NIS2, ma nella trasformazione qualitativa del criterio di rilevanza. La domanda regolatoria non è più soltanto: “dove ha sede il soggetto?”. Diventa, piuttosto: “chi decide la sicurezza?”, “chi gestisce i sistemi?”, “chi effettua le operazioni cyber?”, “da quale fornitore dipende la continuità del servizio?”, “quale società del gruppo esercita un’influenza determinante sulle misure di gestione del rischio?”.
Indice degli argomenti
La cybersecurity dei gruppi multinazionali non segue la geometria societaria
Nei gruppi multinazionali, la società italiana che eroga un servizio rientrante nei settori NIS può dipendere, per la propria sicurezza, da strutture estere del medesimo gruppo. Può accadere che il Security Operation Center sia collocato in un altro Stato membro, che le policy di cybersecurity siano definite da una capogruppo estera, che l’identity management sia amministrato centralmente, che l’infrastruttura cloud sia contrattualizzata da una procurement entity internazionale o che le decisioni in materia di vulnerability management, incident response e business continuity siano assunte fuori dal territorio nazionale.
In un modello tradizionale, tale assetto avrebbe potuto generare una frattura tra soggetto vigilato e soggetto effettivamente determinante per la sicurezza. La legal entity italiana sarebbe stata formalmente responsabile, ma priva di pieno controllo sulle decisioni, sulle infrastrutture o sulle operazioni da cui dipende la resilienza del servizio. NIS2, e in particolare il D.Lgs. 138/2024, intendono ridurre proprio tale disallineamento.
L’art. 3, comma 10, assume quindi una funzione centrale. La disposizione prevede che il decreto si applichi, indipendentemente dalle dimensioni, all’impresa collegata a un soggetto essenziale o importante quando tale impresa adotti decisioni o eserciti un’influenza dominante sulle decisioni relative alle misure di gestione del rischio cyber, detenga o gestisca sistemi informativi e di rete da cui dipende la fornitura dei servizi, effettui operazioni di sicurezza informatica oppure fornisca servizi TIC o di sicurezza, anche gestiti, al soggetto essenziale o importante.
La disposizione è di notevole portata. Essa impedisce che la cybersecurity venga artificiosamente collocata fuori dal perimetro nazionale attraverso una segmentazione societaria meramente formale. Se la società italiana è soggetto NIS, ma le leve effettive della sicurezza si trovano presso un’impresa collegata estera, il legislatore consente di guardare oltre la superficie della struttura societaria e di intercettare il soggetto che, in concreto, governa o condiziona la postura di sicurezza.
Art. 3, comma 10: non extraterritorialità generalizzata, ma criterio funzionale
Sarebbe tuttavia improprio leggere l’art. 3, comma 10, come una clausola di extraterritorialità indifferenziata. La norma non stabilisce che qualunque società estera collegata a un soggetto NIS italiano rientri automaticamente nel perimetro del decreto. Stabilisce, piuttosto, che l’impresa collegata può essere attratta nell’ambito di applicazione quando sussista uno dei collegamenti funzionali indicati dalla disposizione.
Il punto è decisivo. L’estensione non deriva dalla mera appartenenza al gruppo, né dalla localizzazione estera di una funzione aziendale. Deriva dal ruolo effettivo che l’impresa collegata svolge rispetto alla cybersecurity del soggetto essenziale o importante. L’impresa estera diviene rilevante non perché estera, né perché collegata, ma perché decide, influenza, gestisce, opera o fornisce componenti decisive della sicurezza informatica.
Da tale angolo visuale, l’art. 3, comma 10, rappresenta una norma anti-elusiva in senso sostanziale. Essa contrasta l’arbitraggio regolatorio fondato sulla frammentazione societaria delle funzioni cyber. In altri termini, un gruppo multinazionale non può confidare sul fatto che la società italiana sia soltanto il terminale operativo di decisioni, infrastrutture e servizi gestiti altrove, se proprio quelle decisioni, infrastrutture e servizi costituiscono il presupposto della resilienza richiesta dalla disciplina NIS2.
I fornitori esteri e la catena di approvvigionamento: il ruolo dell’art. 3, comma 9, lettera f)
Diversa, ma complementare, è la posizione dei fornitori terzi esteri. L’art. 3, comma 10, riguarda infatti l’impresa collegata al soggetto essenziale o importante. Non è la base giuridica più corretta per sostenere che ogni fornitore estero di un soggetto NIS italiano possa essere direttamente attratto nel perimetro NIS2 italiano.
Per i fornitori terzi, la norma maggiormente rilevante è l’art. 3, comma 9, lettera f), secondo cui il decreto può applicarsi, indipendentemente dalle dimensioni, ai soggetti considerati critici quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti essenziali o importanti.
Anche qui occorre evitare automatismi. Non ogni fornitore estero è, per ciò solo, un elemento sistemico della supply chain. Lo diventa quando la sua prestazione assume una rilevanza tale da incidere sulla continuità, sulla sicurezza o sull’erogazione dei servizi del soggetto NIS. La valutazione deve quindi essere sostanziale: occorre verificare se il fornitore sia sostituibile, se la sua compromissione possa determinare un impatto significativo, se il servizio fornito sia strettamente connesso alle attività NIS, se esistano alternative operative realistiche, se il fornitore gestisca componenti digitali, sistemi, infrastrutture, servizi TIC o funzioni di sicurezza.
