da Redazione | Ott 22, 2024 | Consulenze Legali, Diritto civile, Diritto d'Impresa
In ogni fase dello sviluppo, dalla costituzione della start up fino alla sua espansione, l’assistenza legale gioca un ruolo cruciale. Disporre di una solida consulenza legale fin dal principio, non solo riduce il rischio di contenziosi futuri, ma offre anche un vantaggio competitivo, poiché permette alla start-up di concentrarsi sul proprio core business senza preoccuparsi delle insidie legali.
Che si tratti di redigere contratti, proteggere la proprietà intellettuale o garantire la conformità con leggi nazionali e internazionali, l’assistenza legale è uno strumento essenziale per ogni imprenditore che desidera costruire una start-up di successo.
Questo articolo esplorerà quando è necessario rivolgersi a un avvocato, con l’obiettivo di offrire una guida operativa per chi è agli inizi della propria impresa. Per aggiornamenti normativi, invitiamo i lettori a seguirci anche sulle pagine social.
Perché la consulenza legale è fondamentale per una start-up
L’assistenza legale per una start-up non è un lusso, ma una necessità. Molti imprenditori tendono a sottovalutare l’importanza di avere un avvocato al proprio fianco, soprattutto nelle prime fasi di vita dell’azienda. Tuttavia, il supporto legale è cruciale non solo per evitare errori che potrebbero costare caro in futuro, ma anche per navigare in un ambiente normativo in continua evoluzione.
Le start-up affrontano una serie di questioni legali complesse, come la scelta della struttura societaria più adeguata, la redazione di contratti personalizzati e la tutela della proprietà intellettuale.
Inoltre, la consulenza legale aiuta le start-up a evitare controversie con investitori, dipendenti e fornitori, fornendo le basi per operare in modo conforme e sicuro fin dagli albori. Oltre a questo, una corretta assistenza legale offre vantaggi strategici, come la capacità di negoziare con successo i finanziamenti e garantire una governance interna chiara e trasparente. Insomma, l’avvocato diventa un vero partner nel successo dell’impresa.
Le fasi iniziali: quando una start-up ha bisogno di assistenza legale
Nelle fasi iniziali di una start-up, prendere le giuste decisioni è fondamentale per costruire una base solida su cui sviluppare l’impresa. Uno degli aspetti più critici riguarda la scelta della struttura societaria: SRL, SPA, o altre forme giuridiche. La consulenza di un avvocato competente in diritto societario può fare la differenza, aiutando a valutare le opzioni disponibili in base alle caratteristiche dell’impresa, ai soci coinvolti e agli obiettivi di crescita.
Un altro atto indispensabile è la redazione dello statuto e degli eventuali patti parasociali, che definiscono le regole tra i soci e aiutano a prevenire conflitti interni futuri. Questi documenti, se non ben curati dal punto di vista legale, possono diventare una fonte di problemi, soprattutto in caso di espansione dell’impresa o entrata di nuovi investitori.
Inoltre, è essenziale considerare la tutela della proprietà intellettuale. Le start-up innovative devono proteggere marchi, brevetti e idee creative fin dall’inizio. Una corretta assistenza legale garantisce che tutte le pratiche di registrazione siano svolte in modo conforme e tempestivo, evitando che la concorrenza possa appropriarsi di idee o prodotti originali.
Infine, per le start-up che operano online o offrono servizi tramite un sito web, è cruciale predisporre termini e condizioni d’uso chiari e una privacy policy che rispetti la normativa vigente in materia di protezione dei dati (come il GDPR). Questi documenti legali non solo tutelano l’azienda da eventuali reclami, ma dimostrano anche trasparenza e professionalità nei confronti degli utenti e dei clienti.
Contratti fondamentali: stipulare accordi che proteggono la tua start-up
Un altro elemento chiave per una start-up è la gestione dei contratti. Redigere accordi chiari e completi è essenziale per evitare malintesi con partner commerciali, fornitori, dipendenti e clienti. Tra i contratti più importanti ci sono quelli di fornitura, distribuzione e, naturalmente, i contratti di lavoro e quelli per l’e-commerce.
L’assistenza legale è fondamentale per garantire che i contratti siano a prova di contenzioso e che includano tutte le clausole necessarie per proteggere la start-up. Ad esempio, clausole di non concorrenza e riservatezza sono vitali per tutelare il know-how e prevenire che ex dipendenti o collaboratori divulghino informazioni sensibili a concorrenti.
