NIS2 - Stabilimento principale (one-stop-shop)

L’Agenzia Italiana per la Cybersicurezza (ACN) ha recentemente chiarito nelle sue FAQ che la regola del one-stop-shop per le diverse categorie di fornitori ICT di cui all’art. 5(1)(b) del Decreto NIS (ad es. servizi cloud, servizi gestiti, social network, ecc.) si applica con riferimento agli stabilimenti di un singolo soggetto giuridico e non a un gruppo di società (FAQ 3.15 e 2.8).

Dunque, tra l’altro, tutte le società appartenenti alle suddette categorie che avevano omesso di registrarsi nel 2025 perché un’altra società del gruppo, con sede in un altro Paese UE, assumeva la maggior parte delle decisioni in materia di cybersecurity, dovrebbero procedere quest’anno con la registrazione entro il termine finale del 28 febbraio 2026.

Pur non contestando l’interpretazione dell’ACN, che appare in linea con il Decreto NIS e con la Direttiva, la domanda che sorge è: posto che la regola del one-stop-shop è stata concepita per “tenere conto della natura transfrontaliera” di questi servizi (Considerando 114 della Direttiva NIS2), perché il legislatore dovrebbe dare per scontato che i soggetti che svolgono tali servizi operino sempre tramite una società in un unico Paese UE (con stabilimenti negli altri Paesi), e non costituiscano invece società distinte nei vari Paesi dell’Unione?

Perché il semplice fatto che un gruppo si strutturi nell’Unione europea aprendo società nei diversi Paesi dovrebbe implicare che ciascuna società risponda alle autorità del proprio Paese, quando la gestione delle misure di sicurezza è nella stragrande maggioranza dei casi centralizzata in un unico Paese UE (se non al di fuori dell’UE) e i servizi prestati sono identici?

Come sappiamo, ogni Paese UE sta trasponendo e successivamente implementando la Direttiva NIS2 con significative differenze da uno Stato all’altro, sia nella fase preliminare di identificazione, sia nella fase applicativa.

Il risultato finale è che le società appartenenti a gruppi operanti in diversi Paesi UE, ma che forniscono i medesimi servizi ICT in tutta l’Unione, si trovano a dover interfacciarsi con autorità nazionali differenti in relazione a scelte di cybersecurity spesso non decise da loro, e ad applicare specifiche operative, organizzative e tecniche che variano da Paese a Paese.

Questo approccio può comportare problemi significativi per molti gruppi internazionali.