NIS2 quando la vostra sede è al di fuori dell'UE
NIS2 segue il servizio, non l'intestazione della carta. Se vendete nell'UE in uno dei settori coperti, l'articolo 26 della direttiva decide quale Stato membro vi vigila e se vi serve un rappresentante designato all'interno dell'Unione.
In breve
Molti fondatori presumono che una società madre statunitense, britannica o svizzera li collochi al di fuori di NIS2. Non è così che funziona la direttiva. L'articolo 26 di NIS2 lega la giurisdizione al luogo in cui il servizio è offerto e in cui sono prese le decisioni sulla sicurezza informatica, non al luogo in cui la società è costituita.
Se siete una normale entità settoriale (energia, acqua, trasporti, fabbricazione, alimenti, sanità, rifiuti, pubblica amministrazione e così via), la vigilanza segue gli stabilimenti che gestite effettivamente nell'Unione. Se avete una società figlia tedesca, il BSI vigila su tale società figlia. Se avete uffici in tre Stati membri, ciascuno è vigilato a livello locale.
Se rientrate in uno dei settori digitali elencati all'articolo 26, paragrafo 3 (DNS, registri TLD, fornitori di servizi cloud, fornitori di servizi di data center, reti di distribuzione di contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, mercati online, motori di ricerca online, servizi di rete sociale), le regole sono più rigorose. Un unico stabilimento principale vi vigila per l'intera Unione e, se la vostra sede è al di fuori dell'UE, dovete designare un rappresentante all'interno dell'Unione ai sensi dell'articolo 26, paragrafo 4.
Articolo 26, paragrafo 2, della direttiva NIS2 (2022/2555)
For the purposes of this Directive, an essential or important entity shall be deemed to have its main establishment in the Union in the Member State where the decisions related to the cybersecurity risk-management measures are predominantly taken. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where cybersecurity operations are carried out. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where the entity concerned has the establishment with the highest number of employees in the Union.
Questa è la cascata che decide chi vi vigila quando più di uno Stato membro potrebbe plausibilmente rivendicare la giurisdizione. Si applica alle entità nei settori digitali indicati all'articolo 26, paragrafo 3. Le decisioni sulla sicurezza informatica vengono prima, le operazioni di sicurezza informatica seconde, il numero di dipendenti terzo.
Articolo 26, paragrafo 4, della direttiva NIS2 (2022/2555)
Where an entity referred to in paragraph 1, point (b), is not established in the Union but offers services within the Union, it shall designate a representative in the Union. The representative shall be established in one of those Member States where the services are offered. Such an entity shall be deemed to be under the jurisdiction of the Member State where the representative is established. In the absence of a representative within the Union designated under this Article, any Member State in which the entity provides services may take legal actions against the entity for the infringement of this Directive.
Si legge come un obbligo per le entità extra-UE nei settori digitali dell'articolo 26, paragrafo 3. Il rappresentante diventa il punto di contatto e ancora la giurisdizione. L'articolo 27 aggiunge poi l'obbligo di registrazione: il rappresentante iscrive l'entità nel registro gestito dall'ENISA per conto dell'entità.
§28 BSIG (Germania)
Wesentliche und wichtige Einrichtungen unterliegen der Aufsicht des Bundesamtes, soweit sich aus Artikel 26 der Richtlinie (EU) 2022/2555 die Zuständigkeit der Bundesrepublik Deutschland ergibt.
Il BSIG rispecchia la direttiva: il BSI vi vigila in Germania se l'articolo 26 di NIS2 colloca lì la giurisdizione. Non esiste una verifica di giurisdizione nazionale separata. La cascata della direttiva è la verifica.
Regola generale: la giurisdizione segue lo stabilimento
Al di fuori dei settori digitali, siete vigilati in ciascuno Stato membro in cui avete uno stabilimento giuridico. Un gruppo statunitense con una GmbH tedesca e una GmbH austriaca è vigilato dal BSI per l'entità tedesca e dall'autorità austriaca per l'entità austriaca. L'articolo 26, paragrafo 2, risolve solo il criterio dirimente tra Stati membri per i settori digitali coperti dall'articolo 26, paragrafo 3.