La combinazione tra art. 3, comma 9, lettera f), e art. 3, comma 10, consente dunque di distinguere due ipotesi: da un lato, l’impresa collegata estera che governa o abilita la cybersecurity del soggetto NIS italiano; dall’altro, il fornitore terzo estero che, pur fuori dal gruppo, costituisce un elemento sistemico della catena di approvvigionamento.
La distinzione è essenziale per mantenere la solidità giuridica dell’analisi. Nel primo caso, il baricentro è il rapporto infragruppo e la funzione cyber esercitata dall’impresa collegata. Nel secondo caso, il baricentro è la dipendenza sistemica della supply chain.
Art. 5: la giurisdizione come criterio sostanziale, non meramente formale
L’art. 5 del D.Lgs. 138/2024 completa il quadro. La regola generale prevede che siano sottoposti alla giurisdizione nazionale i soggetti di cui all’art. 3 stabiliti sul territorio nazionale. Tuttavia, la disposizione introduce criteri speciali per alcune categorie di soggetti digitali, tra cui fornitori di servizi DNS, registri di nomi di dominio, fornitori di cloud computing, data center, content delivery network, managed service provider, managed security service provider, mercati online, motori di ricerca e piattaforme di social network. Tali soggetti sono sottoposti alla giurisdizione dello Stato membro in cui hanno lo stabilimento principale nell’Unione.
Il passaggio più significativo è contenuto nel comma 2. Ai fini della determinazione dello stabilimento principale nell’Unione, rileva lo Stato membro nel quale sono prevalentemente adottate le decisioni relative alle misure di gestione del rischio per la sicurezza informatica. Se tale Stato non è determinabile, o se le decisioni non sono adottate nell’Unione, il criterio si sposta sul luogo in cui sono effettuate le operazioni di sicurezza informatica; in ulteriore subordine, sullo Stato membro in cui il soggetto ha lo stabilimento con il maggior numero di dipendenti nell’Unione.
La norma rivela la logica profonda della disciplina. La giurisdizione non è costruita soltanto sulla sede legale, ma sul luogo in cui si colloca la sostanza decisionale e operativa della sicurezza. È una scelta coerente con la struttura del rischio cyber, che non si distribuisce secondo la mappa delle incorporazioni societarie, ma secondo la mappa delle dipendenze tecnologiche, delle decisioni di sicurezza e delle operazioni effettive.
Per i gruppi multinazionali, tale impostazione ha implicazioni rilevanti. La società italiana non può essere considerata isolatamente quando le funzioni essenziali di sicurezza sono accentrate altrove. Allo stesso modo, la società estera del gruppo non può essere valutata come soggetto estraneo al perimetro qualora adotti decisioni, gestisca sistemi o fornisca servizi da cui dipende il soggetto NIS italiano.
L’elenco dei fornitori rilevanti NIS come dispositivo di emersione regolatoria
In tale architettura, l’obbligo di indicare i fornitori rilevanti NIS assume un significato che va oltre il mero adempimento amministrativo. Ai sensi dell’art. 18 della Determinazione ACN 127437/2026, i soggetti NIS sono chiamati a comunicare informazioni relative ai fornitori rilevanti, tra cui denominazione, codice fiscale, Paese della sede legale, codici CPV relativi alle forniture e criterio di rilevanza utilizzato per la qualificazione del fornitore.
La richiesta di indicare anche il Paese della sede legale del fornitore non è neutra. Essa consente ad ACN di acquisire una rappresentazione delle dipendenze transfrontaliere dei soggetti NIS italiani. Attraverso tale mappatura, l’Autorità può comprendere quali fornitori, anche esteri, sostengano servizi essenziali o importanti, quali siano potenzialmente infungibili, quali operino su componenti digitali critiche e quali possano assumere una funzione sistemica nella catena di approvvigionamento.
L’elenco dei fornitori rilevanti diventa quindi un meccanismo di trasparenza regolatoria. Non determina automaticamente l’assoggettamento del fornitore estero alla disciplina NIS2 italiana, ma crea il presupposto informativo per valutare se quel fornitore, o quella società del gruppo, debba essere considerato ai fini dell’art. 3, comma 9, lettera f), dell’art. 3, comma 10, e dell’art. 5.
In tale prospettiva, il censimento dei fornitori non è un esercizio compilativo. È uno strumento di intelligence regolatoria sulla supply chain. Serve a rendere visibili dipendenze che, altrimenti, resterebbero disperse tra contratti, strutture infragruppo, outsourcing tecnologici, piattaforme cloud, servizi gestiti e modelli operativi multinazionali.
Il superamento dell’arbitraggio regolatorio
Il combinato disposto tra art. 3 e art. 5, letto insieme alla disciplina attuativa sui fornitori rilevanti, produce un effetto sistemico: riduce lo spazio per l’arbitraggio regolatorio nei gruppi multinazionali.
