Rischio sanzioni per le imprese per il mancato rispetto degli obblighi stabiliti dalla nuova Direttiva NIS2: si va dalla sospensione dell’attività di impresa alla impossibilità di svolgere funzioni dirigenziali all’interno dell’impresa.
I vertici e gli organi di amministrazione sono chiamati a monitorare la cybersicurezza aziendale e a stanziare adeguati investimenti al fine di prevenire rischi legati al verificarsi di reati informatici.
Una nuova compliance digitale
Il d.lgs. 138/2024 (recepimento della Direttiva UE “NIS2” 2022/2555) ha previsto una serie di obblighi e adempimenti alle quali le imprese debbono conformarsi. Per semplicità si possono suddividere in tre categorie:
- iscrizione negli elenchi tenuti dalla Autorità nazionale per la cybersicurezza (entro il 28 febbraio);
- pianificazione e gestione dei rischi per la sicurezza informatica;
- notifica e segnalazione degli attacchi e degli incidenti.
La Direttiva, al fine di parametrare e diversificare adempimenti e sanzioni, distingue fra soggetti essenziali e soggetti importanti, a seconda della priorità di intervento.
I controlli sugli adempimenti, di conseguenza, saranno parametrati in modo graduale a seconda delle necessità: a tal fine si è precisato che occorre distinguere le attività di monitoraggio delle verifiche dalle ispezioni.
Nel primo caso l’Autorità nazionale per la cybersicurezza agisce con lo scopo di assistere ed agevolare l’esatto adempimento degli obblighi. Attività di questo tipo possono essere l’invito a svolgere audit sulla sicurezza o test e scansioni sulla sicurezza in atto. Successivamente l’autorità potrà impartire raccomandazioni e fissare termini per rimediare ad eventuali carenze o lacune.
Nel secondo caso si mira ad accertare eventuali violazioni mediante le verifiche di documentazione e informazioni trasmesse all’Autorità nazionale cybersicurezza. E’ possibile anche svolgere ispezioni in sede, richieste di documentazione e altre informazioni.
L’attualità della Direttiva sta anche nella modalità operativa dei controlli, che debbono basarsi su scambi di natura collaborativa come, ad esempio, la richiesta di informazioni, dati o notizie alle imprese anche al fine di poter prevenire non solo le sanzioni ma anche dei veri e propri reati informatici, grazie alle istruzioni impartite dalla autorità.
Il passaggio successivo è rappresentato dalla diffida, che segna il passaggio a misure molto temibili, tanto di natura pecuniaria quanto interdittiva. Il d.lgs. prevede delle sanzioni basate sulla sospensione delle attività in caso di inadempienza ed ottemperanza alle diffide dell’Autorità.
La sospensione può colpire tanto le persone fisiche quanto quelle giuridiche.
La sospensione non si applica nei confronti delle pubbliche amministrazioni e dei soggetti partecipati o sottoposti a controllo pubblico e ciò per esigenze di continuità dell’attività dell’attività amministrativa, connessa a interessi pubblici ineludibili.
Come spiegato recentemente da Assonime, il decreto pone chiare responsabilità in capo agli organi amministrativi e direttivi dell’impresa, portando gli organi a partecipare attivamente al processo decisionale sulla cybersicurezza promuovendo una relazione diretta e flussi costanti di informazioni, con i soggetti che si occupano della cybersicurezza all’interno dell’impresa.
Sono previste anche sanzioni pecuniarie per le imprese che non adempiono correttamente agli obblighi imposti. Si distinguono anche in questo caso due tipologie di sanzioni.
Nel primo gruppo si ricomprendono le violazioni degli obblighi a carico degli organi di amministrazione e direttivi di quelli in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica degli incidenti. Per queste violazioni la sanzione economica può arrivare fino al 2% del fatturato per i soggetti essenziali e all’1,4% per i soggetti importanti.
Per le pubbliche amministrazioni non compliant la sanzione può arrivare fino a 125.000 euro.
La seconda categoria comprende le violazioni degli obblighi di registrazione e di aggiornamento delle informazioni sulla piattaforma di ACN e di mancata collaborazione.
Per queste violazioni la sanzione può arrivare fino allo 0,1% del fatturato per i soggetti essenziali e allo 0,7% per i soggetti importanti. Per le pubbliche amministrazioni non supera i 50.000 auro.
Infine è stato previsto anche un procedimento di ravvedimento operoso con possibilità di evitare la sanzione pecuniaria o di pagare in misura ridotta.
