da Redazione | Ott 21, 2024 | Diritto d'Impresa, Diritto Penale, Notizie e Aggiornamenti Legislativi
In un contesto socio-economico sempre più caratterizzato dall’utilizzo delle tecnologie digitali, i reati informatici costituiscono per le imprese un fattore di rischio trasversale. Questo rischio si manifesta non solo per la possibilità di attacchi esterni, come un’intrusione informatica volta a compromettere la sicurezza dei dati aziendali, ma anche per condotte dannose provenienti dall’interno dell’impresa stessa.
Il legislatore, consapevole della crescente rilevanza di tali minacce, ha adeguato la normativa di settore, introducendo nuovi strumenti per contrastare tali fenomeni. Un esempio significativo è l’inclusione dei reati informatici tra i reati presupposto della responsabilità amministrativa dell’ente ai sensi dell’art. 24-bis del D. Lgs. 231/2001, una norma che è stata recentemente modificata per estendere la responsabilità anche ai reati connessi alla sicurezza cibernetica nazionale.
L’inclusione di tali fattispecie rappresenta un rilevante presidio di legalità nell’ambito aziendale, poiché essa si applica non solo alle imprese operanti nel settore digitale, ma a tutte le imprese che utilizzano strumenti informatici. Le aziende, infatti, sono oggi profondamente informatizzate, e l’abuso dei sistemi informatici, da parte di soggetti apicali o dipendenti, è una delle minacce più concrete e visibili. Non è raro, ad esempio, che reati informatici vengano commessi nell’interesse o a vantaggio dell’ente, come nel caso di un dipendente che, al fine di incrementare il fatturato, accede abusivamente a server aziendali contenenti informazioni riservate di altre aziende.
Analogamente, il dirigente che distrugge file per evitare una sanzione amministrativa a seguito di un’indagine di vigilanza agisce in modo da tutelare l’interesse dell’azienda. Questi comportamenti evidenziano come l’adozione di un sistema di gestione della sicurezza informatica, attraverso procedure operative e controlli adeguati, sia cruciale per prevenire tali condotte.
L’introduzione dei reati informatici nel catalogo della responsabilità amministrativa dell’ente ai sensi del D. Lgs. 231/2001 dimostra come la compliance penale svolga un ruolo centrale nell’innalzamento del livello di sicurezza aziendale. Attraverso l’implementazione di modelli organizzativi che regolino l’uso dei sistemi informatici e la definizione di procedure interne chiare (ad esempio, l’autorizzazione all’accesso ai sistemi, l’utilizzo dei privilegi di amministratore, o la gestione delle password), le imprese possono ridurre il rischio di essere coinvolte in reati di natura informatica, prevenendo così danni significativi sia dal punto di vista economico che reputazionale.
Parallelamente, sul piano della sicurezza cibernetica e della prevenzione delle minacce esterne, la legislazione ha subito importanti sviluppi, con un quadro normativo sempre più articolato. A livello europeo, l’approvazione delle Direttive NIS ha rappresentato un passaggio fondamentale, imponendo alle imprese l’adozione di misure tecniche e organizzative adeguate per la gestione dei rischi cibernetici, al fine di garantire la continuità operativa e minimizzare gli impatti degli incidenti. Oltre a ciò, la normativa prevede l’obbligo per le imprese di notificare tempestivamente alle autorità competenti eventuali incidenti con impatti rilevanti, evitando ritardi che potrebbero compromettere la sicurezza complessiva del sistema.
Infine, è importante evidenziare come questa normativa si sia progressivamente estesa anche ad altri settori critici, quali quello finanziario, rafforzando ulteriormente la protezione delle infrastrutture essenziali e dei servizi di pubblica utilità. L’obiettivo del presente articolo è fornire un quadro delle novità introdotte dalla Legge 90/2024, che ha ulteriormente ampliato la responsabilità amministrativa degli enti in relazione ai reati informatici e rafforzato il sistema di sanzioni previste per tali illeciti. Per una disamina di tutte le novità introdotte da tale legge, rinviamo al nostro precedente articolo.
I reati informatici presupposto della responsabilità dell’ente
L’art. 24-bis del D. Lgs. 231/2001, introdotto dalla legge 18 marzo 2008, n. 48, in attuazione della Convenzione di Budapest, ha incluso tra i reati presupposto della responsabilità amministrativa degli enti gran parte dei reati informatici. La normativa considera, in modo specifico, quei reati che richiedono necessariamente, per la loro consumazione, l’utilizzo di tecnologie dell’informazione e dei sistemi informatici.
Tuttavia, l’art. 24-bis non esaurisce la propria portata con riferimento ai soli reati informatici in senso stretto, ma abbraccia anche fattispecie che possono essere commesse o facilitate attraverso la rete o il web, quali i reati in materia di terrorismo (art. 25-quater), la pedopornografia virtuale (art. 25-quinquies) e il riciclaggio (art. 25-octies). Si tratta di reati che, pur non essendo strettamente legati all’informatica, trovano un terreno fertile di sviluppo nell’ambito digitale.
Per quanto concerne i reati informatici in senso stretto, è necessario sottolineare che essi sono volti a tutelare tre ambiti specifici: la riservatezza dei dati e delle comunicazioni informatiche, l’integrità dei dati e dei sistemi informatici, e la fede pubblica. Il primo di questi ambiti è protetto dall’art. 615-ter c.p., che punisce l’accesso abusivo a un sistema informatico o telematico. Questa fattispecie sanziona il comportamento di chi, senza autorizzazione, accede a un sistema informatico o telematico, o vi si trattiene oltre i limiti consentiti.
In merito a tale reato, la giurisprudenza ha spesso dibattuto sulla rilevanza della permanenza non autorizzata all’interno di un sistema informatico da parte di un soggetto che, pur essendo in possesso delle credenziali di accesso, utilizza il sistema per scopi diversi da quelli consentiti. Nella stessa area di protezione della riservatezza si collocano anche i reati di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.), i quali rappresentano condotte prodromiche rispetto all’accesso abusivo, nonché le fattispecie di intercettazione abusiva di comunicazioni informatiche o telematiche (artt. 617-quater e quinquies c.p.).
Il secondo ambito di tutela, relativo all’integrità dei dati e dei sistemi informatici, è presidiato dalle fattispecie di danneggiamento introdotte dal legislatore con la legge n. 48 del 2008. Il legislatore ha articolato la risposta sanzionatoria distinguendo tra il danneggiamento di dati, programmi o sistemi informatici privati e il danneggiamento di sistemi pubblici o di pubblica utilità.
Le fattispecie più significative in questo ambito sono gli artt. 635-bis e 635-ter c.p., che tutelano rispettivamente i dati e i programmi informatici privati e pubblici, con una protezione anticipata per questi ultimi, e gli artt. 635-quater e 635-quinquies c.p., che puniscono le condotte di danneggiamento mediante l’utilizzo di virus o altri programmi dannosi. Una novità rilevante introdotta di recente è l’art. 635-quater.1 c.p., il quale punisce la produzione, diffusione o semplice detenzione di programmi informatici progettati per danneggiare sistemi o dati, configurando una protezione avanzata per i sistemi di pubblica utilità.
Infine, tra i reati informatici, l’ultimo ambito di tutela riguarda la fede pubblica, con due fattispecie specifiche: l’art. 491-bis c.p., che estende la disciplina della falsità documentale anche al documento informatico, e l’art. 640-quinquies c.p., che punisce le frodi informatiche connesse all’alterazione di dati, specialmente se finalizzate a trarre un ingiusto profitto a discapito della pubblica amministrazione. Questi reati rappresentano una minaccia particolarmente rilevante nell’ambito dei rapporti con le pubbliche amministrazioni, ove l’utilizzo fraudolento di dati può compromettere la trasparenza e la correttezza delle transazioni pubbliche.
Accanto ai reati informatici tradizionali, il legislatore ha recentemente introdotto, attraverso il decreto-legge n. 105 del 2019 (convertito in legge n. 133 del 2019), un’ulteriore figura di reato volta a tutelare la sicurezza cibernetica nazionale. L’art. 24-bis del D. Lgs. 231/2001 è stato infatti modificato per includere la sanzione della falsa o omessa comunicazione di dati o informazioni rilevanti per la sicurezza nazionale, nell’ambito del cosiddetto Perimetro di Sicurezza Nazionale Cibernetica. Questo nuovo reato mira a garantire la tempestiva e accurata trasmissione di informazioni alle autorità preposte, al fine di prevenire o mitigare minacce alla sicurezza dei sistemi informatici che svolgono funzioni critiche per il Paese.
Reati informatici e 231. Le novità introdotte dalla Legge 90/2024
La Legge n. 90 del 2024 ha apportato ulteriori modifiche significative all’art. 24-bis del D. Lgs. 231/2001, inasprendo le sanzioni pecuniarie previste per i reati informatici e introducendo nuove fattispecie di reato, come l’estorsione informatica, comunemente associata all’uso di ransomware. Il legislatore ha così inteso rafforzare il sistema sanzionatorio per gli enti coinvolti in reati informatici, con un chiaro intento deterrente. Le sanzioni pecuniarie sono state aumentate, con un massimo che ora raggiunge le settecento quote, mentre per i reati di estorsione informatica è stata prevista una sanzione specifica che può arrivare fino a ottocento quote.