Inoltre, per le start-up che offrono equity o stock options ai propri dipendenti, è indispensabile che questi accordi siano redatti con cura, sia per tutelare l’azienda, sia per attrarre e mantenere talenti chiave. Le condizioni di assegnazione, i tempi di maturazione e le implicazioni fiscali devono essere ben definiti da un avvocato esperto.
Anche in questo caso, i termini e le condizioni d’uso e la privacy policy del sito web sono contratti essenziali per definire i rapporti con gli utenti e garantire la conformità normativa, evitando rischi legali legati alla raccolta e al trattamento dei dati personali.
Gestione dei finanziamenti: come affrontare gli investitori con l’assistenza legale giusta
Quando una start-up cresce e si avvicina a momenti decisivi come la ricerca di finanziamenti, l’assistenza legale diventa essenziale per evitare che eventuali accordi possano compromettere il controllo o la gestione dell’impresa. Uno dei momenti più critici nella vita di una start-up è la negoziazione con gli investitori, che richiede un’attenzione particolare sia in termini di valutazione delle quote sia nella stesura degli accordi di finanziamento.
Nelle fasi di seed capital o nei round di finanziamento (Serie A, B, ecc.), l’avvocato gioca un ruolo chiave nel garantire che i diritti della start-up siano protetti e che le condizioni imposte dagli investitori siano bilanciate. Senza una corretta consulenza legale, una start-up potrebbe trovarsi a cedere una quota troppo elevata del proprio capitale o accettare condizioni svantaggiose che limitano la flessibilità operativa o il potere decisionale dei fondatori.
L’assistenza legale diventa anche cruciale nel gestire le questioni fiscali legate al finanziamento, che variano a seconda della tipologia di investimento. Un avvocato esperto può garantire che tutte le operazioni siano conformi alle normative fiscali e ottimizzate per evitare impatti negativi sul lungo termine. In conclusione, l’avvocato non è solo un difensore degli interessi legali della start-up, ma un vero e proprio consulente strategico nei rapporti con gli investitori.
Assistenza legale in caso di contenziosi e risoluzione delle controversie
Nella vita di una start-up, le controversie possono sorgere in vari ambiti: dai rapporti con i clienti, ai fornitori, ai dipendenti. In queste situazioni, una assistenza legale tempestiva ed efficace è essenziale per evitare che una controversia possa evolversi in un contenzioso giudiziario costoso e dannoso per la reputazione dell’impresa.
Una consulenza legale preventiva può aiutare a gestire i conflitti con una strategia proattiva, attraverso tecniche di risoluzione alternativa delle controversie, come la mediazione, la negoziazione assistita o l’arbitrato. Questi strumenti sono sempre più utilizzati per risolvere controversie in modo rapido e meno dispendioso rispetto alle vie legali tradizionali. Un avvocato esperto può guidare la start-up in questi processi, evitando di ricorrere al tribunale e minimizzando l’impatto sui tempi e sui costi operativi.
Se tuttavia si dovesse arrivare a un contenzioso legale, l’assistenza legale diventa cruciale per difendere gli interessi della start-up, garantendo una difesa adeguata e preparata.
Conformità legale e regolamentare: mantenere la tua start-up in regola
Per una start-up, mantenere la conformità normativa è un aspetto cruciale che richiede una costante assistenza legale. Le normative cambiano rapidamente, soprattutto in settori innovativi come la tutela del software, l’e-commerce e l’innovazione tecnologica. Un supporto legale competente aiuta a garantire che la tua impresa rispetti tutte le normative vigenti, evitando sanzioni che potrebbero compromettere la crescita dell’azienda.
L’assistenza legale è fondamentale per predisporre correttamente documenti come i termini e condizioni d’uso e la privacy policy per i siti web e le applicazioni. Con normative sempre più rigide, come il GDPR, è necessario garantire che il trattamento dei dati personali avvenga in modo conforme, riducendo il rischio di multe significative. Inoltre, la consulenza legale è essenziale per gestire contratti e relazioni con clienti e fornitori, assicurando che ogni accordo sia giuridicamente valido e a prova di contenzioso.
Un altro aspetto critico è la tutela della proprietà intellettuale, che comprende la registrazione di brevetti, marchi e diritti d’autore. L’assistenza legale in questo ambito assicura che la start-up sia protetta da eventuali violazioni, preservando il suo vantaggio competitivo. Anche la gestione di documenti societari, come i patti parasociali e gli accordi di equity, richiede un’attenzione particolare per garantire che le relazioni tra i soci siano regolate in modo chiaro e trasparente.
