La Direttiva NIS2 estende il proprio campo di applicazione anche alle entità che operano in settori specifici, anche se non sono stabilite nell’UE. La direttiva pone l’accento su dove un’entità fornisce i propri servizi o svolge le proprie attività, piuttosto che sulla sua sede fisica.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.L’Articolo 2, Paragrafo 1 stabilisce che la direttiva si applica alle entità pubbliche o private dei tipi elencati negli Allegati I o II, “considerate imprese di medie dimensioni… o che superano i limiti previsti per le imprese di medie dimensioni… e che forniscono i propri servizi o svolgono le proprie attività all’interno dell’Unione.“
L’Articolo 2, Paragrafo 2 chiarisce ulteriormente che la direttiva si applica alle entità elencate negli Allegati I o II, indipendentemente dalle loro dimensioni, se i loro servizi sono offerti da:
- Fornitori di reti di comunicazione elettronica pubbliche o di servizi di comunicazione elettronica accessibili al pubblico;
- Prestatori di servizi fiduciari.
L’Articolo 2, Paragrafo 4 specifica che la direttiva si applica anche alle entità che forniscono servizi di registrazione di nomi di dominio, indipendentemente dalle loro dimensioni.
L’Articolo 26 stabilisce la giurisdizione e la territorialità della direttiva. In particolare, l’Articolo 26, Paragrafo 1(b) precisa che alcune entità rientrano nella giurisdizione della direttiva in base alla localizzazione del loro stabilimento principale nell’UE. Questo include i fornitori di servizi del sistema dei nomi di dominio, i registri di nomi di dominio di primo livello, le entità che offrono servizi di registrazione di nomi di dominio, i fornitori di servizi cloud, i fornitori di servizi di data center, i fornitori di reti di distribuzione di contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di marketplace online, motori di ricerca online e piattaforme di social network.
Per garantire la conformità delle entità non stabilite nell’UE ma che offrono servizi all’interno dei suoi confini, l’Articolo 26, Paragrafo 3 impone a tali entità di designare un rappresentante all’interno dell’UE. Questo rappresentante deve essere stabilito in uno degli Stati Membri in cui i servizi sono offerti.
Punti Chiave:
- L’applicabilità della Direttiva NIS2 si basa sul luogo in cui un’entità opera o fornisce servizi, e non esclusivamente sul luogo in cui è stabilita.
- Le entità che operano in settori come le comunicazioni elettroniche, i servizi fiduciari e la registrazione di nomi di dominio, tra gli altri, sono particolarmente soggette alla NIS2 anche se sono stabilite al di fuori dell’UE, se forniscono servizi all’interno dell’Unione.
- Il requisito di designare un rappresentante nell’UE garantisce che le entità esterne all’UE possano essere ritenute responsabili della conformità alla NIS2.
Considerazioni Aggiuntive:
- Non è specificato come l’UE intenda far rispettare la Direttiva NIS2 alle entità che operano in giurisdizioni senza accordi di cooperazione con l’UE. Potrebbe essere necessario approfondire questo aspetto con ulteriori ricerche.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.