La vigilanza e le sanzioni previste dal nuovo decreto di attuazione della direttiva Nis 2 in ambito di cybersicurezza

Il decreto di attuazione prevede un salto di qualità delle sanzioni amministrative, rafforza il ruolo di ACN e prevede tra le misure accessorie anche la sospensione dei manager.

Il decreto Nis 2 prevede come chiave di volta per garantire un livello elevato di sicurezza informatica le attività di vigilanza svolte dall’Autorità nazionale per la cybersicurezza ACN . Le sopra citate attività ricomprendono il monitoraggio, l’analisi e il supporto la verifica e le ispezioni l’adozione di misure di esecuzione l’irrogazione di sanzioni amministrative pecuniarie e accessorie.  L’Agenzia per la cybersicurezza nazionale può effettuare, ai sensi dell’articolo 36 del decreto, specifiche verifiche documentali ad oggetto i documenti e le informazioni trasmesse all’Autorità nazionale competente NIS e può sottoporre le imprese e le pubbliche amministrazioni a ispezioni in loco e a distanza, compresi i controlli causali.  L’ACN può richiedere ai soggetti rientranti nell’ambito di applicazione del decreto dati, documenti e altre informazioni necessarie allo svolgimento dei propri poteri. Per i soggetti considerati importanti, i poteri di verifica e ispezione si applicano solo se ACN ha prove, indicazioni o informazioni che suggeriscano possibili violazioni del decreto. Ai sensi del Decreto si considerano “soggetti importanti” tutti i soggetti pubblici e privati che rientrano  nell’ambito di applicazione del decreto articolo 3 e che non sono considerati essenziali. Sono “soggetti essenziali” i soggetti operanti nei settori ad alta criticità indicati nell’allegato I che superano i massimali per le medie imprese occupanti più di 249 persone e il cui fatturato annuo superi i 50 milioni di euro . L’Agenzia per la cybersicurezza nazionale è competente alla irrogazione delle sanzioni amministrative, e a tal fine tiene anche conto degli esiti delle attività di monitoraggio, supporto e analisi, delle risultanze dell’esercizio dei suoi poteri di verifica e ispettivi, nonché dell’esercizio dei poteri di esecuzione. L’Agenzia per la cybersicurezza nazionale ACN con proprie determinazioni, sentito il Tavolo attuazione NIS, può specificare laddove necessario i criteri per la determinazione dell’importo delle sanzioni per le violazioni, e adottare le misure necessarie per assicurarne l'effettività, la proporzionalità, la dissuasiva e l’applicazione nei confronti dei soggetti importanti, unicamente qualora l’autorità nazionale ni acquisisca o riceva elementi di prova, indicazioni o informazioni che suggeriscano possibili violazioni del decreto. ACN, nell’esercizio dei suoi poteri di esecuzione di cui al citato articolo 37, può richiedere, a seguito di verifiche e ispezioni, ai soggetti che rientrano nell’ambito di applicazione della direttiva oggetto di recepimento di fornire informazioni o di adempiere a specifichi obblighi articolo 37, commi 2-5 . In caso di inadempienza, l’ACN diffida il soggetto ad adempiere entro un dato termine articolo 37, commi 6 e 7 . Se anche dopo il decorso di tale termine le inadempienze permangono, l’ACN può sospendere l’attività del soggetto articolo 38, commi 4-7 .  Qualora il soggetto non adempia nei termini stabiliti dalla diffida di ACN, l’autorità nazionale Nis può sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo  giurisdizionale, ai sensi della normativa vigente, di sospendere temporaneamente un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale. Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di ACN. La sospensione delle attività riguarda sia le persone giuridiche, sia le persone fisiche, quali dirigenti e rappresentanti legali articolo 38, sesto comma . Per questi ultimi la sanzione comporta la incapacità di svolgere funzioni dirigenziali presso il soggetto interessato. La sospensione temporanea p applicato finché il soggetto interessato non adotti le misure necessarie a porre rimedio alle carenze emerse o alle diffide di ACN. La sospensione non viene applicata nei confronti delle pubbliche amministrazioni e dei soggetti partecipati o sottoposti a controllo pubblico comma 4, ultimo periodo , né nei confronti dei dipendenti pubblici per i quali si applicano le norme in materia di responsabilità dei dipendenti pubblici e dei funzionari e può costituire causa di responsabilità disciplinare e amministrativo contabile.  Le sanzioni individuate per la violazione degli obblighi previsti in capo agli operatori di servizi essenziali prevedono un massimo di 10 milioni di euro o del 2% del fatturato annuo su scala mondiale per l’esercizio precedente se tale importo è superiore. Per i soggetti importanti le sanzioni a parte le pubbliche amministrazioni prevedono un massimo di 7 milioni o del 1,4% del fatturato annuo mondiale se tale importo è superiore. Per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti importanti, viene previsto che le sanzioni amministrative pecuniarie sono ridotte di un terzo Le sanzioni più frequenti che potrebbero essere applicate da ACN riguardano la mancata o tardiva registrazione nella piattaforma digitale da parte dei soggetti essenziali e dei soggetti importanti la mancata osservanza degli obblighi relativi alla notifica di incidente. In caso di mancata osservanza degli obblighi relativi alla notifica di incidente di cui all’articolo 25, da parte delle pubbliche amministrazioni di cui all’allegato III, nonché dei soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico si applicano le sanzioni amministrative solo in caso di reiterazione specifica nell’arco di cinque anni. I proventi delle sanzioni amministrative pecuniarie saranno versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale. Viene prevista la possibilità di ACN di pubblicare on line l’elenco delle imprese sanzionate e relativi importi con un grave danno reputazionale per le organizzazioni. La qualità dell’apparato sanzionatorio e dei poteri di vigilanza di ACN impongono l’inserimento del tema cybersecurity nell’agenda di ogni consiglio di amministrazione delle imprese e delle pubbliche amministrazioni che rientrano nell’ambito di applicazione della Direttiva Nis 2.

Decreto legislativo 4 settembre 2024, numero 138 in G.U. del 1 ottobre 2024, numero 230