Data protection

Come la violazione degli obblighi di cybersicurezza incide sulla carriera dei decisori.

premessa

La direttiva NIS2[1] stabilisce lo scenario di riferimento per le misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione in tutti i settori che rientrano nel suo ambito di applicazione.

Al fine di evitare la frammentazione delle disposizioni in materia di cibersicurezza contenute negli atti giuridici dell’Unione, allorché ulteriori atti giuridici settoriali dell’Unione relativi alle misure di gestione dei rischi di cibersicurezza e agli obblighi di segnalazione siano ritenuti necessari per garantire un elevato livello di cibersicurezza in tutta l’Unione, la Commissione dovrebbe valutare se tali ulteriori disposizioni possano essere stabilite in un atto di esecuzione ai sensi della presente direttiva.

Qualora tali atti di esecuzione non siano adeguati a detto scopo, gli atti giuridici settoriali dell’Unione potrebbero contribuire a garantire un livello elevato di cibersicurezza in tutta l’Unione, tenendo pienamente conto delle specificità e delle complessità dei settori interessati.

A tal fine, la presente direttiva non preclude l’adozione di ulteriori atti giuridici settoriali dell’Unione riguardanti le misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione che tengano debitamente conto della necessità di un quadro di sicurezza informatica globale e coerente.

La presente direttiva lascia impregiudicate le competenze di esecuzione esistenti conferite alla Commissione in una serie di settori, tra cui i trasporti e l’energia.

I soggetti che rientrano nell’ambito di applicazione della presente direttiva ai fini del rispetto delle misure di gestione dei rischi di cibersicurezza e degli obblighi di segnalazione dovrebbero essere classificati in due categorie, essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché delle loro dimensioni.

A tale riguardo, si dovrebbe tenere debitamente conto, se del caso, di tutte le valutazioni settoriali dei rischi o di tutti gli orientamenti pertinenti elaborati dalle autorità competenti.

I regimi di esecuzione e di vigilanza per tali due categorie di soggetti dovrebbero essere differenziati per garantire un giusto equilibrio tra i requisiti e gli obblighi basati sui rischi, da un lato, e gli oneri amministrativi derivanti dalla vigilanza della conformità, dall’altro.

La violazione degli obblighi di cybersicurezza

Per quanto di stretto interesse in questa sede, si richiamano la Direttiva NIS2, art. 32 e il Decreto Legislativo 4 settembre 2024, n. 138[2].

L’art. 32, della Direttiva NIS2, in materia di misure di vigilanza e di esecuzione relative a soggetti essenziali, stabilisce, al punto 5,  che qualora le misure di esecuzione adottate a norma del paragrafo 4, lettere da a) a d), e lettera f)[3], si rivelino inefficaci, gli Stati membri provvedono affinché le proprie autorità competenti abbiano il potere di fissare un termine entro il quale il soggetto essenziale è tenuto ad adottare le misure necessarie a porre rimedio alle carenze o a conformarsi alle prescrizioni di tali autorità. Se le misure richieste non sono adottate entro il termine stabilito, gli Stati membri provvedono affinché le proprie autorità competenti abbiano il potere di:

  1. sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, secondo il diritto nazionale, di sospendere temporaneamente un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale;
  • chiedere che gli organismi o gli organi giurisdizionali pertinenti, secondo il diritto nazionale, vietino temporaneamente a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale soggetto essenziale di svolgere funzioni dirigenziali in tale soggetto.

Le sospensioni o i divieti temporanei a norma del presente paragrafo sono applicati solo finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle prescrizioni dell’autorità competente per le quali le misure di esecuzione sono state applicate. L’imposizione di tali sospensioni o divieti temporanei è soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell’Unione e della Carta, inclusi il diritto a un ricorso effettivo e ad un giusto processo, la presunzione di innocenza e i diritti della difesa.

L’art. 38, del D.Lgs. n. 138/2024, rubricato “Sanzioni amministrative”[4] ai punti 5, 6 e 7 stabilisce:

5. Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza.

6. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS può disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all’articolo 23 dei soggetti essenziali e dei soggetti importanti, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Tale sospensione temporanea è applicata finchè il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7.