Regola speciale per i settori digitali
I fornitori di servizi DNS, i registri TLD, i servizi di cloud computing, i servizi di data center, le reti di distribuzione di contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i mercati online, i motori di ricerca online e le piattaforme di rete sociale hanno un unico stabilimento principale nell'Unione. Quel singolo Stato membro vi vigila in tutta l'UE. La cascata dell'articolo 26, paragrafo 2, decide quale Stato membro sia.
Obbligo del rappresentante per i fornitori extra-UE
Se rientrate in uno dei settori digitali dell'articolo 26, paragrafo 3, e non siete stabiliti nell'Unione, dovete designare un rappresentante all'interno dell'Unione. Il rappresentante deve trovarsi in uno Stato membro in cui offrite effettivamente il servizio. La giurisdizione segue quindi il rappresentante. In assenza di esso, qualsiasi Stato membro in cui servite clienti può intraprendere un'azione legale ai sensi della direttiva.
Un solo supervisore, non cinque
Per i settori digitali dell'articolo 26, paragrafo 3, la regola dello stabilimento principale significa un solo supervisore per l'intera Unione. Ciò evita la situazione in cui un fornitore di servizi cloud con clienti in ogni Stato membro venga sottoposto ad audit ventisette volte per gli stessi controlli. La cascata dell'articolo 26, paragrafo 2, sceglie il supervisore in un ordine prevedibile: prima le decisioni sulla sicurezza informatica, seconde le operazioni di sicurezza informatica, terzo il numero di dipendenti nell'UE.
Nessuna via di fuga attraverso una sede straniera
L'articolo 26, paragrafo 4, chiude il cerchio. Un fornitore extra-UE nei settori digitali coperti non può offrire servizi nell'Unione senza un rappresentante designato al suo interno. In assenza di esso, qualsiasi Stato membro in cui il servizio è venduto può intraprendere un'azione legale. La costituzione negli Stati Uniti, nel Regno Unito o in Svizzera non vi sposta fuori dall'ambito di applicazione se il servizio tocca l'Unione.
BSI / §28 e §33 BSIG
Il BSI è l'autorità di vigilanza per le entità il cui stabilimento principale o la cui società figlia tedesca le colloca sotto la giurisdizione tedesca. La registrazione passa attraverso il portale nazionale del BSI, che alimenta il registro dell'ENISA ai sensi dell'articolo 27. Per le entità del settore digitale con stabilimento principale in Germania, il BSI è il punto di contatto unico per l'intera Unione.
Registro dell'ENISA ai sensi dell'articolo 27
L'ENISA gestisce il registro centrale per i settori digitali indicati all'articolo 27, paragrafo 2: fornitori di DNS, registri TLD, cloud, data center, reti di distribuzione di contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, mercati online, motori di ricerca online, servizi di rete sociale. Gli Stati membri vi inseriscono i dati delle entità. Il registro è ciò che rende praticabile la vigilanza transfrontaliera.
Leggi nazionali di recepimento
Ogni Stato membro ha una legge di recepimento (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet) e un'autorità nazionale competente. La cascata dell'articolo 26 è identica in tutta l'Unione perché risiede nella direttiva. Ciò che differisce è il portale, la lingua e il supervisore locale con cui parlate effettivamente.
Siamo una società statunitense, quindi NIS2 non si applica a noi.
NIS2 segue il servizio nell'Unione, non l'intestazione della carta. Se rientrate in uno dei settori digitali indicati all'articolo 26, paragrafo 3, e offrite il servizio a clienti nell'UE, l'articolo 26, paragrafo 4, vi impone di designare un rappresentante nell'Unione. Se operate attraverso una società figlia UE in qualsiasi altro settore coperto, la società figlia stessa rientra nell'ambito di applicazione. La costituzione della società madre non è la verifica.
Abbiamo uffici in sei Stati membri, quindi ci registriamo sei volte.