Le start-up che operano nell’e-commerce devono inoltre rispettare regole specifiche nella stesura dei contratti di vendita, a tutela dei diritti dei consumatori. L’assistenza legale aiuta a mantenere l’impresa in regola con queste normative, evitando contenziosi che potrebbero compromettere la reputazione e la sostenibilità economica. Per un approfondimento, rinviamo agli approfondimenti svolti in una specifica guida all’e-commerce.
Quando una start-up dovrebbe rivolgersi a un avvocato
Ci sono momenti cruciali nella vita di una start-up in cui l’assistenza legale diventa indispensabile. Sono fasi che possono determinare il futuro dell’impresa, e affrontarli senza il supporto di un avvocato esperto può portare a gravi conseguenze. Ecco alcune situazioni chiave in cui una start-up dovrebbe assolutamente rivolgersi a un legale:
- Costituzione e scelta della struttura societaria: Decidere quale forma giuridica adottare è una delle prime decisioni che una start-up deve affrontare. La scelta ha un impatto diretto su aspetti come la responsabilità dei soci, il regime fiscale e le modalità di finanziamento. Senza una corretta assistenza legale, si rischia di optare per una struttura societaria inadatta, con conseguenze negative sul lungo termine.
- Contratti con investitori e partner: La redazione di contratti chiari e completi è cruciale, soprattutto quando si tratta di accordi con investitori o partner commerciali. Questi contratti determinano i diritti e i doveri delle parti coinvolte, e un errore nella stesura può portare a dispute o addirittura alla perdita di controllo dell’impresa.
- Proprietà intellettuale: Proteggere le idee innovative è fondamentale per una start-up, e l’assistenza legale è necessaria per registrare marchi, brevetti e design in modo corretto. Un errore in questa fase può permettere ai concorrenti di sfruttare le tue invenzioni.
- Contenziosi: Quando sorgono controversie con clienti, fornitori o dipendenti, è essenziale rivolgersi a un avvocato per gestire la situazione in modo professionale. Ritardare o sottovalutare questi problemi può danneggiare la reputazione dell’impresa e causare perdite finanziarie.
A chi affidare l’assistenza legale per la tua start-up?
La selezione di un consulente legale per una start-up richiede un’attenta valutazione di diversi fattori, che permettano all’impresa di affrontare al meglio le complesse sfide legali del suo percorso. In particolare, per una giovane azienda è essenziale individuare un professionista che conosca in profondità le dinamiche del settore e le implicazioni normative. Di seguito, vengono illustrati alcuni criteri di valutazione.
- Esperienza specifica: È consigliabile valutare attentamente il livello di esperienza maturato dal legale nel campo delle start-up, con un’attenzione particolare ai settori legati all’innovazione e alla tecnologia. Tale esperienza consente di ottenere consulenze mirate su questioni pratiche e settoriali che possono avere un impatto significativo sulle attività dell’impresa.
- Conoscenza delle normative settoriali: Le start-up spesso operano in contesti altamente regolamentati, come quelli della tecnologia, della finanza o della salute. In questi ambiti, il consulente legale deve essere costantemente aggiornato sulle normative applicabili e in grado di anticipare eventuali evoluzioni legislative che possano interessare l’impresa, offrendo una protezione preventiva e strategica..
- Approccio strategico alla consulenza: Oltre alla risoluzione delle questioni legali immediate, è opportuno valutare il ruolo del legale anche come consulente strategico, capace di supportare l’impresa in modo proattivo, identificando potenziali rischi e offrendo soluzioni che possano favorire la crescita e lo sviluppo della start-up nel lungo termine.
Assistenza legale per start up. Conclusioni
L’assistenza legale per una start-up non è solo una risorsa utile, ma un elemento essenziale per garantire una crescita solida e conforme alle normative. Dalla fase di costituzione alla gestione dei contratti e delle proprietà intellettuali, l’assistenza legale offre protezione e prevenzione dei rischi, permettendo ai fondatori di concentrarsi sull’innovazione e sullo sviluppo del proprio business.
Sapere quando rivolgersi a un avvocato può fare la differenza tra il successo e il fallimento di un’impresa, e disporre di un supporto legale strategico rappresenta un vantaggio competitivo in ogni fase del percorso imprenditoriale. In sostanza, una start-up ben preparata dal punto di vista della compliance normativa ha maggiori possibilità di prosperare e affrontare le sfide del mercato con serenità e sicurezza.
