Attualità // Il Governo del Rischio

Aspetti sanzionatori amministrativi e penali nuova normativa cybersicurezza nazionale: necessità implementazione MOGC 231

Condividi

Come riportato nel mio precedente articolo in materia di perimetro di sicurezza nazionale cibernetica, gli aspetti di particolare rilevanza per gli operatori pubblici e privati assoggettati alla specifica disciplina, sono rappresentati dal corposo assetto sanzionatorio, di carattere amministrativo e penale.

In particolare, il Legislatore, sia nel D.Lgs 18 maggio 2018 n. 65 (attuazione della Direttiva (UE) 2016/1148 – di seguito Decreto NIS), sia nel Decreto-Legge 21 settembre 2019 n. 105 convertito con modificazioni dalla L. 18 novembre 2019, n. 133 (di seguito Decreto perimetro), ha delineato le sanzioni amministrative e penali – in un rapporto di stretta sussidiarietà -  in conseguenza di condotte configurabili quali violazioni agli obblighi in essi puntualmente delineati. La formula “salvo che il fatto costituisca reato”, rispettivamente agli artt. 21 Decreto NIS e  9 Decreto perimetro, sta ad indicare proprio quanto affermato in materia di sussidiarietà, laddove, ricorrendo gli elementi proprio di una condotta penalmente rilevante, questa prevale sulla sanzione amministrativa.

In tale quadro sanzionatorio, il Legislatore va oltre, proprio ad indicare la sensibile natura della normativa in esame, punendo a titolo di autonoma fattispecie di reato, all’art. 1, comma 11 del cit. Decreto perimetro, “chiunque”, allo scopo di  ostacolare o condizionare lo svolgimento di procedimenti di:

- predisposizione e aggiornamento degli elenchi concernenti le reti, i sistemi e i servizi informatici,

- comunicazione al Centro di Valutazione e Certificazione Nazionale (CVCN) dell’affidamento di forniture di beni, sistemi e servizi ICT,

- ispezione e  vigilanza, in relazione a quanto previsto al primo alinea e alla verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note dei sistemi e delle reti, sulla base di definite metodologie di verifica e di test,

fornisce informazioni, dati o elementi di fatto non rispondenti al vero, nonché omette di comunicare  entro i termini prescritti i citati dati (per una completa disamina degli adempimenti, vedasi articolo su “Perimetro di sicurezza nazionale cibernetica”).

Tali condotte, riferite comunque nel novero delle  amministrazioni pubbliche, degli enti e degli operatori pubblici e privati con sede nel territorio nazionale e da cui dipende l’esercizio di funzioni essenziali o la prestazione di un servizio essenziale in ambito civile, sociale ed economico, di fondamentale importanza per gli interessi dello Stato e la cui compromissione, in qualunque modo, si rifletta negativamente sulla sicurezza nazionale – se accertata la responsabilità di chi le ha poste in essere – sono punite, a titolo di delitto, con la reclusione da uno a tre anni.
Inoltre, alle sanzioni amministrative [1] applicate, in via sussidiaria alla sanzione penale, nei casi di mancata comunicazione al CVCN o al mancato superamento dei tests, nonché in violazione delle condizioni di affidamento per l’acquisizione di beni ICT, verrà comminata altresì la sanzione amministrativa accessoria della “incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione”.

Ed è proprio quest’ultima tipologia di sanzione che deve far riflettere sul grado di accountability che la normativa ha voluto delineare per coloro i quali espletano funzioni di amministrazione/direzione negli enti pubblici e privati, sottoposti agli adempimenti di cybersicurezza.

Altra interessante considerazione riguarda, altresì le sanzioni amministrative pecuniarie, sempre assistite dal principio di sussidiarietà, comminate a coloro i quali – fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai sistemi informatici – non offrono la collaborazione per l’effettuazione delle attività di test in occasione della fornitura di tali prodotti; la pena prevista va da un minimo di Euro 250.000, ad un massimo di Euro 1.500.000.

Il procedimento di accertamento e di contestazione di tutte le violazioni a carattere amministrativo è affidato all’Agenzia per la Cybersicurezza Nazionale, che applicherà modalità e termini previsti dalla Legge 689 del 1981 “Modifiche al sistema penale”; tale Organismo, laddove ravvisi ipotesi penalmente rilevanti, informerà la Procura della Repubblica per le indagini giudiziarie nell’ambito del procedimento penale che verrà instaurato, ai sensi e per gli effetti del Codice di Procedura Penale.

Va da sé che  il tenore delle violazioni alla sicurezza cibernetica nazionale – implicanti, poderosamente, specifici processi nell’ambito delle persone giuridiche – abbia indotto il Legislatore a prevedere conseguenze sanzionatorie, a titolo di responsabilità amministrativa, anche per la persona giuridica.

Infatti, l’art. 11-bis del Decreto perimetro, ha modificato l’art. 24-bis del D.Lgs 231/01, introducendo la  nuova fattispecie di reato-presupposto di cui all’art. 1 comma 11 sopra menzionato, al verificarsi della quale anche la persona giuridica che dalle predette violazioni possa ricavarne un vantaggio o, semplicemente, un interesse, verrà punito con sanzioni pecuniarie – espresse in quote – e/o con sanzioni di carattere interdittivo e cautelari.

COSA VUOL DIRE TUTTO CIÒ?
Evidentemente, un dovere di implementazione “necessitata” – anche se su base volontaria – dei Modelli di Organizzazione, Gestione e Controllo ai sensi del D.Lgs 231/01 da parte di coloro i quali occupano posizioni di Vertice all’interno degli enti pubblici e privati, assoggettati alla normativa in materia di  perimetro di sicurezza cibernetica nazionale, nonché da coloro i quali sono chiamati a collaborare con l’Agenzia per la Cybersicurezza Nazionale.

Spero di aver contribuito ulteriormente a rendere di facile comprensione una materia complessa ed articolata su più livelli normativi e con implicazioni di diverse branche del diritto,  così da comprenderne i necessari profili di prevenzione e di adeguamento dei processi aziendali a forte impatto tecnologico.

[1] Le sanzioni amministrative di cui si parla e che all’applicazione delle quali si procede anche a comminare una sanzione accessoria, prevedono: per la mancata comunicazione, e per l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici in violazione delle condizioni o in assenza di test da parte del CVCN, una sanzione amministrativa da Euro 300.000 a 1.800.000. 

a cura di Domenico Vozza,
Compliance Privacy, Security & Cybersecurity Senior Consultant,
di IFI Advisory.

logo IFI

02.11.2021


Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.

\\ Articoli correlati

Axon: dispositivi per la sicurezza delle Forze dell’Ordine e della comunità

Axon pone al centro della sua missione le priorità e le sfide delle Forze...

KTS: cavi resistenti al fuoco per impianti antincendio ed EVAC

La linea di cavi resistenti al fuoco prodotta da KTS è diventata il core business...

Droni: boom per trasporto farmaci, sangue e vaccini

Droni per il trasporto rapido di farmaci, campioni biologici, vaccini, sangue e in futuro...

Seguici Su

   

Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza, iscriviti alla nostra newsletter.