Per i settori digitali dell'articolo 26, paragrafo 3, avete un unico stabilimento principale e un solo supervisore per l'intera Unione. La cascata dell'articolo 26, paragrafo 2, lo sceglie: prima dove sono prese le decisioni sulla sicurezza informatica, secondo dove risiedono le operazioni di sicurezza informatica, terzo lo stabilimento UE con il maggior numero di dipendenti. Al di fuori di tali settori digitali, vi registrate effettivamente per ciascuno Stato membro in cui siete stabiliti, ma al loro interno no.
Abbiamo sede in Svizzera, quindi siamo fuori da NIS2 perché la Svizzera non è nell'UE.
La Svizzera non è uno Stato membro dell'UE, ma la direttiva raggiunge comunque le società svizzere che vendono nell'Unione in un settore coperto. Un MSP svizzero che serve clienti tedeschi o opera attraverso una società figlia UE che diventa l'entità regolamentata, oppure, per i settori digitali dell'articolo 26, paragrafo 3, deve designare un rappresentante nell'UE ai sensi dell'articolo 26, paragrafo 4. La stessa logica si applica ai fornitori del Regno Unito, degli Stati Uniti e di altri Paesi terzi.
Lo schema pulito: stabilite se il vostro settore figura nell'elenco dell'articolo 26, paragrafo 3, prima di fare qualsiasi altra cosa. In caso affermativo, il vostro compito è scegliere un unico stabilimento principale, documentare per iscritto la cascata dell'articolo 26, paragrafo 2 (decisioni, operazioni, numero di dipendenti), e registrarvi attraverso il portale di quello Stato membro oppure designare un rappresentante se siete extra-UE. In caso negativo, mappate i vostri stabilimenti UE e registrate ciascuno presso la rispettiva autorità nazionale.
Lo schema disordinato che vediamo più spesso è quello delle società madri che cercano di mantenere tutto il processo decisionale sulla sicurezza informatica presso la sede al di fuori dell'Unione, sostenendo nel contempo che la società figlia UE è autonoma. La cascata dell'articolo 26, paragrafo 2, non si cura degli organigrammi. Guarda al luogo in cui le decisioni sono effettivamente prese. Se la risposta è 'presso la sede di Boston', la società figlia UE rientra comunque nell'ambito di applicazione attraverso il proprio stabilimento, e le entità del settore digitale necessitano comunque del rappresentante dell'articolo 26, paragrafo 4. La via più pulita è decidere dove nell'Unione risiedono le decisioni, documentarlo e smettere di gestire strutture di controllo parallele.
Acquisiamo la cascata dell'articolo 26 come parte del flusso di lavoro di applicabilità e registrazione. La piattaforma pone le domande nell'ordine proprio della direttiva: quale settore, quali Stati membri con stabilimenti, dove sono prese le decisioni sulla sicurezza informatica, dove risiedono le operazioni di sicurezza informatica, numero di dipendenti UE. Il risultato è uno stabilimento principale documentato con la motivazione scritta una volta sola, non ricavata di nuovo a ogni audit.
Per i gruppi extra-UE nei settori dell'articolo 26, paragrafo 3, la piattaforma traccia il rappresentante designato come entità separata con i propri dati di contatto e il proprio Paese di stabilimento. I dati di registrazione dell'articolo 27 fluiscono dallo stesso record, in modo che la presentazione al portale nazionale e l'alimentazione del registro dell'ENISA attingano dalla stessa fonte anziché da un foglio di calcolo parallelo.
- Direttiva (UE) 2022/2555 (NIS2), articoli 26 e 27 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Legge sul BSI (BSIG), §28 e §33 come modificata dalla legge di attuazione di NIS2 e di rafforzamento della sicurezza informatica
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR) sui requisiti tecnici e metodologici specifici per settore — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Registro dell'ENISA ai sensi dell'articolo 27, paragrafo 2, di NIS2 — enisa.europa.eu
- BSI Infopakete su ambito di applicazione e registrazione di NIS2 — bsi.bund.de/dok/nis-2-infopakete