Un ulteriore aspetto rilevante introdotto dalla Legge n. 90 del 2024 è la previsione di sanzioni interdittive per gli enti condannati per reati di estorsione informatica, con la possibilità di interdizioni dall’esercizio dell’attività per un periodo non inferiore a due anni. Tale misura dimostra l’importanza che il legislatore attribuisce alla prevenzione di tali reati, i quali rappresentano una minaccia sempre più concreta per le imprese, specie quelle che operano nel settore critico delle infrastrutture digitali.
In sintesi, l’art. 24-bis del D. Lgs. 231/2001, grazie anche alle modifiche introdotte dalla Legge n. 90 del 2024, si configura come uno strumento fondamentale per la responsabilizzazione delle imprese nell’ambito della sicurezza informatica “interna” all’ente. Le nuove disposizioni, oltre a incrementare le sanzioni, rafforzano la capacità delle autorità di contrastare efficacemente il fenomeno dei reati informatici, ponendo l’accento sulla necessità per le imprese di adottare misure di compliance adeguate a prevenire tali condotte.
Modelli organizzativi per la prevenzione dei reati informatici
L’adozione di modelli organizzativi per la prevenzione dei reati informatici è un processo complesso che richiede un’attenta pianificazione e l’implementazione di strategie mirate a ridurre il rischio derivante dall’uso delle tecnologie informatiche all’interno dell’azienda. La creazione di questi modelli deve essere specificamente adattata alle caratteristiche della singola impresa, considerando la natura delle sue attività e il contesto tecnologico in cui opera.
Uno degli aspetti più critici nella costruzione di un modello organizzativo è la possibilità che un reato informatico venga commesso utilizzando un dispositivo aziendale, anche senza che sia stato identificato l’autore della condotta criminosa. L’impresa, in questi casi, potrebbe trovarsi a rispondere per un illecito, nonostante l’impossibilità di ricostruire con precisione la dinamica del fatto o l’identità del responsabile.
Per tale ragione, l’adozione di una disciplina interna rigorosa sull’uso dei sistemi informatici e dei software aziendali diventa un passaggio imprescindibile per una gestione efficace del rischio.
La prevenzione dei reati informatici richiede l’implementazione di una politica di sicurezza equilibrata che comprenda sia misure tecniche che misure organizzative. Prima di tutto, è necessario condurre una mappatura completa di tutti i componenti dell’infrastruttura IT dell’azienda, inclusi i software installati e i dispositivi utilizzati. Successivamente, si procede con un’analisi dei rischi (risk assessment), finalizzata a identificare le vulnerabilità presenti e a sviluppare procedure adeguate per la gestione dei rischi legati agli asset immateriali dell’azienda, come i dati e le informazioni riservate.
Un aspetto centrale nella costruzione del modello organizzativo è la corretta assegnazione di ruoli e responsabilità all’interno dell’azienda. Questo comprende la regolamentazione dell’accesso ai sistemi informatici mediante l’uso di registrazioni, autenticazioni e log sui server aziendali, oltre al controllo costante del loro utilizzo, come ad esempio la verifica dei software installati e il monitoraggio delle attività svolte sui sistemi aziendali. Questi controlli devono essere adeguati e continui per garantire una tracciabilità efficace delle operazioni compiute e prevenire usi impropri dei sistemi.
Nel contesto della prevenzione degli attacchi informatici, la normativa prevista dal D. Lgs. 231/2001 si affianca ad altre importanti disposizioni legislative, come la Direttiva NIS e il Regolamento generale sulla protezione dei dati (GDPR). Questi strumenti normativi pongono l’accento sulla accountability delle imprese, incentivandole a sviluppare sistemi di sicurezza avanzati per proteggere i propri dati e le proprie infrastrutture.
Tuttavia, in alcune circostanze, la disciplina del D. Lgs. 231/2001 non trova applicazione, come nel caso in cui l’impresa sia il bersaglio di un attacco esterno. In questi casi, non si configura un reato commesso “nell’interesse o a vantaggio” dell’ente, requisito essenziale per la responsabilità prevista dalla normativa.
I modelli organizzativi finalizzati alla prevenzione dei reati informatici devono concentrarsi su tre principali contesti di rischio. Il primo è quello degli accessi abusivi a sistemi informatici e telematici, spesso compiuti per ottenere dati sensibili, come le liste clienti o informazioni riservate.
Il secondo riguarda la manipolazione dei dati nel contesto dei rapporti con la Pubblica Amministrazione, come nei casi di sovrafatturazione o alterazione di dati fiscali per ottenere vantaggi indebiti. Il terzo contesto è legato a condotte di danneggiamento o interruzione del funzionamento dei sistemi informatici, finalizzate a causare disservizi o danni all’immagine aziendale.
Negli ultimi anni, la consapevolezza dell’importanza della cybersecurity è aumentata significativamente all’interno delle imprese. Diversi documenti e iniziative, come il Framework Nazionale per la Cybersecurity e la Data Protection, sviluppato dal CINI in collaborazione con università e centri di ricerca, offrono linee guida per migliorare i controlli di sicurezza informatica nelle aziende. Tra le principali misure raccomandate vi sono la gestione degli inventari di dispositivi e software, la protezione contro i malware, la gestione di password e account, nonché la formazione e sensibilizzazione del personale in materia di cybersicurezza.
In definitiva, l’adozione di un modello organizzativo che includa queste misure di prevenzione è cruciale per ridurre il rischio di commissione di reati informatici. L’implementazione di un sistema di sicurezza robusto non solo tutela i dati e i sistemi aziendali, ma contribuisce anche a migliorare la reputazione e la competitività dell’azienda, garantendo il rispetto delle normative vigenti.
Reati informatici e 231: l’importanza nella corporate compliance
In conclusione, la crescente complessità dei reati informatici e la loro incidenza sulle attività aziendali rendono indispensabile una consulenza legale qualificata per la valutazione dei rischi, la definizione di processi di sicurezza e la costruzione di un modello organizzativo adeguato a prevenire tali condotte illecite. Rivolgersi a un avvocato specializzato in diritto penale consente di affrontare queste problematiche con una prospettiva mirata e strategica, garantendo il rispetto della normativa vigente e la protezione del patrimonio aziendale.
Lo Studio Legale D’Agostino vanta una expertise trasversale nell’ambito della criminalità informatica e della corporate compliance, offrendo un supporto legale di alto livello che garantisce l’adozione di soluzioni efficaci e innovative per la gestione dei rischi cibernetici.
Grazie alla consolidata esperienza in questi settori, lo Studio è in grado di assicurare un elevato standard qualitativo, accompagnando le imprese nella realizzazione di un sistema di compliance solido e conforme alle esigenze normative più attuali, in materia di prevenzione dei reati informatici.
Assistenza legale per reati informatici e cybercrime – Studio Legale Luca D’Agostino, Roma. Legge 90/2024.
da Redazione | Ott 18, 2024 | Notizie e Aggiornamenti Legislativi, Diritto d'Impresa, Diritto Penale
La Direttiva NIS 2 (Direttiva (UE) 2022/2555) è il corpus normativo principale nell’ambito della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. L’obiettivo primario di questa normativa è, come noto, quello di migliorare la resilienza delle infrastrutture digitali europee, introducendo obblighi più stringenti per gli operatori di servizi essenziali e importanti.
Rispetto alla precedente Direttiva NIS, la NIS 2 estende il campo di applicazione e rafforza le misure di gestione del rischio di cybersicurezza, armonizzando ulteriormente le normative tra gli Stati membri.
In questo contesto, il Regolamento di attuazione recentemente approvato dalla Commissione Europea si inserisce come elemento cruciale per la concretizzazione delle disposizioni previste dalla Direttiva NIS 2. Esso è stato adottato sulla base dell’articolo 21, paragrafo 5, della Direttiva NIS 2, che stabilisce che entro il 17 ottobre 2024, la Commissione debba adottare atti di esecuzione per definire i requisiti tecnici e metodologici delle misure di gestione del rischio. Questi requisiti riguardano una serie di fornitori di servizi critici, tra cui i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD), i fornitori di cloud computing, i data center, le reti di distribuzione dei contenuti (CDN), e altri operatori di servizi essenziali.
In parallelo, l’articolo 23, paragrafo 11, della Direttiva NIS 2 stabilisce che, entro la stessa scadenza, la Commissione adotti atti di esecuzione per specificare i casi in cui un incidente debba essere considerato significativo. Ciò si applica ai fornitori sopra elencati e ad altri soggetti essenziali e importanti, con l’obiettivo di garantire una risposta adeguata e tempestiva agli incidenti informatici che possano mettere a rischio la sicurezza delle reti e dei sistemi informativi.
L’obiettivo di questo articolo è offrire una panoramica dettagliata del Regolamento di attuazione della Direttiva NIS 2, che introduce una disciplina vincolante per una serie di operatori che svolgono un ruolo cruciale nella sicurezza digitale europea.
Il Regolamento, che entrerà in vigore dopo la sua pubblicazione ufficiale, si applica esclusivamente alle relevant entities o entità rilevanti, definite come quei soggetti che forniscono servizi critici per la società e l’economia. Tra queste entità si annoverano fornitori di servizi DNS, di cloud computing, di reti di distribuzione dei contenuti, motori di ricerca online, piattaforme di social networking e altre infrastrutture digitali di importanza strategica.
