Home » News » Attualità

Aspetti sanzionatori amministrativi e penali nuova normativa cybersicurezza nazionale: necessità implementazione MOGC 231

di Redazione - 2 Novembre 2021
Aspetti sanzionatori amministrativi e penali nuova normativa cybersicurezza nazionale: necessità implementazione MOGC 231

Come riportato nel mio precedente articolo in materia di perimetro di sicurezza nazionale cibernetica, gli aspetti di particolare rilevanza per gli operatori pubblici e privati assoggettati alla specifica disciplina, sono rappresentati dal corposo assetto sanzionatorio, di carattere amministrativo e penale.

In particolare, il Legislatore, sia nel D.Lgs 18 maggio 2018 n. 65 (attuazione della Direttiva (UE) 2016/1148 – di seguito Decreto NIS), sia nel Decreto-Legge 21 settembre 2019 n. 105 convertito con modificazioni dalla L. 18 novembre 2019, n. 133 (di seguito Decreto perimetro), ha delineato le sanzioni amministrative e penali – in un rapporto di stretta sussidiarietà –  in conseguenza di condotte configurabili quali violazioni agli obblighi in essi puntualmente delineati. La formula “salvo che il fatto costituisca reato”, rispettivamente agli artt. 21 Decreto NIS e  9 Decreto perimetro, sta ad indicare proprio quanto affermato in materia di sussidiarietà, laddove, ricorrendo gli elementi proprio di una condotta penalmente rilevante, questa prevale sulla sanzione amministrativa.

In tale quadro sanzionatorio, il Legislatore va oltre, proprio ad indicare la sensibile natura della normativa in esame, punendo a titolo di autonoma fattispecie di reato, all’art. 1, comma 11 del cit. Decreto perimetro, “chiunque”, allo scopo di  ostacolare o condizionare lo svolgimento di procedimenti di:

– predisposizione e aggiornamento degli elenchi concernenti le reti, i sistemi e i servizi informatici,

– comunicazione al Centro di Valutazione e Certificazione Nazionale (CVCN) dell’affidamento di forniture di beni, sistemi e servizi ICT,

– ispezione e  vigilanza, in relazione a quanto previsto al primo alinea e alla verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note dei sistemi e delle reti, sulla base di definite metodologie di verifica e di test,

fornisce informazioni, dati o elementi di fatto non rispondenti al vero, nonché omette di comunicare  entro i termini prescritti i citati dati (per una completa disamina degli adempimenti, vedasi articolo su “Perimetro di sicurezza nazionale cibernetica”).

Tali condotte, riferite comunque nel novero delle  amministrazioni pubbliche, degli enti e degli operatori pubblici e privati con sede nel territorio nazionale e da cui dipende l’esercizio di funzioni essenziali o la prestazione di un servizio essenziale in ambito civile, sociale ed economico, di fondamentale importanza per gli interessi dello Stato e la cui compromissione, in qualunque modo, si rifletta negativamente sulla sicurezza nazionale – se accertata la responsabilità di chi le ha poste in essere – sono punite, a titolo di delitto, con la reclusione da uno a tre anni.
Inoltre, alle sanzioni amministrative [1] applicate, in via sussidiaria alla sanzione penale, nei casi di mancata comunicazione al CVCN o al mancato superamento dei tests, nonché in violazione delle condizioni di affidamento per l’acquisizione di beni ICT, verrà comminata altresì la sanzione amministrativa accessoria della “incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione”.

Ed è proprio quest’ultima tipologia di sanzione che deve far riflettere sul grado di accountability che la normativa ha voluto delineare per coloro i quali espletano funzioni di amministrazione/direzione negli enti pubblici e privati, sottoposti agli adempimenti di cybersicurezza.

Altra interessante considerazione riguarda, altresì le sanzioni amministrative pecuniarie, sempre assistite dal principio di sussidiarietà, comminate a coloro i quali – fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai sistemi informatici – non offrono la collaborazione per l’effettuazione delle attività di test in occasione della fornitura di tali prodotti; la pena prevista va da un minimo di Euro 250.000, ad un massimo di Euro 1.500.000.

Il procedimento di accertamento e di contestazione di tutte le violazioni a carattere amministrativo è affidato all’Agenzia per la Cybersicurezza Nazionale, che applicherà modalità e termini previsti dalla Legge 689 del 1981 “Modifiche al sistema penale”; tale Organismo, laddove ravvisi ipotesi penalmente rilevanti, informerà la Procura della Repubblica per le indagini giudiziarie nell’ambito del procedimento penale che verrà instaurato, ai sensi e per gli effetti del Codice di Procedura Penale.