7. Ai dipendenti pubblici che esercitano i poteri di cui al comma 5, si applicano le norme in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati. In particolare, la violazione degli obblighi di cui al presente decreto può costituire causa di responsabilità dirigenziale, disciplinare e amministrativo-contabile.

E’ vero che l’irrogazione della sanzione dovrà avvenire nel pieno rispetto di garanzie procedurali appropriate, in conformità ai principi generali del diritto dell’unione, inclusi il diritto a un ricorso effettivo e ad un giusto processo, la presunzione d’innocenza e i diritti della difesa, ma ciò non toglie che i rischi a carico dei decisori (manager e rappresentanti legali) siano effettivamente concreti.

La Circolare ASSONIME n. 1-2025

I soggetti obbligati ad autosegnalarsi all’Agenzia per la Cybersicurezza Nazionale (ACN), ricordiamo che detto obbligo scadrà il 28 febbraio 2025, devono indicare anche gli estremi delle persone fisiche, munite di poteri decisionali, riguardo alle prescrizioni normative.

La recentissima Circolare ASSONIME n. 1/2025[5] prende in considerazione proprio tale aspetto rilevando come il legislatore abbia compiuto un cambio di passo nella gestione degli incidenti legati alla cybersicurezza, stabilendo, altresì, che le organizzazioni soggette alla NIS2, pubbliche e private, debbano “mettere in conto” che in caso di responsabilità acclarate scatta nei confronti delle funzioni apicali, tenute a garantire il rispetto della normativa comunitaria (Direttiva NIS2) e della normativa nazionale (d.lgs. n. 138/2024), la previsione, per l’appunto, del divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale soggetto essenziale di svolgere funzioni dirigenziali.

Ciò comporta che gli organi decisionali dovranno presidiare l’esecuzione degli adempimenti normativi per evitare che in caso di violazioni accertate rischino di essere sorpresi dallo svolgimento delle loro funzioni.

[1] DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)

[2] Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148. (24G00155) note: Entrata in vigore del provvedimento: 16/10/2024

[3] 4. Gli Stati membri provvedono affinché le proprie autorità competenti, nell’esercizio dei rispettivi poteri di esecuzione nei confronti dei soggetti essenziali, abbiano il potere come minimo di:

 a) emanare avvertimenti relativi a violazioni della presente direttiva da parte dei soggetti interessati;

 b) adottare istruzioni vincolanti, ivi incluso per quanto riguarda le misure richieste per evitare il verificarsi di un incidente o porvi rimedio, nonché i termini per l’attuazione di tali misure e per riferire in merito alla loro attuazione, o un’ingiunzione che impongano ai soggetti interessati di porre rimedio alle carenze individuate o alle violazioni della direttiva;

c)  imporre ai soggetti interessati di porre termine al comportamento che viola la presente direttiva e di astenersi dal ripeterlo;

d) imporre ai soggetti interessati di provvedere affinché le loro misure di gestione del rischio di cibersicurezza siano conformi all’articolo 21 o di adempiere gli obblighi di segnalazione di cui all’articolo 23 in una maniera ed entro un termine specificati;

(omissis)

f) imporre ai soggetti interessati di attuare le raccomandazioni fornite in seguito a un audit sulla sicurezza entro un termine ragionevole;

[4] Art. 38, “Sanzioni amministrative”

1. L’Autorità nazionale competente NIS, ai fini dell’esercizio dei suoi poteri sanzionatori, tiene anche conto degli esiti delle attività di monitoraggio, supporto e analisi di cui all’articolo 35, delle risultanze dell’esercizio dei poteri di verifica e ispettivi di cui all’articolo 36, nonché dell’esercizio dei poteri di esecuzione di cui all’articolo 37.

2. Fermi restando i criteri di cui all’articolo 34, comma 6, l’Agenzia per la cybersicurezza nazionale con una o più determinazioni, adottate secondo le modalità dell’articolo 40, comma 5, può specificare laddove necessario i criteri per la determinazione dell’importo delle sanzioni per le violazioni di cui ai commi 8 e 10 del presente articolo, adottando tutte le misure necessarie per assicurarne l’effettività, la proporzionalità, la dissuasività e l’applicazione.

