La disciplina NIS2 segna un passaggio concettuale rilevante nella regolazione della cybersecurity: il perimetro della responsabilità non coincide più necessariamente con la sede legale del soggetto formalmente vigilato, né con i confini societari della singola legal entity. Nel contesto dei gruppi multinazionali, delle architetture cloud distribuite, dei servizi gestiti, delle piattaforme condivise e delle funzioni di sicurezza centralizzate, la sicurezza informatica non è più allocata secondo una logica puramente territoriale, ma secondo una logica funzionale.Il D.Lgs. 138/2024, di recepimento della Direttiva NIS2, deve essere letto esattamente in tale prospettiva. L’art. 3 individua l’ambito di applicazione soggettivo del decreto, includendo i soggetti pubblici e privati appartenenti alle tipologie indicate negli allegati e sottoposti alla giurisdizione nazionale ai sensi dell’art. 5. La norma, tuttavia, non si limita a recepire criteri dimensionali o settoriali. Essa contiene clausole di attrazione ulteriori, funzionali a intercettare soggetti che, pur non apparendo immediatamente come operatori nazionali autonomi, incidono in modo essenziale sulla sicurezza, sulla continuità e sull’affidabilità dei servizi erogati da soggetti essenziali o importanti.In tale quadro, la vera novità non consiste soltanto nell’ampliamento quantitativo dei soggetti inclusi nel perimetro NIS2, ma nella trasformazione qualitativa del criterio di rilevanza. La domanda regolatoria non è più soltanto: “dove ha sede il soggetto?”. Diventa, piuttosto: “chi decide la sicurezza?”, “chi gestisce i sistemi?”, “chi effettua le operazioni cyber?”, “da quale fornitore dipende la continuità del servizio?”, “quale società del gruppo esercita un’influenza determinante sulle misure di gestione del rischio?”.Indice degli argomenti