Va da sé che  il tenore delle violazioni alla sicurezza cibernetica nazionale – implicanti, poderosamente, specifici processi nell’ambito delle persone giuridiche – abbia indotto il Legislatore a prevedere conseguenze sanzionatorie, a titolo di responsabilità amministrativa, anche per la persona giuridica.

Infatti, l’art. 11-bis del Decreto perimetro, ha modificato l’art. 24-bis del D.Lgs 231/01, introducendo la  nuova fattispecie di reato-presupposto di cui all’art. 1 comma 11 sopra menzionato, al verificarsi della quale anche la persona giuridica che dalle predette violazioni possa ricavarne un vantaggio o, semplicemente, un interesse, verrà punito con sanzioni pecuniarie – espresse in quote – e/o con sanzioni di carattere interdittivo e cautelari.

COSA VUOL DIRE TUTTO CIÒ?
Evidentemente, un dovere di implementazione “necessitata” – anche se su base volontaria – dei Modelli di Organizzazione, Gestione e Controllo ai sensi del D.Lgs 231/01 da parte di coloro i quali occupano posizioni di Vertice all’interno degli enti pubblici e privati, assoggettati alla normativa in materia di  perimetro di sicurezza cibernetica nazionale, nonché da coloro i quali sono chiamati a collaborare con l’Agenzia per la Cybersicurezza Nazionale.

Spero di aver contribuito ulteriormente a rendere di facile comprensione una materia complessa ed articolata su più livelli normativi e con implicazioni di diverse branche del diritto,  così da comprenderne i necessari profili di prevenzione e di adeguamento dei processi aziendali a forte impatto tecnologico.

[1] Le sanzioni amministrative di cui si parla e che all’applicazione delle quali si procede anche a comminare una sanzione accessoria, prevedono: per la mancata comunicazione, e per l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici in violazione delle condizioni o in assenza di test da parte del CVCN, una sanzione amministrativa da Euro 300.000 a 1.800.000. 

a cura di Domenico Vozza,
Compliance Privacy, Security & Cybersecurity Senior Consultant,
di IFI Advisory.

logo IFI

#Cybersecurity#Governo del Rischio#ICT#Normative#Sicurezza Pubblica
Condividi questo articolo su:
Articoli correlati
Attualità

Umberto Saccone al BTM 2022 su Sicurezza, Turismo e Terrorismo

Umberto Saccone è stato tra i relatori al BTM 2022, l’evento dedicato al Business Tourism Management che si è tenuto a Taranto dal 6 all’8 Aprile, presso il Circolo Ufficiali...
11 Aprile 2022 - Redazione
Attualità

Umberto Saccone: Criminalità, Sicurezza e Turismo

Umberto Saccone, Presidente di IFI Advisory e Referente Scientifico del Corso Executive “Security Risk Management” della Luiss Business School, relatore alla conferenza “Sicurezza fisica e sicurezza digitale nelle strutture ricettive”...
5 Aprile 2022 - Redazione
Attualità

BTM2022: Sicurezza fisica e sicurezza digitale nelle strutture ricettive

BTM 2022 è l’evento dedicato al Business Tourism Management che si tiene a Taranto dal 6 all’8 Aprile, presso il Circolo Ufficiali e Circolo Sottufficiali della Marina Militare. Tra le...
5 Aprile 2022 - Redazione
Altre news da: Attualità
Edoardo Barzasi Comelit
Attualità

L’impegno di Comelit: sicurezza e innovazione su misura per le persone

Innovazione e sicurezza accessibili a tutti è la cifra di Comelit, sin dalla sua fondazione. Per approfondire questi ed ulteriori temi, S News incontra Edoardo Barzasi, CEO di Comelit. Tanta...
14 Marzo 2025 - Monica Bertolo
Urmet con d'Elicio 2025
Attualità

Urmet partecipa a “Just the woman I am 2025” al fianco delle donne

Urmet si conferma nuovamente “azienda in rosa” al fianco delle donne e della ricerca, partecipando anche quest’anno con entusiasmo e passione alla corsa solidale “Jtwia – Just the woman I...
14 Marzo 2025 - Redazione
Tour CEI 2025 Roma
Attualità

Nuova Norma CEI 64-8, sicurezza e prestazioni BT: tappa di Roma

Si terrà a Roma la terza tappa del Tour di Convegni Istituzionali CEI di Formazione Gratuita 2025, che quest’anno approfondisce la “Nuova edizione della Norma CEI 64-8 a supporto della sicurezza e delle prestazioni degli impianti elettrici...
12 Marzo 2025 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.