3. L’esercizio dei poteri di cui all’articolo 37 non impedisce la contestazione delle violazioni di cui ai commi 8 e 10 del presente articolo, nonché la relativa irrogazione di sanzioni amministrative di cui al presente articolo.

4. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS può sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, ai sensi della normativa vigente, di sospendere temporaneamente un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale. Tale sospensione temporanea è applicata finchè il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7. Le disposizioni di cui al presente comma non si applicano alle pubbliche amministrazioni di cui all’allegato III, nonché ai soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4.

5. Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza.

6. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS può disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all’articolo 23 dei soggetti essenziali e dei soggetti importanti, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Tale sospensione temporanea è applicata finchè il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7

7. Ai dipendenti pubblici che esercitano i poteri di cui al comma 5, si applicano le norme in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati. In particolare, la violazione degli obblighi di cui al presente decreto può costituire causa di responsabilità dirigenziale, disciplinare e amministrativo-contabile

8. Con le sanzioni amministrative pecuniarie di cui al comma 9 sono punite le seguenti violazioni:

a) mancata osservanza degli obblighi imposti dall’articolo 23 agli organi di amministrazione e agli organi direttivi, nonché degli obblighi relativi alla gestione del rischio per la sicurezza informatica e alla notifica di incidente, di cui agli articoli 24 e 25, così come disciplinati ai sensi dell’articolo 31;

b) inottemperanza alle disposizioni adottate dall’Autorità nazionale competente NIS ai sensi dell’articolo 37, commi 3 e 4, e alle relative diffide.

9. Le violazioni di cui al comma 8 sono punite:

a) per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, se tale importo è superiore, il cui minimo è fissato nella misura di un ventesimo del massimo edittale;

b) per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE, se tale importo è superiore, il cui minimo è fissato nella misura di un trentesimo del massimo edittale;

c) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti essenziali, con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000;

d) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti importanti, le sanzioni amministrative pecuniarie di cui alla lettera c) sono ridotte di un terzo.

10. Con le sanzioni amministrative pecuniarie di cui al comma 11 sono punite le seguenti violazioni:

a) mancata registrazione, comunicazione o aggiornamento delle informazioni ai sensi dell’articolo 7, commi 1, 3, 4, 5 e 7;

b) inosservanza delle modalità stabilite dall’Autorità nazionale competente NIS ai sensi dell’articolo 7;

c) mancata comunicazione o aggiornamento dell’elenco delle attività e dei servizi nonché della loro categorizzazione ai sensi dell’articolo 30, comma 1;

d) mancata implementazione o attuazione degli obblighi relativi all’uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio nonché alle previsioni settoriali specifiche di cui agli articoli 27, 29 e 32, così come disciplinati ai sensi dell’articolo 31.

e) mancata collaborazione con l’Autorità nazionale competente NIS nello svolgimento delle attività e nell’esercizio dei poteri di cui al presente capo;

f) mancata collaborazione con il CSIRT Italia.

11. Le violazioni di cui al comma 10, fermi restando i minimi edittali di cui al comma 9, sono punite:

a) per i soggetti essenziali, con sanzioni amministrative pecuniarie fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE;

b) per i soggetti importanti, con sanzioni amministrative pecuniarie fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE;

c) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti essenziali, con sanzioni amministrative pecuniarie da euro 10.000 a euro 50.000;

d) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti importanti, le sanzioni amministrative pecuniarie di cui alla lettera c) sono ridotte di un terzo.

12. Si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall’articolo 8-bis della legge 24 novembre del 1981, n. 689. Nei casi di reiterazione specifica, la sanzione prevista per la violazione è aumentata fino al doppio. Nei casi di reiterazione non specifica si applica la sanzione prevista per la violazione più grave aumentata fino al triplo

13. In caso di mancata o tardiva registrazione di cui all’articolo 7, sono comunque contestate tutte le violazioni previste dai commi 8 e 10 del presente articolo, e si applica la sanzione prevista per la violazione più grave aumentata fino al triplo.14. In caso di mancata osservanza degli obblighi relativi alla notifica di incidente di cui all’articolo 25, da parte delle pubbliche amministrazioni di cui all’allegato III, nonché dei soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, le disposizioni di cui al comma 9 del presente articolo si applicano solo in caso di reiterazione specifica nell’arco di cinque anni e l’Autorità nazionale competente NIS può esercitare, durante i dodici mesi successivi all’accertamento della violazione, i poteri di verifica e ispettivi di cui all’articolo 36.

