10 Gennaio 2026

Imprese, Fornitori di servizi digitali, Stabilimento principale

Posted by mazza

in News

Decreto legislativo n. 138/2024

Aggiornamento FAQ di ACN sulla definizione di stabilimento principale per i soggetti fornitori di servizi digitali e sull’individuazione del soggetto obbligato alla notifica nelle relazioni tra soggetti NIS

L’Agenzia per la cybersicurezza nazionale “ACN”, ha recentemente aggiornato alcune FAQ relative al decreto legislativo n. 138/2024 cd. “decreto NIS”, con cui è stata recepita nel nostro ordinamento la direttiva UE 2022/2555 cd. NIS 2. In particolare, l’aggiornamento riguarda due profili.

Il primo profilo riguarda la definizione di stabilimento principale riguardo a specifici soggetti fornitori di servizi digitali, che determina la giurisdizione dello Stato membro a cui tali soggetti devono essere sottoposti.

Ricordiamo che il decreto NIS, all’articolo 3, prevede che per rientrare nell’ambito di applicazione i soggetti devono essere sottoposti alla giurisdizione nazionale.

La regola generale prevista dall’articolo 5, è quella per cui i soggetti stabiliti sul territorio nazionale, compresi i soggetti di altri Stati membri ed extra UE[1], sono considerati sotto la giurisdizione nazionale.

Tuttavia, per una serie di specifici soggetti fornitori di servizi digitali[2], tenuto conto della peculiarità delle attività e dei servizi che prestano, il decreto NIS prevede che essi siano sottoposti alla giurisdizione dello Stato membro in cui hanno lo stabilimento principale nell’Unione.

Nel caso in cui tali soggetti hanno il proprio stabilimento principale in Italia, si applicherà la giurisdizione nazionale.

L’ACN aggiorna le FAQ 2.8, 2.10, 3.1 e 3.15, specificando che, tenuto conto del fatto che la direttiva NIS 2 e il decreto NIS si applicano alla singola persona giuridica, lo stabilimento principale di tale persona giuridica è da individuarsi tra le sedi di quest’ultima, senza che rilevino a tal fine le imprese collegate di cui all’articolo 1, comma 1, lettera cc), della Determinazione ACN 333017/2025, e le relative sedi.

Il secondo profilo riguarda l’individuazione del soggetto su cui ricade l’obbligo di notifica al CSIRT Italia, di cui all’articolo 25 del decreto NIS, nel caso di incidente significativo sui sistemi informativi e di rete, quando l’incidente coinvolge una relazione cliente-fornitore tra soggetti NIS.

Le FAQ aggiornate riguardano tre specifici casi.

La FAQ ISB.F.1, prevede che nel caso di incidente significativo sui sistemi informativi e di rete di un soggetto NIS “cliente” in favore del quale un soggetto NIS “fornitore” eroga servizi, l’obbligo di notifica al CSIRT Italia è in capo al soggetto NIS cliente che potrà poi coinvolgere il fornitore nella fase di gestione dell’incidente[3].

La FAQ ISB.F.2 chiarisce che nel caso di incidente significativo sui sistemi informativi e di rete di un soggetto NIS “fornitore” che eroga servizi in favore di un soggetto NIS “cliente”, l’obbligo di notifica è in capo al soggetto fornitore. L’obbligo è, inoltre, in capo anche al soggetto NIS “cliente” se l’incidente significativo si configura quale incidente significativo anche in relazione ai servizi e alle attività del cliente[4].

Infine, la FAQ ISB.F.3, prevede che nel caso di incidente significativo sui sistemi informativi e di rete di un soggetto NIS “cliente” in favore del quale un soggetto NIS “fornitore” eroga servizi cloud, l’obbligo di notifica al CSIRT Italia è in capo sia soggetto NIS “cliente” che al soggetto NIS “fornitore”, ad eccezione del caso in cui il servizio cloud erogato sia di tipo IAAS (infrastructure as a service) o di hosting dell’infrastruttura del cliente.

In queste specifiche fattispecie l’obbligo è, quindi, in capo al solo soggetto NIS “cliente”.

[1] Cfr. FAQ ACN 2.9.

[2] I fornitori di servizi di sistema di nomi di dominio (DNS), i registri dei nomi di dominio di primo livello, i soggetti che forniscono servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distributori dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati on line, di motori di ricerca on line o di piattaforme di servizi di social network.

[3] La FAQ prevede, a titolo di esempio, che nel caso in cui il fornitore eroghi servizi gestiti di sicurezza (come, ad esempio, un servizio di Security Operation Center – SOC) oppure servizi gestiti (come, ad esempio, la manutenzione e la gestione di un impianto di riscaldamento, ventilazione e condizionamento dell’aria – HVAC), un incidente che occorre sui sistemi informativi e di rete del cliente soggetto NIS, dovrà essere notificato da quest’ultimo.

[4] La FAQ, prevede, a titolo di esempio, che nel caso in cui il fornitore eroghi servizi gestiti (come, ad esempio, l’amministrazione di un sistema di gestione degli impianti – BMS) in favore del soggetto NIS cliente, un incidente significativo che occorre sui sistemi informativi e di rete del fornitore soggetto NIS ma che ha impatto sui servizi e attività del cliente tale da configurarlo come incidente significativo per il cliente, dovrà essere notificato sia dal soggetto fornitore che dal soggetto cliente.

23/12/2025

Fonte Assonime