1. Gli enti che rientrano nell'ambito di applicazione della presente direttiva sono considerati soggetti alla giurisdizione dello Stato membro in cui sono stabiliti, tranne nel caso di:
(a) i fornitori di reti pubbliche di comunicazione elettronica o i fornitori di servizi di comunicazione elettronica accessibili al pubblico, che si considerano soggetti alla giurisdizione dello Stato membro in cui forniscono i loro servizi;
(b) Fornitori di servizi DNS, registri di nomi TLD, entità che forniscono servizi di registrazione di nomi di dominio, servizio di cloud computing fornitori, servizio di centro dati fornitori, rete di distribuzione dei contenuti fornitori di servizi, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, nonché fornitori di mercati online, di motori di ricerca online o di piattaforme di servizi di social network, che si considerano soggetti alla giurisdizione dello Stato membro in cui hanno lo stabilimento principale nell'Unione ai sensi del paragrafo 2;
(c) gli enti della pubblica amministrazione, che si considerano sotto la giurisdizione dello Stato membro che li ha istituiti.
2. Ai fini della presente direttiva, un entità di cui al paragrafo 1, lettera b), si considera che abbia la sua sede principale nell'Unione nello Stato membro in cui le decisioni relative alla sicurezza informatica rischio-misure di gestione sono prevalentemente adottate. Se tale Stato membro non può essere determinato o se tali decisioni non sono prese nell'Unione, si considera che lo stabilimento principale si trovi nello Stato membro in cui vengono effettuate le operazioni di cibersicurezza. Se non è possibile determinare tale Stato membro, si considera che lo stabilimento principale si trovi nello Stato membro in cui l'entità interessata ha lo stabilimento con il maggior numero di dipendenti nell'Unione.
3. Se un'entità di cui al paragrafo 1, lettera b), non è stabilita nell'Unione, ma offre servizi all'interno dell'Unione, essa designa una rappresentante nell'Unione. Il rappresentante deve essere stabilito in uno degli Stati membri in cui vengono offerti i servizi. Tale entità è considerata soggetta alla giurisdizione dello Stato membro in cui il rappresentante è stabilito. In assenza di un rappresentante nell'Unione designato ai sensi del presente paragrafo, ogni Stato membro in cui l'ente fornisce servizi può intraprendere azioni legali contro l'ente per la violazione della presente direttiva.
4. La designazione di un rappresentante da parte di un ente di cui al paragrafo 1, lettera b), non pregiudica le azioni legali che potrebbero essere avviate contro l'ente stesso.
5. Gli Stati membri che hanno ricevuto una richiesta di assistenza reciproca in relazione a un soggetto di cui al paragrafo 1, lettera b), possono, entro i limiti di tale richiesta, adottare le opportune misure di vigilanza e di applicazione in relazione al soggetto interessato che fornisce servizi o che ha una rete e sistema informativo sul loro territorio.