Il D.lgs. 138/2024, che recepisce la Direttiva NIS2, sottrae la cybersecurity alla sua tradizionale collocazione nell’ambito meramente informatico, elevandola a componente centrale della governance aziendale. Per i soggetti essenziali e importanti NIS2, come strutture sanitarie e aziende del settore medicale, l’apparato sanzionatorio va ben oltre la multa: prevede misure interdittive sulle attività e sulla posizione personale degli amministratori.
Le sanzioni pecuniarie
L’art. 38 del Decreto differenzia le sanzioni irrogabili dall’Autorità nazionale competente NIS2 (Agenzia per la Cybersicurezza Nazionale – ACN) in base alla classificazione del soggetto:
| Soggetti essenziali |
Soggetti importanti |
| Fino a 10.000.000 € o il 2% del fatturato mondiale annuo |
Fino a 7.000.000 € o l’1,4% del fatturato mondiale annuo |
Ma il dato più rilevante è un altro: alla sanzione pecuniaria si affiancano misure che incidono direttamente sulla continuità operativa dell’ente.
I poteri di vigilanza di ACN
L’ACN può esercitare:
- una attività di monitoraggio circa l’attuazione degli obblighi di cui al Decreto NIS a cui si possono affiancare interventi di supporto da parte dell’Autorità (art. 35 D.lgs. 138/2024);
- poteri di verifica e ispettivi nei confronti dei soggetti che rientrano nell’ambito di applicazione del decreto NIS (art. 36 D.lgs. 138/2024);
- poteri di esecuzione che prevedono misure di enforcement non pecuniarie (art. 37 D.lgs. 138/2024), come, in particolare, diffide ad adempiere entro un determinato termine, il cui inadempimento innesca misure interdittive.
Va precisato che prima di intimare l’adempimento di obblighi di sicurezza e procedere alla diffida, ACN deve notificare ai soggetti le conclusioni preliminari concedendo loro un termine ragionevole – comunque non inferiore a 15 giorni – per presentare osservazioni (art. 37, comma 8). Ciò salvo i casi in cui siano necessarie azioni immediate per prevenire un incidente o per rispondervi (art. 37, comma 9).
Il rischio di blocco operativo
Per i soggetti essenziali non conformi il mancato adempimento alla diffida di cui all’art. 37, commi 6 e 7, può comportare la sospensione temporanea, parziale o totale, di attività o servizi: un blocco operativo che, per una struttura sanitaria, può tradursi nell’interruzione dell’erogazione di prestazioni tramite sistemi informativi.
Tale sospensione è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide.
Cosa rischia il board
L’art. 23 impone agli organi di amministrazione tre obblighi non delegabili: approvare le misure di sicurezza, sovrintenderne l’attuazione e seguire una formazione specifica. L’art. 23, comma 2, prevede che le persone fisiche con funzioni dirigenziali possano essere ritenute personalmente responsabili delle violazioni. Per essere considerati responsabili non serve che i dirigenti abbiano personalmente disposto la misura carente: è sufficiente che ne non abbiano adeguatamente sorvegliato l’implementazione.
La sanzione a loro rivolta – probabilmente la più incisiva nell’ambito di questa normativa – è quella accessoria dell’incapacità a svolgere funzioni dirigenziali (artt. 23 e 38): l’ACN può sospendere l’amministratore dalle proprie funzioni fino all’adozione delle misure correttive. Sul piano civilistico, l’inadempimento integra il dovere di diligenza di cui agli artt. 2392 e ss. c.c. – rafforzandone e concretizzandone il contenuto – con possibili profili risarcitori.
Effetti sulla supply chain sanitaria
In questo scenario non va sottovalutato che l’art. 24, comma 2, lett. d) impone ai soggetti NIS2 di valutare il rischio cyber della propria catena di fornitura. Per i produttori di dispositivi medici e software sanitario, ciò significa clausole contrattuali specifiche (SLA, patching, notifica incidenti), possibilità di audit da parte del committente e, in caso di non conformità, il rischio concreto di esclusione dalla filiera: un danno che potrebbe essere superiore a qualsiasi sanzione diretta.