La Direttiva NIS2 stabilisce una serie di conseguenze per le entità “essenziali” e “importanti” che non rispettano le sue disposizioni. Queste conseguenze sono progettate per garantire un’applicazione efficace e fungere da deterrente contro il mancato rispetto della normativa. La gravità delle conseguenze può variare in base a diversi fattori, tra cui la natura e la gravità della violazione, le dimensioni dell’entità e gli specifici obblighi violati.
🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.Di seguito una panoramica:
Principi generali di applicazione
- Efficacia, proporzionalità e carattere dissuasivo: Il principio generale per tutte le misure di applicazione previste dalla Direttiva NIS2 è che esse devono essere “efficaci, proporzionate e dissuasive”, considerando le circostanze specifiche di ciascun caso. Questo principio sottolinea un approccio basato sul rischio, in cui la severità delle conseguenze è commisurata al potenziale impatto della violazione.
- Regimi di supervisione differenziati: La direttiva stabilisce regimi di supervisione distinti per le entità essenziali e importanti, riconoscendo i diversi ruoli e profili di rischio. Le entità essenziali, a causa della loro importanza sistemica, sono generalmente soggette a una supervisione più rigorosa e a sanzioni potenzialmente più severe rispetto alle entità importanti.
Misure specifiche di applicazione
La Direttiva NIS2 conferisce alle autorità competenti la facoltà di imporre una serie di misure contro le entità non conformi. Queste misure possono essere applicate cumulativamente o indipendentemente, a seconda del contesto.
1. Sanzioni amministrative:
- Istruzioni vincolanti: Le autorità possono emettere istruzioni vincolanti per rettificare le carenze identificate o per affrontare le violazioni della direttiva. Queste istruzioni forniscono indicazioni specifiche all’entità non conforme, delineando i passaggi necessari per raggiungere la conformità.
- Raccomandazioni di audit di sicurezza: Le autorità possono obbligare le entità a implementare le raccomandazioni fornite a seguito di un audit di sicurezza entro un termine ragionevole. Questo garantisce che le vulnerabilità e le lacune di sicurezza identificate vengano adeguatamente affrontate.
- Allineamento ai requisiti NIS: Le autorità competenti possono costringere le entità a portare le proprie misure di sicurezza in linea con i requisiti della Direttiva NIS2 entro una modalità e un periodo di tempo specificati. Questa disposizione sottolinea la natura obbligatoria degli standard di sicurezza previsti dalla direttiva.
- Divulgazione pubblica delle violazioni: In determinati casi, le autorità possono richiedere alle entità di divulgare pubblicamente alcuni aspetti delle loro violazioni in una modalità specifica. La divulgazione pubblica mira ad aumentare la trasparenza e la responsabilità delle pratiche di cybersecurity.
2. Sanzioni pecuniarie:
- Sanzioni finanziarie: La Direttiva NIS2 introduce un sistema di sanzioni amministrative per le violazioni degli obblighi di gestione del rischio e di segnalazione degli incidenti. La direttiva stabilisce una soglia minima per tali sanzioni, differenziata per entità essenziali e importanti.
- Entità essenziali: Possono essere soggette a una sanzione massima pari ad almeno €10.000.000 o al 2% del fatturato globale annuo totale dell’anno finanziario precedente, a seconda di quale sia il valore più alto.
- Entità importanti: Possono essere soggette a una sanzione massima pari ad almeno €7.000.000 o all’1,4% del fatturato globale annuo totale dell’anno finanziario precedente, a seconda di quale sia il valore più alto.
- Pagamenti periodici a titolo di sanzione: Gli Stati membri possono attuare un sistema di pagamenti periodici a titolo di sanzione per costringere le entità essenziali o importanti a porre fine a violazioni in corso a seguito di una precedente decisione dell’autorità competente. Questa disposizione incentiva un’azione tempestiva per affrontare e rettificare le non conformità.