Nel prosieguo dell’articolo, esploreremo più nel dettaglio le misure di gestione del rischio previste dal Regolamento e le modalità per determinare quando un incidente debba essere considerato significativo ai sensi della Direttiva NIS 2. Per approfondimenti circa la normativa nazionale di recepimento della Direttiva NIS 2 e il calendario delle scadenze, rinviamo ai nostri precedenti articoli.
Requisiti di gestione del rischio nella Direttiva NIS 2
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea pongono al centro dell’attenzione la necessità per le “entità rilevanti” di adottare misure specifiche di gestione del rischio per la sicurezza delle reti e dei sistemi informativi. La disciplina dettagliata di tali misure è contenuta nell’Annex I del Regolamento, che rappresenta un pilastro normativo fondamentale per garantire la sicurezza cibernetica all’interno dell’Unione Europea.
L’Annex I si struttura in diverse sezioni, ciascuna delle quali delinea un insieme di requisiti tecnici e metodologici che le entità rilevanti devono implementare. Tali misure sono organizzate in modo da coprire tutti gli aspetti cruciali della gestione del rischio di cybersecurity, con l’obiettivo di fornire un approccio omnicomprensivo alla sicurezza informatica. Tra le principali aree trattate figurano la protezione delle reti, dei sistemi informativi e dei dati, nonché la preparazione a rispondere a eventuali incidenti di sicurezza.
Le misure descritte nell’Annex I impongono alle entità rilevanti l’adozione di politiche di sicurezza informatica che coprano l’intero ciclo di vita dei sistemi e dei servizi. Queste politiche devono essere sviluppate sulla base di una valutazione continua del rischio, che prevede l’identificazione delle minacce potenziali, la stima della probabilità che si verifichino incidenti e l’adozione di misure di mitigazione adeguate. L’Annex I stabilisce, inoltre, che queste politiche devono essere sottoposte a revisione periodica per adattarsi alle nuove sfide poste dall’evoluzione tecnologica e dalle crescenti minacce cibernetiche.
Inoltre, una sezione fondamentale dell’Annex I riguarda la gestione degli incidenti di sicurezza informatica. Le entità rilevanti sono tenute a implementare misure che consentano il rilevamento, la gestione e la risoluzione tempestiva degli incidenti. Questo include l’obbligo di monitorare continuamente le attività delle reti e dei sistemi informativi, in modo da rilevare eventuali anomalie che possano indicare un’intrusione o un attacco.
L’Annex I si occupa anche della continuità operativa, stabilendo che le entità rilevanti devono predisporre piani di continuità e ripristino delle attività, volti a garantire la ripresa delle operazioni nel minor tempo possibile in caso di interruzioni. Questi piani devono essere regolarmente testati e aggiornati, per assicurare che restino efficaci nel tempo e in linea con le esigenze operative dell’entità.
Un altro elemento di grande rilevanza trattato dall’Annex I riguarda la sicurezza della catena di fornitura (tema che, in generale, abbiamo già approfondito in un precedente articolo). Le entità rilevanti non solo devono assicurarsi che i loro sistemi e reti siano protetti, ma devono anche vigilare affinché i fornitori terzi che partecipano alla loro catena produttiva o distributiva rispettino standard di sicurezza analoghi. Questo principio garantisce un approccio integrato alla gestione del rischio, prevenendo potenziali vulnerabilità derivanti da attori esterni.
L’Annex I, dunque, costituisce la base normativa essenziale che le entità rilevanti devono seguire per conformarsi ai requisiti di gestione del rischio imposti dalla Direttiva NIS 2, garantendo così una maggiore resilienza delle infrastrutture digitali europee.
Incidenti significativi nel Regolamento di attuazione della Direttiva NIS 2
La Direttiva NIS 2, unitamente al Regolamento di attuazione, introduce una disciplina specifica per la gestione degli incidenti significativi. Ai sensi dell’articolo 3 del Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri previsti dalla Direttiva stessa e dal Regolamento, con l’obiettivo di garantire che tali eventi ricevano una risposta tempestiva e adeguata. La rilevanza di un incidente non si limita al suo impatto immediato sui sistemi informativi dell’entità, ma viene valutata anche in funzione delle conseguenze economiche, operative e sociali che può determinare.
Secondo l’articolo 3, un incidente è considerato significativo se soddisfa uno o più criteri generali. Tra questi, vi è la possibilità che l’incidente comporti una perdita finanziaria diretta per l’entità rilevante superiore a 500.000 euro o al 5% del fatturato annuo complessivo dell’entità nell’anno finanziario precedente, a seconda di quale importo sia inferiore. Altri criteri includono la compromissione della riservatezza, integrità o autenticità dei dati, oppure la possibilità che l’incidente causi la morte o danni significativi alla salute di una persona fisica. Inoltre, il Regolamento introduce criteri specifici per diverse tipologie di entità rilevanti, in modo da adeguare la valutazione dell’incidente alle caratteristiche particolari dei servizi forniti.
Ai sensi dell’articolo 5, se l’incidente riguarda un fornitore di servizi DNS, esso è considerato significativo se uno o più criteri vengono soddisfatti. Tra questi, il servizio di risoluzione dei nomi di dominio autoritativo o ricorsivo deve essere completamente non disponibile per un periodo superiore a 30 minuti. In alternativa, la risposta del servizio di risoluzione dei nomi di dominio potrebbe superare i 10 secondi per oltre un’ora, rendendo il servizio inadeguato a rispondere in modo efficiente alle richieste DNS. Un altro criterio di significatività è la compromissione dell’integrità, riservatezza o autenticità dei dati trattati dal fornitore, soprattutto se tale compromissione coinvolge una quota rilevante di nomi di dominio gestiti.
Per quanto riguarda i registri di nomi di dominio di primo livello (TLD), l’articolo 6 stabilisce che un incidente è considerato significativo se il servizio di risoluzione dei nomi di dominio autoritativo è completamente non disponibile o se il tempo di risposta medio supera i 10 secondi per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati legati al TLD può essere determinante nel qualificare l’incidente come significativo, se tale compromissione mina la riservatezza o l’integrità delle informazioni trattate.
Ai sensi dell’articolo 7 del Regolamento attuativo della Direttiva NIS 2, un fornitore di servizi di cloud computing è soggetto a criteri di significatività qualora il servizio di cloud computing sia completamente non disponibile per più di 30 minuti. Inoltre, se la disponibilità del servizio è limitata per oltre il 5% degli utenti del cloud nell’Unione Europea, o per più di un milione di utenti, l’incidente può essere considerato significativo. La compromissione dell’integrità, riservatezza o autenticità dei dati trattati da tali fornitori può inoltre essere un fattore determinante, soprattutto se coinvolge una quota considerevole di utenti del servizio.
Analogamente, l’articolo 8 del Regolamento attuativo della Direttiva NIS 2 disciplina gli incidenti che coinvolgono i fornitori di servizi di data center. Un incidente è considerato significativo se il servizio di data center risulta completamente non disponibile o se la disponibilità del servizio è limitata per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati trattati nel data center può qualificare l’incidente come significativo, così come la compromissione dell’accesso fisico al data center stesso, soprattutto se si verifica una violazione dei meccanismi di protezione fisica che limitano l’accesso alle aree sensibili.
Per i fornitori di reti di distribuzione dei contenuti (CDN), l’articolo 9 stabilisce che un incidente è significativo se la rete di distribuzione è completamente non disponibile per più di 30 minuti. Se l’indisponibilità del servizio impatta oltre il 5% degli utenti della rete di distribuzione o coinvolge più di un milione di utenti, l’incidente è considerato significativo. Come per le altre entità, anche la compromissione della riservatezza, integrità o autenticità dei dati trattati dalla rete di distribuzione dei contenuti può rappresentare un criterio rilevante.
L’articolo 11 riguarda i fornitori di marketplace online, dove un incidente è considerato significativo se più del 5% degli utenti o oltre un milione di utenti nell’Unione sono coinvolti dall’indisponibilità totale o parziale del servizio. Anche in questo contesto, la sicurezza dei dati trattati gioca un ruolo fondamentale, in particolare se vi è stata una compromissione della riservatezza, integrità o autenticità delle informazioni.
Infine, gli articoli 12 e 13 del Regolamento attuativo della Direttiva NIS 2 disciplinano rispettivamente i criteri per gli incidenti significativi che coinvolgono i motori di ricerca online e le piattaforme di servizi di social networking, stabilendo criteri simili in termini di indisponibilità dei servizi e compromissione della sicurezza dei dati. Anche in questi casi, l’indisponibilità che colpisce una percentuale significativa di utenti o la violazione dei dati trattati costituisce un elemento chiave nella valutazione della significatività dell’incidente.
In conclusione, il Regolamento di attuazione della Direttiva NIS 2 stabilisce una disciplina precisa e articolata per identificare e gestire gli incidenti significativi, tenendo conto delle peculiarità delle diverse entità rilevanti e del tipo di servizi forniti.
Direttiva NIS 2 e Regolamento di attuazione. Quali adempimenti?
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea rappresentano un significativo passo avanti nella gestione della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. La definizione precisa delle misure di gestione del rischio e la determinazione degli incidenti significativi hanno come obiettivo quello di creare un quadro giuridico uniforme e robusto, capace di rispondere alle sfide sempre più complesse del panorama cibernetico moderno. Con l’entrata in vigore del Regolamento, le “entità rilevanti” dovranno adattarsi a nuovi standard di sicurezza e adottare un approccio proattivo nella gestione dei rischi informatici.
