Articoli
- compliance normativa
- cybersecurity
Le Sanzioni della NIS2
Il Decreto NIS2 introduce misure rilevanti per garantire la protezione delle reti e dei sistemi informatici a livello nazionale. Tra queste, l’articolo 38 tratta in dettaglio le sanzioni amministrative previste per chi viola gli obblighi stabiliti dalla normativa, garantendo che le aziende e le istituzioni pubbliche rispettino le direttive sulla cybersecurity.
Il Ruolo dell’Autorità Nazionale NIS
L’Autorità Nazionale NIS (Network and Information Systems) in Italia è ACN, ossia l’organismo preposto a vigilare sul rispetto della normativa e, in caso di violazioni, a esercitare poteri sanzionatori. Le sue azioni si basano su monitoraggi, ispezioni e verifiche, come stabilito dagli articoli precedenti (artt. 35-37). In particolare, l’articolo 38 specifica che le sanzioni si applicano non solo per la violazione delle direttive, ma anche per il mancato adeguamento agli avvertimenti e alle diffide emesse dall’Autorità.
Criteri di Applicazione delle Sanzioni
L’importo delle sanzioni è stabilito dall’Agenzia per la Cybersicurezza Nazionale e può variare in base alla gravità della violazione e alla tipologia del soggetto coinvolto. L’ammontare delle multe è determinato tenendo conto di criteri come la proporzionalità e la dissuasività della sanzione, in modo da garantire la piena applicazione delle normative.
Le violazioni possono portare a multe molto significative, con importi che vanno dai 10.000.000 di euro per le aziende essenziali, fino a 50.000 euro per alcune pubbliche amministrazioni. Per i soggetti privati, le sanzioni possono raggiungere anche il 2% del fatturato annuo globale dell’azienda.
Limitazioni all’operatività e alle persone fisiche
L’articolo 38 prevede che, in caso di mancata conformità, l’Autorità possa richiedere la sospensione temporanea di certificazioni o autorizzazioni, limitando l’operatività dei servizi svolti dal soggetto coinvolto fino a quando non saranno adottate le misure correttive. Tale sospensione non si applica, tuttavia, alle pubbliche amministrazioni e ad altre tipologie specifiche di soggetti elencati nel decreto.
Oltre alle sanzioni economiche, anche le persone fisiche responsabili della gestione delle aziende o delle pubbliche amministrazioni possono essere oggetto di misure disciplinari. I dirigenti e amministratori delegati, in particolare, rischiano la sospensione temporanea dalle proprie funzioni dirigenziali se non rispettano le norme previste.
Violazioni e Sanzioni Pecuniarie
Le violazioni che portano all’applicazione di sanzioni pecuniarie riguardano, ad esempio, la mancata osservanza degli obblighi di gestione del rischio informatico e la notifica di incidenti di sicurezza, così come previsto dagli articoli 23-25 del decreto. Altre violazioni includono l’inosservanza delle disposizioni emesse dall’Autorità e la mancata collaborazione con gli organismi competenti, come il CSIRT (Computer Security Incident Response Team) Italia.
Reiterazione delle Violazioni
Il decreto introduce anche il concetto di reiterazione delle violazioni, ovvero la ripetizione di infrazioni simili nell’arco di cinque anni. In caso di reiterazione, le sanzioni vengono incrementate fino al doppio o al triplo dell’importo iniziale, in base alla gravità e alla frequenza delle violazioni.
Conclusione
L’articolo 38 del decreto sulla sicurezza informatica rappresenta uno strumento essenziale per garantire che le aziende e le pubbliche amministrazioni rispettino gli obblighi in materia di cybersecurity. Le sanzioni amministrative, sia pecuniarie che disciplinari, svolgono un ruolo cruciale nel dissuadere le violazioni e promuovere un ambiente digitale sicuro e protetto.