Per arbitraggio regolatorio si intende, in tale contesto, la possibilità di collocare formalmente fuori dal perimetro nazionale funzioni cyber decisive, pur continuando a far dipendere da esse la sicurezza del soggetto italiano. La disciplina NIS2 non impedisce ai gruppi di organizzare centralmente le proprie funzioni di sicurezza, né impone necessariamente un modello localistico. Tuttavia, rende più difficile sostenere che tali funzioni siano irrilevanti per la vigilanza nazionale quando incidono direttamente sulla sicurezza di un soggetto NIS italiano.
Se una società estera del gruppo decide le misure di gestione del rischio cyber della società italiana, gestisce sistemi informativi da cui dipende il servizio, effettua operazioni di sicurezza o fornisce servizi TIC o di sicurezza, l’art. 3, comma 10, consente di guardare alla funzione svolta, non alla sola sede legale. Se un fornitore terzo estero costituisce un elemento sistemico della catena di approvvigionamento, l’art. 3, comma 9, lettera f), consente di valutarne la criticità. Se il soggetto rientra tra le categorie digitali considerate dall’art. 5, la giurisdizione deve essere determinata secondo criteri che valorizzano il luogo delle decisioni cyber, delle operazioni di sicurezza o, in via residuale, della maggiore presenza organizzativa nell’Unione.
Il risultato non è un’estensione illimitata della giurisdizione italiana. È, più correttamente, l’affermazione di una giurisdizione funzionale, capace di seguire le linee effettive della dipendenza cyber.
Implicazioni operative per i soggetti NIS italiani
Per i soggetti NIS italiani appartenenti a gruppi multinazionali, la conseguenza pratica è significativa. La compliance NIS2 non può essere costruita limitandosi alla società italiana. Occorre ricostruire l’intero modello di governo della cybersecurity: chi approva le policy, chi definisce il risk appetite, chi gestisce gli asset, chi controlla gli accessi, chi monitora gli eventi, chi interviene sugli incidenti, chi decide le priorità di remediation, chi gestisce il cloud, chi amministra le identità digitali, chi governa la continuità operativa.
Allo stesso modo, la mappatura dei fornitori rilevanti deve essere condotta con criteri sostanziali. Non basta elencare i fornitori contrattualmente più evidenti o quelli economicamente più rilevanti. Occorre individuare i fornitori che presentano un nesso funzionale con i servizi NIS, che incidono sulla sicurezza dei sistemi informativi e di rete, che risultano difficilmente sostituibili o che supportano processi critici.
L’art. 24 del D.Lgs. 138/2024 conferma tale impostazione, includendo tra le misure di gestione del rischio anche la sicurezza della catena di approvvigionamento e richiedendo di tenere conto delle vulnerabilità specifiche dei fornitori diretti e dei fornitori di servizi, nonché della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei fornitori.
Ne deriva che la classificazione dei fornitori rilevanti non può essere trattata come un adempimento separato dal risk management. Essa deve derivare da una lettura integrata dei processi critici, degli asset, dei servizi, dei contratti, delle dipendenze operative e delle funzioni infragruppo.
Una nuova grammatica della responsabilità cyber
La disciplina NIS2 introduce, in definitiva, una nuova grammatica della responsabilità cyber. Non basta più sapere chi eroga formalmente il servizio. Occorre sapere da chi quel servizio dipende. Non basta identificare la sede legale. Occorre individuare il luogo delle decisioni e delle operazioni. Non basta distinguere tra gruppo e fornitore. Occorre comprendere se la società collegata o il provider esterno svolga una funzione essenziale nella gestione del rischio.
L’indicazione del fornitore estero, in tale contesto, non determina automaticamente la sua inclusione nel perimetro NIS2 italiano. Sarebbe una conclusione eccessiva. Tuttavia, essa consente ad ACN di valutarne la rilevanza sistemica, la funzione effettivamente svolta nella catena di approvvigionamento e, ove ne ricorrano i presupposti, l’assoggettabilità alla disciplina NIS secondo i criteri degli artt. 3 e 5 del D.Lgs. 138/2024.
La sede legale resta un elemento importante, ma non esaurisce più l’analisi. Nei gruppi multinazionali, la cybersecurity è spesso il prodotto di decisioni, infrastrutture e servizi collocati in più giurisdizioni. Il legislatore italiano, recependo la logica della Direttiva NIS2, ha costruito strumenti idonei a intercettare tale realtà.
Il perimetro NIS2, quindi, non segue soltanto il registro delle imprese. Segue la catena delle dipendenze e proprio in tale passaggio si coglie il senso più moderno della nuova disciplina: la sicurezza informatica non può essere governata sulla base della forma societaria, ma deve essere ricondotta ai luoghi, ai soggetti e alle funzioni che, in concreto, determinano la resilienza dei servizi essenziali e importanti.
Partecipa alla community
Ho costruito questa soluzione open source proprio per verificare la postura NIS2: https://github.com/fabriziosalmi/nis2-public