Per le entità rilevanti, la conformità alla Direttiva NIS 2 richiederà un impegno non solo tecnico ma anche organizzativo, attraverso l’implementazione di politiche di sicurezza coerenti e la formazione continua del personale coinvolto. Gli operatori economici, in particolare, dovranno assicurarsi che anche la loro catena di fornitura rispetti gli stessi criteri di sicurezza cibernetica. Il mancato adeguamento può comportare sanzioni rilevanti e, soprattutto, una vulnerabilità critica nei confronti delle minacce informatiche.
In questo contesto di crescente complessità normativa, lo Studio Legale D’Agostino, con la sua consolidata esperienza in ambito di corporate compliance e cybersicurezza, è in grado di fornire un supporto strategico essenziale. La nostra competenza nella gestione delle problematiche legate alla conformità aziendale e alla sicurezza informatica ci permette di assistere le imprese e le pubbliche amministrazioni nel processo di implementazione della Direttiva NIS 2, garantendo un approccio personalizzato e orientato alla prevenzione dei rischi.
Siamo lieti e orgogliosi di accompagnarvi nel percorso di adeguamento normativo, fornendo soluzioni efficaci e su misura per proteggere le vostre infrastrutture digitali e ridurre al minimo l’esposizione ai rischi cibernetici.
SCARICA QUI IL TESTO DEL Regolamento di attuazione della Direttiva NIS 2 del 17.10.2024
Studio Legale D’Agostino a Roma: consulenza su Decreto NIS 2, cyber security e sicurezza informatica, con definizioni chiave su incidenti, vulnerabilità e misure di sicurezza
da Redazione | Ott 18, 2024 | Diritto d'Impresa, Diritto civile
Come noto, la Direttiva NIS 2 (2555/2022/UE) rappresenta una tappa fondamentale nella regolamentazione della sicurezza informatica a livello europeo. Con l’emanazione del Decreto Legislativo n. 138/2024, l’Italia ha recepito le disposizioni comunitarie, ampliando notevolmente l’ambito di applicazione rispetto alla normativa precedente.
Gli operatori economici che rientrano nell’ambito soggettivo di applicazione della NIS 2 sono chiamati a rispettare precisi obblighi informativi e di gestione dei rischi, nonché ad assicurare l’adozione di misure adeguate e l’obbligo di notificare tempestivamente eventuali incidenti informatici che possano compromettere la sicurezza delle reti.
I soggetti inseriti nell’elenco, predisposto dall’Autorità Nazionale per la Cybersicurezza (ACN), dovranno adempiere agli obblighi previsti dalla normativa entro precise scadenze, come già approfondito in un precedente articolo pubblicato sul nostro sito, al quale facciamo rinvio.
Per quel che qui interessa, la normativa NIS 2 impone una particolare attenzione alla sicurezza della catena di approvvigionamento, con un impatto non trascurabile per i fornitori dei soggetti NIS. Cosa cambierà nei rapporti tra clienti NIS e fornitori?
A ben vedere, la Direttiva NIS 2 e il Decreto Legislativo di attuazione possiedono un perimetro di applicazione più ampio di quanto possa sembrare a prima vista. Sebbene gli obblighi diretti ricadano sui soggetti definiti essenziali e importanti, il meccanismo normativo ha un impatto considerevole anche sui fornitori di tali soggetti.
Il legislatore europeo, consapevole dei rischi che la catena di approvvigionamento può comportare per la sicurezza informatica, ha introdotto l’obbligo per i soggetti NIS di tenere in considerazione la resilienza dei propri fornitori e la qualità delle pratiche di cybersicurezza adottate da questi ultimi. La sicurezza informatica, dunque, non si limita a una dimensione interna, ma si estende lungo tutta la filiera, creando un vero e proprio “effetto a cascata” che investe anche i fornitori a valle.
Questo significa che i fornitori di soggetti critici, pur non essendo direttamente destinatari della Direttiva NIS 2, dovranno comunque adottare misure adeguate per dimostrare di essere conformi agli standard di sicurezza richiesti dai propri clienti.
In sostanza, le imprese fornitrici saranno tenute a integrare nei propri processi di gestione del rischio misure di mitigazione del rischio informatico, al fine di tutelare i propri clienti e, in definitiva, garantire la continuità delle relazioni commerciali. Questo scenario rende la cybersicurezza non solo un obbligo normativo, ma anche un driver di competitività sul mercato. La capacità di un’azienda di dimostrare ai propri clienti di essere compliant con le normative in materia di sicurezza informatica diventa un fattore determinante per mantenere il proprio status di fornitore.
Dal lato dei soggetti inclusi nell’elenco NIS 2, vi è la necessità di integrare la verifica della sicurezza dei fornitori nei processi aziendali. Questo processo dovrà prevedere non solo una valutazione puntuale dei rischi legati ai fornitori diretti, ma anche l’adozione di accordi contrattuali che definiscano con precisione le responsabilità reciproche in materia di gestione dei rischi di cybersicurezza. Le imprese dovranno quindi adottare misure per garantire la protezione delle loro infrastrutture digitali, sviluppando un sistema integrato di sicurezza informatica che coinvolga tutti i soggetti che operano lungo la catena di approvvigionamento.
Catena di approvvigionamento e rapporti con i fornitori nella normativa NIS 2
Per comprendere l’importanza di una corretta governance della sicurezza informatica lungo la catena di approvvigionamento, è indispensabile dare uno sguardo alle disposizioni della Direttiva NIS 2 (2555/2022/UE) e alle previsioni del D. Lgs. 138/2024.
In particolare, già il considerandum n. 85 sottolinea l’importanza di «affrontare i rischi derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori, ad esempio i fornitori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti e gli editori di software». Tale necessità deriva dal fatto che la prevalenza di incidenti, in cui i cybercriminali sono stati in grado di compromettere la sicurezza dei sistemi informatici e di rete, interessano prodotti e servizi di terzi fornitori dei soggetti NIS.
I soggetti essenziali e importanti dovrebbero pertanto valutare e tenere in considerazione «la qualità e la resilienza complessive dei prodotti e dei servizi, delle misure di gestione dei rischi di cibersicurezza in essi integrate e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro».
In particolare, i soggetti essenziali e importanti dovrebbero essere incoraggiati a integrare misure di gestione dei rischi di cibersicurezza negli accordi contrattuali con i loro fornitori e fornitori di servizi diretti. Tali soggetti potrebbero, inoltre, prendere in considerazione i rischi derivanti da altri livelli di fornitori e fornitori di servizi.
Inoltre, l’art. 21 della Direttiva NIS 2, dopo aver stabilito che i soggetti essenziali e importanti devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività, pone un preciso obbligo relativo alla sicurezza della catena di approvvigionamento.
Nel dettaglio, il secondo comma dell’art. 21 della Direttiva NIS 2 dispone che le misure debbano aver riguardo alla «sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi».
Al terzo comma si precisa ulteriormente che, nel valutare quali misure siano adeguate, i soggetti tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.
Le indicazioni del Legislatore europeo sono state recepite nel nostro ordinamento con l’adozione del Decreto NIS 2 (D. Lgs. 138/2024).
Occorre in primis considerare che il possesso della qualifica di fornitore di un soggetto NIS può comportare, per determinati soggetti, l’inserimento nell’elenco dei destinatari della disciplina. Conviene al riguardo osservare che, ai sensi dell’art. 3, comma 9 del Decreto NIS 2, la normativa si applica anche ai soggetti dei settori o delle tipologie di cui agli allegati I, II, III e IV, indipendentemente dalle loro dimensioni, qualora «il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti».
Vieppiù, ai sensi dell’art. 24, comma 2 del Decreto NIS, le misure di sicurezza sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete, nonché il loro ambiente fisico da incidenti, che comprendono – tra l’altro – anche la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
Infine, l’art. 24, comma 3 dispone che, nel valutare quali misure siano adeguate, i soggetti tengono conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Per la medesima finalità i soggetti tengono altresì conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.
NIS 2 e supply chain. Adempimenti per clienti e fornitori.
In conclusione, è chiaro che l’estensione degli obblighi di cybersicurezza lungo la catena di approvvigionamento ha generato un effetto moltiplicatore che amplia significativamente il perimetro di applicazione della normativa NIS 2. Questo effetto si traduce in una maggiore responsabilità non solo per i soggetti essenziali e importanti, ma anche per i loro fornitori, i quali devono essere consapevoli delle implicazioni normative.
Già lo status di fornitore di un soggetto critico può comportare l’inclusione tra i destinatari diretti della disciplina, come previsto dall’art. 3, comma 9, del D. Lgs. 138/2024. Ma al di là di tale profilo, i soggetti essenziali e importanti sono tenuti a rivedere attentamente i propri processi di approvvigionamento, mantenendo nell’albo fornitori solo coloro che sono in grado di assicurare standard elevati di sicurezza informatica.
Più precisamente, dal punto di vista dei soggetti NIS 2, la crescente attenzione alla sicurezza richiede non solo una valutazione continua dei fornitori già presenti, ma anche l’introduzione di nuove procedure di selezione e mantenimento, che tengano conto delle vulnerabilità dei fornitori lungo tutta la catena di approvvigionamento.