3. Misure di applicazione aggiuntive per le entità essenziali:
Riconoscendo il ruolo critico delle entità essenziali, la Direttiva NIS2 conferisce alle autorità competenti ulteriori strumenti di applicazione specificamente applicabili a queste entità quando le altre misure risultano insufficienti.
- Sospensione temporanea del certificato/autorizzazione: Le autorità possono sospendere temporaneamente o richiedere la sospensione di un certificato o di un’autorizzazione relativa ai servizi o alle attività dell’entità essenziale. Questa misura incide direttamente sulla capacità dell’entità di operare e fornire servizi.
- Divieto temporaneo per il management senior: Le autorità possono richiedere un divieto temporaneo, impedendo alle persone in posizioni dirigenziali senior di esercitare le loro funzioni all’interno dell’entità essenziale. Questa misura mira a garantire la responsabilità individuale per il mancato rispetto delle normative ai massimi livelli organizzativi.
4. Fattori considerati per l’applicazione delle sanzioni:
Nel determinare le misure di applicazione appropriate, in particolare le sanzioni amministrative, le autorità competenti devono considerare le circostanze specifiche di ciascun caso. I fattori presi in considerazione includono:
- Gravità, durata e intenzionalità della violazione: Le violazioni più gravi o deliberate comporteranno conseguenze più severe.
- Danni causati/perdite subite: Si tiene conto dell’impatto finanziario, economico o operativo risultante dalla non conformità.
- Numero di utenti coinvolti: Le violazioni che colpiscono un numero maggiore di utenti possono comportare sanzioni più elevate.
- Violazioni precedenti: Un precedente di non conformità può portare ad azioni sanzionatorie più severe.
- Livello di cooperazione: Le entità che dimostrano un approccio collaborativo e proattivo nel risolvere le violazioni possono beneficiare di un trattamento più indulgente.
Aspetti giurisdizionali dell’applicazione:
La determinazione della giurisdizione responsabile per l’applicazione della Direttiva NIS2 dipende dal tipo specifico di entità coinvolta.
- Stabilimento come regola generale: Per la maggior parte delle entità essenziali e importanti, la giurisdizione risiede generalmente nello Stato membro in cui sono stabilite. Se un’entità opera in più Stati membri, ciascuno di essi detiene la giurisdizione e deve cooperare nelle attività di supervisione.
- Eccezioni basate sulla prestazione del servizio o sull’ubicazione principale: Tuttavia, esistono eccezioni per alcune entità le cui operazioni sono intrinsecamente transfrontaliere:
- Fornitori di reti e servizi di comunicazione elettronica pubblici: Ricadono sotto la giurisdizione dello Stato membro in cui forniscono i propri servizi.
- Fornitori di servizi del sistema dei nomi a dominio, registri di TLD, fornitori di cloud computing, fornitori di data center, fornitori di reti di distribuzione dei contenuti (CDN), fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, marketplace online, motori di ricerca e piattaforme di social networking: Sono soggetti alla giurisdizione dello Stato membro in cui si trova il loro stabilimento principale all’interno dell’UE. Questa disposizione mira a prevenire la frammentazione normativa per entità che operano a livello transfrontaliero.
Sanzioni per violazioni delle misure di attuazione nazionali:
La Direttiva NIS2 richiede che gli Stati membri stabiliscano le proprie regole nazionali in merito alle sanzioni per le violazioni delle misure nazionali adottate per attuare la direttiva. Queste sanzioni devono aderire agli stessi principi di efficacia, proporzionalità e carattere dissuasivo che regolano i meccanismi di applicazione della direttiva.
Collaborazione con altri quadri normativi:
La Direttiva NIS2 sottolinea la collaborazione e la condivisione di informazioni tra le autorità competenti responsabili della sua applicazione e altri organismi di regolamentazione pertinenti, sia a livello nazionale che dell’UE.
Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.