Il Decreto Legislativo 138/2024 ridefinisce radicalmente il perimetro di responsabilità cybersecurity nei gruppi multinazionali. Per la prima volta, il D.Lgs. introduce criteri funzionali e non più esclusivamente territoriali o giuridici, ridefinendo il ruolo di imprese collegate, fornitori esteri e di funzioni operative chiave all’interno della catena di fornitura digitale. La Direttiva NIS2 diventa l’assetto regolativo di riferimento e il D.Lgs. 138/2024 rappresenta il suo recepimento nazionale, con importanti innovazioni che vanno al di là della mera dimensione o settorialità tradizionale.

La disciplina NIS2 segna un passaggio concettuale rilevante nella regolamentazione della cybersecurity. Il perimetro della responsabilità non coincide più necessariamente con la sede legale di un soggetto, né con i confini societari della singola legal entity. Oggi, in contesti di architetture cloud distribuite, servizi gestiti, piattaforme condivise e funzioni di sicurezza centralizzate, la cybersecurity viene distribuita in modo funzionale, spesso transfrontaliero.

Il D.Lgs. 138/2024 deve essere letto esattamente in questa prospettiva. L’Art. 3, che individua l’ambito applicativo, non si limita a includere solo soggetti privati e pubblici appartenenti a tipologie definite negli allegati, ma introduce criteri qualitativi di rilevanza che vanno ben oltre i confini societari. La norma include, infatti, soggetti che non appaiono autonomamente regolati a livello nazionale, ma che risultano essenziali per l’erogazione, la continuità o l’affidabilità di servizi critici.

La vera novità non sta quindi solo nel numero maggiore di soggetti inclusi, ma nella trasformazione qualitativa del criterio di rilevanza. La domanda non è più solo “dove si trova il soggetto?” ma si evolve verso altre dimensioni: “Chi decide la sicurezza? Chi gestisce i sistemi? Chi effettua le operazioni cyber? Da quale fornitore dipende la continuità del servizio? Quale società di un gruppo esercita un’influenza essenziale sulle misure di gestione del rischio?”

Nei gruppi multinazionali, i rischi sono spesso connessi al fatto che la società italiana operante in un settore NIS dipenda da strutture estere del medesimo gruppo. Non è raro che il Security Operation Center sia situato in un altro Stato membro o che la gestione delle politiche di cybersecurity avvenga a livello centrale. Allo stesso modo, l’identity management può essere amministrato da un ente estero, l’infrastruttura cloud gestita da una procurement entity internazionale.

In un modello tradizionale, tali configurazioni avrebbero creato un forte disallineamento tra il soggetto legalmente vigilato e il soggetto effettivamente decisionale in materia di sicurezza. Il soggetto formalmente responsabile, ovvero la società italiana, sarebbe stato privo di controllo sui fattori che determinano la resilienza del sistema. Il D.Lgs. 138/2024 introduce un meccanismo mirato a ridurre questa frattura: punta a includere nel perimetro anche coloro che operano, gestiscono o decidono aspetti rilevanti della cybersecurity, anche quando non siano in Italia e non siano formalmente parte integrante.

L’Art. 3, comma 10, rappresenta un punto centrale in questo contesto. La norma estende l’applicazione del decreto anche alle imprese collegate a un soggetto NIS, anche se esterne al territorio italiano, nel momento in cui essi adottino decisioni o esercitino un’influsso dominante sulle misure di gestione del rischio cybersecurity. Inoltre, l’Art. 3, comma 10, include imprese che gestiscono sistemi informatici e di rete rilevanti per l’erogazione dei servizi, operazioni di sicurezza informatica e fornitura di servizi ICT o di sicurezza, anche se gestita da terzi.

La norma ha un’ampia portata ed è mirata a prevenire elusioni regolatorie attraverso una segmentazione societaria artificiosa. Se in una società italiana rientrante nei settori NIS la cybersecurity dipende da strutture estere del medesimo gruppo, la legge prevede di guardare oltre la struttura formale e di individuare il soggetto che, in pratica, governa la postura di sicurezza.

Tuttavia, non è corretto considerare l’Art. 3, comma 10, una clausola di validità extraterritoriale automatica. Essa non fa sì che qualsiasi impresa estera legata a una società NIS italiana rientri automaticamente nel perimetro giuridico del D.Lgs. 138/2024, bensì prevede la sua applicazione solo quando esista un legame funzionale reale tra il gruppo e le decisioni inerenti la cybersecurity.

Lo spostamento della responsabilità si basa dunque su un ruolo concreto che l’impresa estera svolge rispetto al soggetto NIS. La società può diventare rilevante, ma non per il fatto di essere collegata o estera, bensì per il ruolo che svolge riguardo alla gestione della cybersecurity.

Da questa ottica, il comma 10 dell’Art. 3 rappresenta una norma antielusiva. Impedisce ad aziende di utilizzare la frammentazione societaria per svincolare la cybersecurity da controllo e responsabilità nazionali. In pratica, un gruppo multinazionale non può contare sul fatto che la società italiana rappresenti soltanto un terminale operativo di infrastrutture gestite altrove, se tali gestioni sono decisive per la resilienza richiesta dal regolamento NIS2.

Una situazione diversa si presenta con i fornitori terzi esteri. L’art. 3, comma 10 si applica alle imprese collegate al soggetto NIS, ma non è l’unica normativa rilevante per estendere la vigilanza all’estero. Anche i fornitori terzi esteri possono rientrare nel perimetro di applicazione del decreto. In questo caso, l’atto giuridico chiave è l’Art. 3, comma 9, lettera f), del D.Lgs., che stabilisce che qualsiasi soggetto costituisca un elemento sistemico nella supply chain digitale di un soggetto NIS, rientri automaticamente nel perimetro applicativo.

Per essere ritenuti rilevanti, però, i fornitori devono dimostrare una funzionalità cruciale per l’erogazione di servizi critici. Non ogni fornitore estero è automaticamente un elemento sistemico. Lo diventa solo quando la sua prestazione abbia un impatto diretto sulla continuità del servizio, sulla sua sicurezza o sulle sue operazioni.

Per verificare se un fornitore estero rientra in questa categoria, si utilizzano criteri di rilevanza sostanziale, come: se il fornitore sia sostituibile; se la sua compromissione possa generare impatti significativi; se il servizio fornito sia strettamente connesso alle attività NIS; se esistano soluzioni alternative realizzabili; se gestisca componenti digitali critici, sistemi operativi, infrastrutture, servizi ICT o funzioni di sicurezza.