A questo riguardo, è fondamentale che la documentazione contrattuale venga aggiornata e revisionata. Sarà opportuno prevedere clausole specifiche che disciplinino la gestione della cybersicurezza e la ripartizione delle responsabilità nella gestione dei rischi informatici. L’elaborazione di modelli contrattuali ad hoc, specialmente per i fornitori di beni e servizi ICT critici, diventa una pratica essenziale per garantire la compliance normativa.
Parimenti, la modulistica per l’iscrizione o la permanenza nell’albo fornitori dovrà essere aggiornata per dimostrare una piena accountability rispetto agli obblighi previsti dalla normativa, facilitando così i controlli e garantendo trasparenza nelle relazioni commerciali.
Dal punto di vista dei fornitori, il supporto legale è cruciale per affrontare questa sfida in modo strategico. La comprensione dettagliata degli obblighi imposti dalla NIS 2 è necessaria per mantenere la propria competitività sul mercato. In particolare, sarà opportuno adottare modelli e codici di condotta per garantire una gestione efficace non solo della sicurezza tecnologica, ma anche del fattore umano, che rappresenta una componente essenziale nella protezione dai rischi di cybersicurezza.
In tale contesto, anche la formazione del personale diventa un elemento fondamentale per dimostrare che la gestione dei rischi è effettuata in modo adeguato e consapevole.
Il sostegno di un professionista legale con esperienza in cybersicurezza non solo garantisce la corretta applicazione delle normative, ma consente anche di predisporre una strategia a lungo termine per prevenire rischi e gestire le relazioni con i fornitori. Per questo motivo, il nostro Studio Legale ha predisposto una checklist specifica per fornitori e soggetti essenziali/importanti, così da agevolare l’adeguamento alle disposizioni della NIS 2 relative alla catena di approvvigionamento.
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2, gestione del rischio e incidenti informatici
da Redazione | Ott 17, 2024 | Diritto d'Impresa, Notizie e Aggiornamenti Legislativi
Il nuovo Regolamento DORA (Digital Operational Resilience Act) introduce sfide rilevanti in materia di compliance finanziaria aziendale, aprendo a nuove forme di responsabilità per gli organi societari. Comprendere le motivazioni e gli obiettivi di tale normativa richiede un’analisi preliminare delle ragioni che hanno spinto la Commissione Europea, seguita dal Parlamento, a intervenire in ambito di sicurezza informatica nel settore finanziario. Si sottolinea che, peraltro, molti enti destinatari del Regolamento DORA, rientrano anche tra i soggetti obbligati ai sensi della Direttiva NIS 2 e del Decreto Legislativo 138/2024; rinviamo sul punto al nostro precedente e specifico approfondimento.
Negli ultimi anni, si è assistito a un significativo aumento degli attacchi informatici diretti verso grandi aziende, in particolare nel settore bancario e finanziario, con esempi emblematici come Unicredit e Intesa SanPaolo, nonché verso amministrazioni pubbliche di rilievo, come l’Agenzia delle Entrate e la Regione Lazio. Tali attacchi causano incidenti di sicurezza con conseguenze non solo per l’impresa o l’ente colpito, ma anche per l’intera comunità e, in alcuni casi, per l’intero Paese.
Le violazioni dei sistemi informatici incidono infatti sulla riservatezza, integrità e disponibilità di dati e informazioni, generando effetti negativi immediati sia per i cittadini, sotto il profilo economico, sia in relazione ai diritti fondamentali garantiti dalla Costituzione, come il diritto alla salute, alla riservatezza e alla tutela del risparmio.
Nell’attuale contesto digitale, le tecnologie dell’informazione e della comunicazione (TIC) costituiscono il pilastro su cui si fondano i principali settori economici, tra cui quello finanziario, e sono essenziali per il buon funzionamento del mercato interno. Tuttavia, l’accresciuto livello di digitalizzazione e interconnessione amplifica i rischi informatici, rendendo la società, e in particolare il sistema finanziario, sempre più vulnerabile a minacce e perturbazioni legate alle TIC.
Questo articolo mira a esaminare i profili giuridici più rilevanti che il Regolamento DORA introduce, offrendo un quadro degli adempimenti che i soggetti obbligati dalla normativa dovranno tenere in considerazione.
Regolamento DORA: entrata in vigore, finalità e soggetti obbligati
Il Regolamento DORA (Digital Operational Resilience Act), entrato formalmente in vigore nel gennaio 2023, diverrà pienamente vincolante a partire dal 17 gennaio 2025. Tale Regolamento mira a rafforzare le misure di sicurezza informatica e la cosiddetta resilienza digitale all’interno del settore finanziario, il quale è particolarmente esposto a attacchi informatici.
L’Unione Europea, riconoscendo la natura strategica di questo settore per la stabilità economica e la libera circolazione di capitali, merci, servizi e persone, ha adottato il DORA come strumento per armonizzare la legislazione degli Stati membri, introducendo standard comuni e obbligatori in tema di sicurezza operativa.
La finalità primaria del DORA è quella di proteggere la competitività e la stabilità finanziaria dell’Unione Europea, uniformando le diverse normative nazionali sotto un insieme di regole condivise, specificamente concepite per la prevenzione e gestione degli attacchi informatici che colpiscono le imprese del settore finanziario. La consapevolezza che le minacce informatiche abbiano una dimensione intrinsecamente transnazionale ha spinto il legislatore europeo a perseguire una politica comune, idonea a contrastare i rischi che superano i confini nazionali.
Il Regolamento DORA si inserisce in un contesto di continuità con precedenti normative europee, come la Direttiva NIS 2, adottando misure rigorose per la gestione del rischio informatico e la protezione dei dati. Tra le disposizioni di maggior rilievo, vi è l’obbligo per gli operatori finanziari di adottare specifici standard per il monitoraggio continuo dell’efficacia dei modelli di resilienza operativa e per la realizzazione di test periodici. Questi test mirano a verificare la capacità delle imprese di rispondere prontamente a incidenti di sicurezza, prevedendo anche l’obbligo di segnalazione tempestiva degli incidenti stessi alle autorità competenti.
Un aspetto centrale del DORA riguarda la conformità dei contratti stipulati con fornitori terzi, soprattutto laddove questi ultimi siano coinvolti nell’utilizzo di tecnologie dell’informazione e della comunicazione (TIC). Questo obbligo di conformità sottolinea l’importanza di garantire che l’intera filiera di partner commerciali rispetti le medesime norme di sicurezza, minimizzando così il rischio di vulnerabilità derivanti da soggetti esterni all’impresa.
Il concetto di resilienza digitale trova piena applicazione all’interno del DORA, definendo la capacità delle aziende del settore finanziario di preservare e garantire la propria integrità operativa sotto il profilo tecnologico. Ciò comporta l’adozione di misure strutturali che assicurino la sicurezza delle reti, dei sistemi informatici e dei dati utilizzati, come stabilito dall’art. 3 del Regolamento.
Dal punto di vista soggettivo, il Regolamento si applica a un’ampia gamma di operatori del mercato finanziario, tra cui banche, imprese assicurative, intermediari finanziari, fondi di investimento, nonché fornitori di cripto-attività e soggetti terzi che forniscono servizi basati sull’uso delle TIC. In tal modo, il DORA copre una vasta pluralità di soggetti operanti nel sistema economico-finanziario, assicurando che ciascuno di essi sia tenuto ad adottare le misure necessarie per garantire la propria resilienza operativa e per proteggere l’intero ecosistema digitale dell’Unione Europea dalle crescenti minacce informatiche.
Regolamento DORA: obblighi di sicurezza e resilienza
Il Regolamento DORA introduce un complesso quadro di obblighi volti a garantire la sicurezza delle reti e dei sistemi informativi delle entità finanziarie, come delineato dall’art. 1. In particolare, il regolamento impone l’adozione di misure uniformi per salvaguardare la continuità operativa delle imprese e prevenire eventuali compromissioni legate alla cybersecurity. Gli obblighi possono essere distinti in due principali categorie: obblighi interni, relativi alla governance e alla gestione dei rischi informatici, e obblighi esterni, che riguardano la notifica di incidenti e minacce alle autorità competenti.
Tra gli obblighi interni, il DORA pone l’accento sulla gestione dei rischi connessi alle tecnologie dell’informazione e della comunicazione (TIC). Le entità finanziarie devono adottare un approccio strutturato alla resilienza operativa digitale, che include l’implementazione di test periodici per verificare la robustezza dei propri sistemi di sicurezza informatica. Questi test devono essere volti a identificare le vulnerabilità nei sistemi e a stabilire misure adeguate per mitigare i rischi, inclusi quelli derivanti da fornitori terzi. La vigilanza sulla sicurezza delle reti e dei dati è un aspetto cruciale, e il regolamento richiede la predisposizione di protocolli per monitorare costantemente la qualità della sicurezza, con particolare riguardo alla catena di fornitura.
Gli obblighi esterni imposti dal DORA riguardano principalmente la notifica alle autorità competenti di qualsiasi incidente grave o minaccia significativa che possa compromettere la sicurezza delle TIC. Questo include incidenti legati alla sicurezza dei sistemi di pagamento e alle infrastrutture finanziarie digitali. Le entità finanziarie devono, inoltre, condividere informazioni rilevanti riguardanti tali incidenti con le autorità designate, al fine di migliorare la resilienza complessiva del settore.