15. Ai fini dell’attuazione del presente articolo, sono individuate, ai sensi dell’articolo 40, comma 1, lettera c), le modalità di applicazione, nell’ambito del procedimento sanzionatorio, dei seguenti strumenti deflattivi del contenzioso:

a) l’invito a conformarsi che l’Autorità nazionale competente NIS, ove accerti la sussistenza delle violazioni, e fatto salvo il caso di reiterazione delle stesse, invia al trasgressore, assegnando un congruo termine perentorio, proporzionato al tipo e alla gravità della violazione, per conformare la condotta agli obblighi previsti dalla normativa vigente. Ove il trasgressore ottemperi all’obbligo di conformare la condotta nei termini previsti, il procedimento sanzionatorio non prosegue. La disposizione di cui alla presente lettera non si applica al soggetto che sia stato già destinatario della diffida di cui all’articolo 37, comma 6, ovvero ai soggetti e nei casi previsti dal comma 14 del presente articolo;

b) la facoltà di estinguere il procedimento attraverso il pagamento in misura ridotta pari alla terza parte del massimo della sanzione o se più favorevole, e qualora sia stabilito, al doppio del minimo della sanzione edittale, nel termine perentorio di sessanta giorni dalla data di notifica della contestazione. In caso di reiterazione si applica l’articolo 8-bis della legge 24 novembre 1981, n. 689;

c) le fattispecie in cui non è prevista pubblicità dell’irrogazione di sanzioni amministrative.

16. I proventi delle sanzioni amministrative pecuniarie irrogate dall’Autorità nazionale competente NIS ai sensi di quanto previsto dal presente decreto sono versati all’entrata del bilancio dello Stato per essere riassegnati all’apposito capitolo dello stato di previsione della spesa del Ministero dell’economia e delle finanze, di cui all’articolo 18 del decreto legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, per incrementare la dotazione del bilancio dell’Agenzia per la cybersicurezza nazionale

[5] Circolare 1/2025 – Nis2: le scelte delle imprese in tema di cybersicurezza, ove si legge che: nell’attuale contesto socio-economico, caratterizzato da un’intensa digitalizzazione, il rischio cyber costituisce una minaccia crescente per le imprese di ogni dimensione, natura e settore. L’incremento della connettività insieme alla progressiva diffusione del cloud, dell’IOT e, da ultimo, dell’intelligenza artificiale, se da una parte, ha apportato benefici in termini di efficienza e innovazione, dall’altra, espone sempre di più le imprese a nuove vulnerabilità e rischi, come la perdita di dati sensibili, furti di proprietà intellettuale, svariate tipologie di frodi e interruzioni dell’attività, che possono avere impatti disastrosi non solo sul piano economico e legale, ma anche in termini reputazionali. Alla luce di questo scenario, si inserisce il nuovo decreto Nis 2, che aggiornando la precedente disciplina, estende notevolmente la platea dei soggetti a cui si applicano gli obblighi di cybersicurezza, rafforza gli stessi obblighi e introduce misure di vigilanza più rigorose. In questa circolare viene svolta una prima illustrazione della disciplina contenuta nel decreto Nis 2, il cui processo di attuazione sarà definito da parte di ACN nei prossimi mesi. Si proporranno, infine, alcune riflessioni su quali sfide si pongono per le imprese per adeguarsi pienamente alla disciplina, cogliendone le opportunità in termini di reputazione e credibilità sul mercato. ​​ link: https://www.assonime.it/attivita-editoriale/circolari/Pagine/Circolare-1_2025.aspx

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

medico di famiglia
Commissione Europea

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

medico di famiglia
Il datore di lavoro non può contattare il medico di famiglia del dipendente.
8 Marzo 2025
Garante privacy controllo a distanza
Lavoro: Garante privacy, no al controllo a distanza
14 Maggio 2025
accesso-illegittimo-fse
Accesso illegittimo al portale FSE della Regione Molise. Sanzione da parte del garante.
1 Marzo 2025

Start typing and press Enter to search