Quali sono le sanzioni per la non conformità alla NIS2?

NIS2 Frequently Asked Questions

La Direttiva NIS2 impone agli Stati Membri dell’UE di istituire e implementare un sistema di sanzioni per le entità che non rispettano i requisiti di cybersecurity previsti. Queste sanzioni sono pensate per essere “efficaci, proporzionate e dissuasive” al fine di garantire che le organizzazioni prendano sul serio i propri obblighi in materia di sicurezza informatica.

🔴 NIS2: sei conforme? Non rischiare sanzioni o vulnerabilità. Adegua subito la tua azienda con il supporto dei nostri esperti.

Sanzioni Amministrative

La NIS2 stabilisce un set minimo di sanzioni amministrative che le autorità nazionali competenti possono imporre alle entità non conformi:

  • Istruzioni Vincolanti: Le autorità competenti possono emettere istruzioni vincolanti che richiedono alle entità di risolvere le carenze di sicurezza individuate o di intraprendere azioni specifiche per migliorare la loro postura di cybersecurity. Tali istruzioni possono includere scadenze per l’implementazione e la rendicontazione dei progressi.
  • Ordini di Attuazione delle Raccomandazioni di Audit: Se un audit di sicurezza rivela vulnerabilità o non conformità, le autorità competenti possono ordinare all’entità di implementare le raccomandazioni riportate nel rapporto di audit.
  • Ordini di Allineamento delle Misure di Sicurezza ai Requisiti della NIS2: Le autorità competenti possono ordinare alle entità di adeguare le proprie misure di sicurezza ai requisiti specifici previsti dalla Direttiva NIS2. Questo può includere l’implementazione di controlli di sicurezza aggiuntivi, l’aggiornamento di politiche e procedure o il potenziamento delle capacità di risposta agli incidenti.
  • Sanzioni Amministrative: La NIS2 introduce un sistema di sanzioni amministrative che possono essere applicate alle entità che violano le disposizioni della Direttiva. L’importo delle sanzioni varia in base alla classificazione dell’entità come essenziale o importante:
    • Entità Essenziali: Per le entità essenziali, gli Stati Membri devono stabilire sanzioni massime di almeno €10.000.000 o del 2% del fatturato annuo mondiale totale dell’anno finanziario precedente, a seconda di quale sia l’importo più elevato.
    • Entità Importanti: Per le entità importanti, gli Stati Membri devono stabilire sanzioni massime di almeno €7.000.000 o dell’1,4% del fatturato annuo mondiale totale dell’anno finanziario precedente, a seconda di quale sia l’importo più elevato.

Pagamenti Periodici di Penalità

Oltre alle sanzioni sopra elencate, gli Stati Membri possono imporre pagamenti periodici di penalità per costringere le entità essenziali o importanti a cessare una violazione della Direttiva NIS2. Tali pagamenti continueranno ad accumularsi fino a quando l’entità non dimostrerà la conformità con la decisione dell’autorità competente.

Fattori Considerati nella Determinazione delle Sanzioni

Nella determinazione della sanzione appropriata per la non conformità, le autorità competenti devono considerare le specifiche circostanze di ciascun caso, tra cui:

  • Gravità dell’Infrazione: La gravità della violazione, come violazioni ripetute, mancata notifica o mancata risoluzione di incidenti significativi, o ostruzione di audit o attività di monitoraggio.
  • Durata dell’Infrazione: Il periodo di tempo durante il quale l’entità è stata in violazione dei requisiti della NIS2.
  • Violazioni Precedenti: La storia dell’entità in termini di non conformità con le normative di cybersecurity.
  • Danni o Perdite Causati: L’entità dei danni materiali o immateriali causati dalla non conformità, inclusi perdite finanziarie, interruzioni dei servizi e numero di utenti coinvolti.
  • Carattere Intenzionale o Negligente dell’Infrazione: Se la non conformità è stata deliberata o è risultata da negligenza da parte dell’entità.
  • Misure Adottate per Prevenire o Mitigare i Danni: Qualsiasi azione intrapresa dall’entità per affrontare la non conformità e minimizzare il suo impatto.
  • Livello di Cooperazione con le Autorità Competenti: La disponibilità dell’entità a collaborare con le autorità competenti durante le indagini e le azioni di enforcement.

Ulteriori Misure di Enforcement

Oltre alle sanzioni amministrative specifiche, la Direttiva NIS2 conferisce alle autorità competenti il potere di adottare ulteriori misure di enforcement se le sanzioni iniziali risultano inefficaci:

  • Stabilire una Scadenza per la Remediation: Se un’entità non rispetta le istruzioni vincolanti o altre misure di enforcement, le autorità competenti possono fissare una scadenza specifica per la risoluzione delle carenze individuate.
  • Sospendere o Proibire Attività: In caso di non conformità grave o persistente, le autorità competenti hanno il potere di sospendere temporaneamente o vietare all’entità di svolgere attività che comportano un rischio di cybersecurity. Tali misure sono soggette a garanzie procedurali appropriate e sono applicate solo fino a quando l’entità non intraprende i passi necessari per raggiungere la conformità.

Responsabilità della Dirigenza

La NIS2 introduce disposizioni per ritenere responsabili i dirigenti senior all’interno delle entità essenziali e importanti in caso di violazioni della cybersecurity. Questa responsabilità personale mira a incentivare una maggiore attenzione alla sicurezza informatica ai massimi livelli di governance organizzativa. Sebbene la Direttiva non specifichi le sanzioni per i singoli, gli Stati Membri sono tenuti a implementare misure che garantiscano un’effettiva responsabilità.

Diritto Nazionale e Sanzioni Giudiziarie

Oltre alle sanzioni amministrative previste dalla Direttiva NIS2, gli Stati Membri possono applicare ulteriori sanzioni previste dal proprio diritto nazionale in caso di violazione delle normative di cybersecurity. Questo può includere sanzioni penali per reati gravi o responsabilità civili per danni causati da violazioni della sicurezza informatica.

È importante notare che le sanzioni e i meccanismi di enforcement specifici variano da uno Stato Membro all’altro, poiché la Direttiva NIS2 stabilisce standard minimi di armonizzazione che gli Stati Membri devono recepire nella propria legislazione nazionale.

In generale, la Direttiva NIS2 istituisce un quadro di enforcement più robusto e coerente per le normative di cybersecurity in tutta l’UE. L’enfasi della Direttiva su sanzioni dissuasive, poteri di enforcement chiari per le autorità competenti e responsabilità della dirigenza è volta a creare un forte incentivo per le entità a dare priorità alla sicurezza informatica e a rispettare i requisiti della Direttiva.

Affrontare le complessità della direttiva NIS2 può generare incertezze e rischi per la tua azienda.

🚀 Con ISGroup, hai la certezza di un’implementazione NIS2 totalmente conforme e allineata alle normative. Affida a noi ogni fase del processo, dalla valutazione alla messa in opera.

In