Un altro punto cruciale del Regolamento DORA è la gestione dei rischi legati ai fornitori esterni di servizi TIC. L’art. 25 del Regolamento specifica l’obbligo di garantire che i fornitori con i quali le entità finanziarie collaborano rispettino gli standard di sicurezza imposti dal DORA, minimizzando così il rischio di compromissioni derivanti da soggetti terzi. Le imprese devono inoltre adottare un modello di gestione del rischio che contempli procedure per affrontare le minacce informatiche in modo proattivo ed efficace.
Il regolamento introduce anche il concetto di resilienza operativa digitale, che si riferisce alla capacità dell’impresa di mantenere l’integrità dei propri sistemi tecnologici e operativi di fronte a incidenti di sicurezza informatica. Questa resilienza deve essere garantita attraverso un quadro di gestione globale che includa politiche, strategie, obiettivi e procedure di sicurezza. L’obiettivo è quello di consentire alle imprese di resistere e riprendersi rapidamente da qualsiasi minaccia o vulnerabilità, assicurando la continuità delle operazioni commerciali. In particolare, l’art. 9 del DORA disciplina la continuità operativa (business continuity), mentre gli articoli 10 e 11 trattano il disaster recovery, ossia la capacità di recupero delle imprese in seguito a incidenti gravi.
Le entità finanziarie sono inoltre obbligate a condurre attività di risk management e risk assessment, con lo scopo di individuare e valutare i rischi informatici legati alla gestione, utilizzo e trasferimento dei dati. Questo processo include l’adozione di soluzioni software e hardware adeguate alla natura e complessità dell’ente, che consentano di prevenire la perdita, alterazione, accesso non autorizzato o fuga di informazioni sensibili. Il DORA impone che tale gestione del rischio ricada sotto la responsabilità diretta dell’organo di gestione dell’impresa, il quale è incaricato di predisporre, applicare e monitorare periodicamente il quadro di gestione della sicurezza informatica.
Infine, il Regolamento richiede che tale quadro venga sottoposto a verifiche periodiche da parte di revisori esterni con comprovate competenze nel settore delle TIC, al fine di garantire che le misure adottate siano adeguate e aggiornate rispetto all’evoluzione delle tecnologie e delle minacce informatiche. Questo meccanismo di revisione continua differenzia il DORA da altri modelli normativi, come il Modello 231, conferendo una maggiore dinamicità e adattabilità alle specifiche esigenze del settore finanziario.
Misure di compliance al DORA: gli obblighi c.d. esterni
La seconda parte del Regolamento DORA, in particolare il Capo III, è dedicata agli obblighi esterni che gravano sugli enti finanziari, con particolare riferimento ai processi di segnalazione e reporting verso le autorità di vigilanza nazionali competenti. Tali obblighi mirano a garantire una gestione tempestiva e trasparente degli incidenti informatici, nonché delle criticità significative legate all’uso delle TIC all’interno del settore finanziario.
In primo luogo, il DORA richiede agli enti finanziari di predisporre piani dettagliati di comunicazione delle crisi e di gestione degli incidenti informatici che si verificano. Questi piani devono includere la classificazione delle perdite e degli impatti, tenendo conto della gravità dell’evento e della criticità dei servizi messi a rischio. In base a quanto previsto dagli artt. 15 e ss. del Regolamento, gli enti devono non solo registrare e classificare ogni incidente informatico, ma anche valutare l’impatto potenziale su terzi, come utenti o clienti, in conformità con l’art. 16.
Tale classificazione è essenziale per garantire una risposta adeguata e proporzionata all’entità del rischio e alla potenziale compromissione dei servizi finanziari.
Una volta classificato l’incidente, la comunicazione deve essere inoltrata all’autorità competente, individuata in modo specifico per ciascuna tipologia di ente finanziario dall’art. 41 del DORA. Le autorità di vigilanza, incaricate di monitorare la resilienza operativa degli istituti finanziari, svolgono un ruolo cruciale nel garantire che il sistema finanziario mantenga la propria integrità e continuità operativa. Il processo di segnalazione e reporting è dunque essenziale per identificare eventuali debolezze nel sistema e promuovere misure correttive che rafforzino la resilienza complessiva del mercato finanziario.
Un altro elemento fondamentale del Regolamento DORA è il ruolo attribuito alle Autorità di vigilanza, sia a livello nazionale che europeo. Queste autorità, tra cui spicca l’Autorità Bancaria Europea (EBA), sono incaricate di valutare la resilienza operativa delle entità finanziarie ricadenti sotto la propria giurisdizione. Tale valutazione si basa su un esame approfondito dei piani di resilienza degli enti, della mappatura dei servizi critici, dei sistemi informatici utilizzati e dei contratti stipulati con fornitori terzi che prevedono l’impiego di TIC.
Le autorità hanno il potere di eseguire ispezioni in loco per verificare la conformità degli enti ai requisiti del DORA e assicurarsi che siano state adottate le misure adeguate per prevenire e gestire incidenti informatici.
Le Autorità di vigilanza sono anche responsabili di fornire linee guida e raccomandazioni (best practices) volte ad assistere le entità finanziarie nell’implementazione dei requisiti normativi del DORA. Esse svolgono un ruolo centrale nel promuovere il coordinamento tra le varie autorità nazionali, europee e le forze dell’ordine, per garantire una risposta tempestiva e coordinata alle minacce informatiche. Questo sistema di collaborazione interistituzionale è volto a rafforzare la capacità di risposta del sistema finanziario alle sfide poste dalla crescente digitalizzazione e interconnessione globale.
Inoltre, il DORA conferisce alle Autorità di vigilanza il potere di applicare sanzioni agli enti finanziari che non rispettano i requisiti previsti dal regolamento. Le sanzioni possono variare a seconda della gravità della violazione e mirano a incentivare l’adozione di misure efficaci per garantire la sicurezza operativa e la protezione delle informazioni finanziarie e sensibili. L’imposizione di sanzioni rappresenta uno strumento fondamentale per assicurare il rispetto del quadro normativo e la corretta attuazione delle misure di resilienza operative da parte degli enti.
Le sanzioni del Regolamento DORA
Il Regolamento DORA introduce un articolato sistema sanzionatorio volto a garantire il rispetto delle misure di resilienza operativa e di sicurezza informatica imposte alle entità finanziarie. Gli artt. 50 e 51 del Regolamento delineano una serie di sanzioni amministrative che possono essere applicate in caso di violazione delle disposizioni normative. Tra le misure più rilevanti, figurano sanzioni pecuniarie che possono raggiungere fino a 10 milioni di euro o, alternativamente, fino al 5% del fatturato annuo complessivo dell’ente finanziario, a seconda di quale cifra risulti più elevata. Queste sanzioni sono accompagnate da una gamma di misure correttive, come richiami pubblici, la revoca delle autorizzazioni all’esercizio dell’attività e l’obbligo di risarcimento dei danni causati.
Tuttavia, il DORA lascia agli Stati membri la facoltà di adottare un approccio più severo, prevedendo anche sanzioni penali per determinate violazioni. Questo margine di discrezionalità consente agli ordinamenti nazionali di stabilire un regime sanzionatorio che possa comprendere misure di carattere penale, qualora la gravità della violazione lo giustifichi. In particolare, l’art. 52 del Regolamento specifica che gli Stati membri possono scegliere di non adottare sanzioni amministrative per violazioni che, nel diritto interno, sono già passibili di sanzioni penali.
Questa scelta mira ad evitare il cumulo di sanzioni per lo stesso fatto, scongiurando così il rischio di violazioni del principio del ne bis in idem, principio cardine del diritto sanzionatorio europeo che vieta la punizione di un individuo per lo stesso reato più di una volta.
Il secondo paragrafo dell’art. 52 sottolinea che, qualora uno Stato membro opti per l’imposizione di sanzioni penali in caso di violazioni del Regolamento DORA, le autorità di vigilanza nazionali devono essere dotate di tutti i poteri e le competenze necessari per collaborare efficacemente con le autorità giudiziarie competenti. Questo aspetto evidenzia l’importanza di una cooperazione stretta e coordinata tra le autorità di vigilanza finanziaria e gli organi giudiziari, al fine di garantire l’effettiva applicazione delle norme del DORA e assicurare che le violazioni siano trattate con la massima serietà.
In sostanza, il sistema sanzionatorio previsto dal DORA riflette l’intento del legislatore europeo di garantire che le entità finanziarie rispettino rigorosamente le misure di sicurezza e resilienza digitale. La possibilità di combinare sanzioni amministrative e penali dimostra la gravità con cui vengono trattate le violazioni nel settore finanziario, rafforzando la necessità di un’adeguata compliance da parte delle imprese e promuovendo una maggiore responsabilizzazione degli organi aziendali.
Conclusioni
L’entrata in vigore delle disposizioni del Regolamento DORA il 17 gennaio 2025 rappresenta una scadenza fondamentale per tutte le entità finanziarie soggette a questa normativa. A partire da tale data, le misure di resilienza digitale e sicurezza informatica diventeranno pienamente applicabili, rendendo imprescindibile un adeguamento tempestivo e rigoroso da parte degli operatori del settore.
Le misure di compliance previste dal Regolamento includono l’adozione di un quadro di gestione dei rischi informatici, l’attuazione di test periodici per verificare la resilienza operativa e la conformità dei contratti con fornitori terzi alle norme di sicurezza informatica. Le imprese devono inoltre predisporre piani di comunicazione per la gestione degli incidenti, monitorare costantemente la sicurezza delle TIC utilizzate e garantire la segnalazione tempestiva alle autorità competenti in caso di incidenti gravi. Il rispetto di queste misure non solo consentirà alle entità finanziarie di migliorare la loro capacità di affrontare le minacce informatiche, ma anche di garantire la continuità dei servizi e la protezione dei dati sensibili.
È essenziale, inoltre, che anche i fornitori delle entità soggette al DORA comprendano la portata degli obblighi imposti dal Regolamento. Pur non essendo direttamente obbligati, i fornitori che offrono servizi critici basati sull’uso delle TIC saranno comunque gravati da responsabilità indirette per garantire che le entità finanziarie rispettino gli standard di sicurezza e resilienza imposti dal DORA.
In questo contesto, l’assistenza di una consulenza legale esperta diventa cruciale non solo per i soggetti direttamente obbligati dal Regolamento DORA, ma anche per i loro fornitori. Un supporto legale qualificato può garantire che tutti i processi di adeguamento siano conformi alle disposizioni del Regolamento, prevenendo così potenziali violazioni e contribuendo a creare un sistema sicuro e resiliente, capace di affrontare le sfide del panorama digitale e finanziario attuale.
da Redazione | Ott 16, 2024 | Diritto civile, Diritto d'Impresa, Diritto Penale, Notizie e Aggiornamenti Legislativi
La sostenibilità rappresenta ormai un pilastro fondamentale per le imprese, in particolare alla luce delle nuove normative dell’Unione Europea volte a regolare l’impatto delle attività aziendali sui diritti umani e sull’ambiente. Ne abbiamo già discusso in un precedente articolo.
In questo contesto, la Direttiva (UE) 2024/1760, meglio nota come Corporate Sustainability Due Diligence Directive (CSDDD), impone un dovere di diligenza alle imprese di grandi dimensioni per garantire che le loro attività e quelle dei loro partner commerciali siano in linea con gli obiettivi di sostenibilità ambientale e sociale.
La Direttiva introduce obblighi chiari e vincolanti, che richiedono alle società di identificare, prevenire e mitigare i potenziali impatti negativi lungo l’intera catena di valore. La sostenibilità diventa così non solo un obiettivo etico e strategico, ma anche un imperativo normativo, la cui non osservanza può comportare significative sanzioni e responsabilità civili. L’Unione Europea, con questa direttiva, intende promuovere una trasformazione profonda delle pratiche aziendali, allineandole agli accordi internazionali come l’Accordo di Parigi, con l’obiettivo di ridurre le emissioni di gas a effetto serra e di tutelare i diritti umani nelle operazioni globali delle imprese.
Attraverso un quadro giuridico armonizzato, la CSDDD segna un passo decisivo verso un’economia più sostenibile e responsabile, dove la trasparenza e la conformità rappresentano strumenti chiave per favorire una gestione aziendale attenta agli impatti sociali e ambientali. Tale normativa richiede un adeguamento significativo delle politiche interne delle imprese e l’adozione di piani di transizione verso una sostenibilità integrale.
Chi sono i destinatari della Direttiva sulla sostenibilità?
La Corporate Sustainability Due Diligence Directive trova applicazione su un’ampia gamma di imprese, sia costituite all’interno dell’Unione Europea sia operanti nel mercato europeo pur avendo sede legale in paesi terzi. In particolare, la direttiva è vincolante per tutte le società che, nel corso dell’ultimo esercizio finanziario, hanno avuto più di 1.000 dipendenti e un fatturato netto globale superiore a 450 milioni di euro.
Questo parametro tiene conto non solo delle attività svolte direttamente dalla società, ma anche di quelle delle sue filiazioni e dei suoi partner commerciali lungo l’intera catena di valore. Ciò implica che le imprese devono monitorare non solo le loro operazioni interne, ma anche le pratiche adottate dai soggetti con cui collaborano, estendendo così l’obbligo di sostenibilità in modo capillare.
Le disposizioni della direttiva si applicano anche alle società capogruppo che esercitano un controllo su altre entità e che rientrano nei requisiti di dimensione previsti. È altresì importante sottolineare che l’applicazione si estende alle imprese costituite in paesi terzi, a condizione che esse generino un fatturato netto significativo nell’Unione Europea. In particolare, la soglia stabilita per le imprese extra-europee è di 450 milioni di euro di fatturato nell’ultimo esercizio finanziario. Questo aspetto è cruciale, poiché garantisce che le imprese non possano eludere gli obblighi di sostenibilità semplicemente trasferendo la loro sede legale al di fuori dell’Unione, pur continuando a operare nel mercato europeo.
L’obiettivo principale della direttiva è creare un quadro normativo uniforme, assicurando che tutte le imprese con una presenza economica significativa nel mercato europeo, indipendentemente dalla loro sede legale, siano tenute a rispettare gli stessi standard in materia di sostenibilità e responsabilità sociale. Questo favorisce una concorrenza leale tra le imprese e promuove una cultura aziendale orientata alla tutela dell’ambiente e dei diritti umani.
Quando entrerà in vigore la Direttiva sulla sostenibilità?
L’entrata in vigore della CSDDD è scaglionata in diverse fasi, a seconda della dimensione e della tipologia delle imprese coinvolte. Gli Stati membri sono tenuti a recepire la direttiva entro il 26 luglio 2026, data entro la quale dovranno adottare le misure legislative necessarie. Tuttavia, gli obblighi per le imprese entreranno in vigore in maniera progressiva.
Le società con più di 5.000 dipendenti e un fatturato netto superiore a 1,5 miliardi di euro a livello mondiale saranno soggette alla normativa a partire dal 26 luglio 2027. Per le imprese con più di 3.000 dipendenti e un fatturato superiore a 900 milioni di euro, gli obblighi scatteranno dal 26 luglio 2028. Le società di paesi terzi che generano un fatturato significativo nell’Unione, pari a oltre 1,5 miliardi di euro, dovranno conformarsi anch’esse dal 26 luglio 2027, mentre quelle con un fatturato superiore a 900 milioni di euro avranno tempo fino al 26 luglio 2028.
Infine, tutte le altre imprese non rientranti nelle precedenti categorie, inclusi i gruppi più piccoli che operano con modalità di franchising o licenza, dovranno conformarsi agli obblighi previsti dalla direttiva a partire dal 26 luglio 2029. Questo approccio graduale consente alle imprese di adattarsi progressivamente alle nuove norme, in base alla loro dimensione e alla complessità delle loro operazioni.
Obblighi Principali per le Imprese: la due diligence per la sostenibilità
Il cuore della Corporate Sustainability Due Diligence Directive risiede nell’obbligo imposto alle imprese di esercitare un dovere di diligenza accurato e continuo, volto a prevenire, mitigare e, se necessario, porre rimedio agli impatti negativi delle loro attività sui diritti umani e sull’ambiente. Questo dovere si estende non solo alle attività dirette dell’impresa, ma anche a quelle delle sue filiazioni e dei partner commerciali, lungo l’intera catena di valore. La sostenibilità, quindi, diventa un principio guida per tutte le fasi delle operazioni aziendali.
Le imprese sono chiamate a implementare una serie di misure volte a integrare il dovere di diligenza all’interno delle loro politiche e sistemi di gestione. In particolare, devono adottare politiche di sostenibilità ben definite, che prevedano l’individuazione e la valutazione di potenziali impatti negativi legati ai diritti umani o all’ambiente. L’individuazione degli impatti non può essere limitata alla sola attività dell’impresa, ma deve estendersi a tutte le entità collegate, incluse le filiazioni e i partner lungo la catena di fornitura.
In base agli articoli centrali della direttiva, le imprese devono adottare tutte le misure necessarie per prevenire o, laddove non sia possibile, attenuare tali impatti. Questo può includere l’adozione di piani d’azione correttivi, investimenti finanziari per migliorare i processi produttivi, la richiesta di garanzie contrattuali ai partner commerciali e, nei casi più gravi, la cessazione dei rapporti d’affari con i soggetti che contribuiscono agli impatti negativi.
Inoltre, la direttiva impone alle imprese di stabilire e mantenere un dialogo significativo con le parti interessate, compresi i lavoratori, le comunità locali e le organizzazioni non governative, al fine di garantire che gli impatti negativi siano affrontati in maniera partecipata e trasparente. Parte integrante di questo processo è la creazione di un meccanismo di reclamo che consenta a chiunque subisca danni causati dalle attività dell’impresa di presentare una denuncia.
Le imprese devono, infine, monitorare e comunicare pubblicamente l’efficacia delle loro politiche di sostenibilità. L’obbligo di trasparenza impone la pubblicazione di rapporti regolari che documentino i progressi compiuti nel prevenire e mitigare gli impatti negativi, rafforzando così la fiducia degli stakeholder e contribuendo al raggiungimento degli obiettivi di sostenibilità fissati dalla direttiva.
Lotta ai Cambiamenti Climatici e Piano di Transizione
Uno degli aspetti più innovativi della Corporate Sustainability Due Diligence Directive riguarda l’obbligo per le imprese di adottare un piano di transizione volto alla mitigazione dei cambiamenti climatici. La direttiva stabilisce che le società di grandi dimensioni, oltre a integrare la sostenibilità nelle loro politiche aziendali, devono impegnarsi attivamente nella lotta al cambiamento climatico, in linea con l’Accordo di Parigi e gli obiettivi di neutralità climatica dell’Unione Europea.
Il piano di transizione deve garantire che le strategie aziendali siano compatibili con l’obiettivo di limitare l’aumento della temperatura globale a 1,5 °C e di raggiungere la neutralità climatica entro il 2050, come stabilito dal regolamento (UE) 2021/1119.
Le imprese devono fissare obiettivi chiari e temporalmente definiti per la riduzione delle emissioni di gas a effetto serra, con tappe intermedie da raggiungere entro il 2030. Tali obiettivi non riguardano soltanto le emissioni dirette dell’impresa (ambiti 1 e 2), ma anche le emissioni indirette lungo la catena di fornitura (ambito 3). La direttiva richiede, inoltre, che le imprese identifichino le principali leve di decarbonizzazione, compresa la revisione dei loro portafogli di prodotti e servizi e l’adozione di nuove tecnologie più sostenibili.
Un aspetto cruciale è la trasparenza degli investimenti e dei finanziamenti destinati a sostenere l’attuazione del piano di transizione. Le imprese devono, infatti, fornire una chiara spiegazione e quantificazione delle risorse allocate per garantire il raggiungimento degli obiettivi climatici. Inoltre, il piano di transizione deve prevedere un ruolo attivo degli organi di amministrazione, gestione e controllo, i quali sono chiamati a supervisionare e guidare il processo di decarbonizzazione.
In questo modo, la sostenibilità climatica diventa non solo un obiettivo strategico, ma un obbligo normativo che richiede alle imprese di operare in maniera responsabile, allineandosi agli obiettivi globali per il clima.
Sostenibilità, ruolo delle Autorità e obblighi di reporting
La Corporate Sustainability Due Diligence Directive attribuisce un ruolo centrale alle autorità di controllo, incaricate di vigilare sull’attuazione e sul rispetto degli obblighi imposti alle imprese dalla normativa. Gli Stati membri dell’Unione Europea sono tenuti a designare una o più autorità di controllo nazionali, le quali devono monitorare con attenzione le attività delle imprese che rientrano nell’ambito di applicazione della direttiva, assicurandosi che esse rispettino i principi di sostenibilità e responsabilità sociale.
Le autorità di controllo hanno il compito di valutare l’efficacia delle misure adottate dalle imprese per identificare e mitigare gli impatti negativi su diritti umani e ambiente. Tra i loro poteri rientrano l’ispezione, la richiesta di informazioni e la possibilità di imporre sanzioni in caso di violazioni. Le sanzioni possono includere multe significative, fino al 5% del fatturato netto globale dell’impresa, a seconda della gravità della violazione, nonché la pubblicazione di dichiarazioni che identificano le imprese non conformi.
Un altro aspetto cruciale della direttiva riguarda gli obblighi di reporting. Le imprese sono tenute a redigere rapporti periodici che documentino le azioni intraprese per prevenire, attenuare e riparare gli impatti negativi identificati. Tali rapporti devono essere resi pubblici e accessibili, garantendo così la trasparenza nei confronti degli stakeholder e delle autorità di controllo. Il rispetto degli obblighi di reporting è essenziale per assicurare che le imprese operino in modo conforme e responsabile, mantenendo un dialogo costante con le parti interessate e dimostrando il loro impegno verso la sostenibilità.
Il sistema di controllo e monitoraggio previsto dalla direttiva mira quindi a rafforzare la fiducia nel mercato europeo, creando un quadro regolatorio trasparente che incentivi le imprese a migliorare continuamente le proprie performance in materia di sostenibilità e responsabilità sociale.
Obblighi di sostenibilità: sanzioni e responsabilità civile per le imprese
La Corporate Sustainability Due Diligence Directive introduce un quadro di sanzioni rigorose per garantire che le imprese rispettino gli obblighi derivanti dalla normativa. Le sanzioni previste dalla direttiva, che devono essere adottate dagli Stati membri, hanno l’obiettivo di essere effettive, proporzionate e dissuasive. Le autorità di controllo nazionali hanno il potere di imporre sanzioni pecuniarie significative, calcolate sulla base del fatturato netto globale dell’impresa. Le multe possono raggiungere fino al 5% del fatturato netto globale dell’esercizio precedente, una cifra che mira a dissuadere in maniera efficace le imprese dal violare gli obblighi di diligenza in materia di sostenibilità.
Le violazioni che possono comportare l’applicazione di sanzioni riguardano principalmente la mancata identificazione, prevenzione e mitigazione degli impatti negativi sui diritti umani e sull’ambiente. Le imprese che non ottemperano alle disposizioni relative alla redazione di rapporti di sostenibilità o che non rispettano i termini dei piani di transizione verso la mitigazione dei cambiamenti climatici sono soggette a sanzioni. Oltre alle multe, le autorità di controllo possono adottare misure aggiuntive, come la pubblicazione di dichiarazioni ufficiali che identificano pubblicamente le imprese responsabili delle violazioni, contribuendo così a danneggiare la reputazione aziendale a livello globale.
Un aspetto centrale della direttiva è l’introduzione della responsabilità civile per le imprese, che permette a persone fisiche o giuridiche di richiedere il risarcimento dei danni subiti a causa di una violazione degli obblighi di diligenza da parte dell’impresa. Le imprese possono essere ritenute responsabili per i danni causati da omissioni o atti intenzionali o negligenti relativi alla mancata adozione di misure preventive o correttive, in particolare se tali violazioni sono correlate a diritti protetti dalla legislazione nazionale o europea.
La responsabilità civile è particolarmente rilevante nel contesto delle catene di valore, dove le imprese possono essere chiamate a rispondere anche per i danni causati dai loro partner commerciali. Tuttavia, la direttiva prevede che le imprese non siano responsabili se dimostrano di aver adottato tutte le misure adeguate per prevenire tali impatti, inclusa la richiesta di garanzie contrattuali ai partner commerciali, la supervisione delle loro attività e l’attuazione di meccanismi di controllo efficaci. In questi casi, la responsabilità può essere condivisa con i partner commerciali, in una logica di corresponsabilità lungo la catena di fornitura.
Un altro punto di rilievo riguarda i termini di prescrizione. La direttiva prevede che i termini per l’avvio di procedimenti per il risarcimento dei danni non siano eccessivamente restrittivi e che, in ogni caso, non siano inferiori a cinque anni. Questo mira a garantire che le vittime di violazioni, siano esse comunità locali, lavoratori o altre parti interessate, abbiano il tempo sufficiente per raccogliere prove e presentare le loro richieste di risarcimento. Inoltre, la direttiva stabilisce che, in caso di controversie, i tribunali nazionali abbiano il potere di ordinare la divulgazione di prove rilevanti da parte delle imprese, purché tali richieste siano proporzionate e non ledano eccessivamente gli interessi legittimi delle parti.
La combinazione di sanzioni pecuniarie, pubbliche e di responsabilità civile mira a creare un sistema di enforcement robusto, capace di incentivare le imprese ad aderire ai principi di sostenibilità e a gestire in modo responsabile gli impatti delle loro attività. Questo approccio rafforza il quadro normativo europeo in materia di diritti umani e ambiente, offrendo alle imprese un chiaro incentivo a migliorare la loro governance e a ridurre i rischi legati alla sostenibilità.
Conclusioni
La CSDDD rappresenta un passaggio fondamentale nel rafforzamento della sostenibilità aziendale e nella promozione di una gestione responsabile delle attività economiche all’interno dell’Unione Europea. Con l’introduzione di obblighi stringenti in materia di diritti umani e ambiente, la direttiva mira a garantire che le imprese, sia europee sia extraeuropee, operino nel rispetto di standard elevati, contribuendo così a costruire un’economia più sostenibile e inclusiva. La normativa richiede alle imprese di adottare misure concrete per individuare e mitigare gli impatti negativi delle loro attività, promuovendo una trasformazione radicale delle loro operazioni lungo l’intera catena di valore.
Il complesso quadro regolatorio introdotto dalla direttiva pone sfide significative per le imprese, che devono adattarsi rapidamente e garantire una piena conformità agli obblighi di diligenza. La mancata osservanza di tali obblighi può comportare sanzioni rilevanti e rischi di responsabilità civile, rendendo indispensabile una gestione attenta e consapevole dei rischi legati alla sostenibilità. In questo contesto, è cruciale che le imprese si dotino di strumenti adeguati per affrontare tali sfide, non solo nel breve termine, ma anche con una visione di medio-lungo periodo.
In particolare, per assicurare una piena conformità normativa e una gestione efficace dei rischi, risulta fondamentale affidarsi a una consulenza legale esperta, capace di guidare le imprese nella costruzione di una strategia di conformità solida e sostenibile. Lo Studio Legale D’Agostino, con la sua vasta esperienza nei processi aziendali, offre un supporto essenziale per le imprese che desiderano allinearsi agli obblighi imposti dalla direttiva, riducendo al minimo i rischi legali e migliorando le proprie performance in materia di sostenibilità. Grazie a un approccio integrato e su misura, lo studio è in grado di assistere le aziende nella creazione di politiche di sostenibilità che non solo rispettino le normative, ma che rappresentino anche un vantaggio competitivo nel contesto globale.