Un caso di studio. Come l’assistenza legale ha trasformato la crescita di NextGen Solutions
NextGen Solutions era una start-up fondata da tre amici, appassionati di tecnologia e innovazione, con una visione ambiziosa: rivoluzionare il settore delle energie rinnovabili attraverso una piattaforma software che facilitasse la gestione e il monitoraggio degli impianti fotovoltaici. All’inizio, come molte start-up, i fondatori erano concentrati esclusivamente sullo sviluppo del prodotto, convinti che la qualità della loro idea avrebbe automaticamente portato al successo. Tuttavia, ignoravano un aspetto cruciale per la sopravvivenza di qualsiasi azienda: l’importanza di un’adeguata assistenza legale.
Nei primi mesi, le cose sembravano andare per il verso giusto. La piattaforma era quasi pronta, i primi potenziali clienti si dimostravano interessati, e i fondatori stavano avviando trattative con alcuni investitori per ottenere i finanziamenti necessari a scalare il business. Ma durante una negoziazione critica per un importante round di finanziamento, NextGen Solutions si trovò di fronte a una decisione complessa: gli investitori volevano ottenere una quota significativa dell’azienda, imponendo condizioni che avrebbero potuto compromettere il controllo della società.
Preoccupati di commettere errori, i fondatori decisero di rivolgersi a un avvocato esperto in assistenza legale per start-up. La consulenza legale si rivelò determinante: l’avvocato li aiutò a rinegoziare gli accordi con gli investitori, proteggendo sia il loro capitale che il controllo decisionale sull’azienda. Grazie a un’accurata revisione dei patti parasociali e degli accordi di equity, i fondatori di NextGen Solutions riuscirono a mantenere il pieno controllo della strategia aziendale, assicurandosi al contempo il capitale necessario per crescere.
Parallelamente, l’avvocato specializzato in assistenza legale lavorò per proteggere gli asset più preziosi della start-up: la sua proprietà intellettuale. Grazie a una serie di interventi mirati, i fondatori poterono registrare il brevetto per la loro tecnologia innovativa, garantendo così la protezione del loro know-how e tutelandosi da possibili imitazioni da parte dei concorrenti.
Ma il lavoro dell’avvocato non si limitò a questo. NextGen Solutions, operando principalmente attraverso una piattaforma digitale, aveva bisogno di predisporre una solida base legale anche per la gestione dei propri utenti. L’avvocato revisionò e migliorò i termini e condizioni d’uso della piattaforma e la privacy policy, garantendo la conformità con le normative europee e internazionali, in particolare con il GDPR. Grazie a questa consulenza, l’azienda non solo si mise al riparo da potenziali sanzioni, ma mostrò anche trasparenza e professionalità ai propri clienti, migliorando la fiducia nel brand.
Con una solida assistenza legale alle spalle, NextGen Solutions poté concentrarsi interamente sulla propria crescita. Oggi la start-up è diventata un punto di riferimento nel settore delle energie rinnovabili, con una piattaforma utilizzata da centinaia di aziende in tutta Europa. I fondatori riconoscono che parte del loro successo è dovuto al fatto di aver compreso l’importanza dell’assistenza legale già nelle prime fasi dell’impresa. Senza l’aiuto di un avvocato, avrebbero potuto commettere errori che avrebbero compromesso il futuro della loro start-up.
Questa storia dimostra chiaramente che l’assistenza legale non è solo un costo aggiuntivo, ma un vero e proprio investimento strategico che può fare la differenza tra il fallimento e il successo di una start-up. Per le imprese che vogliono crescere in un mercato competitivo e regolamentato, la consulenza di un esperto in assistenza legale è uno degli strumenti più preziosi a disposizione.
Il nostro studio legale offre supporto strategico e consulenza personalizzata per startup, garantendo una crescita sicura e conforme alle normative del settore.
da Redazione | Ott 21, 2024 | Diritto d'Impresa, Diritto Penale, Notizie e Aggiornamenti Legislativi
In un contesto socio-economico sempre più caratterizzato dall’utilizzo delle tecnologie digitali, i reati informatici costituiscono per le imprese un fattore di rischio trasversale. Questo rischio si manifesta non solo per la possibilità di attacchi esterni, come un’intrusione informatica volta a compromettere la sicurezza dei dati aziendali, ma anche per condotte dannose provenienti dall’interno dell’impresa stessa.
Il legislatore, consapevole della crescente rilevanza di tali minacce, ha adeguato la normativa di settore, introducendo nuovi strumenti per contrastare tali fenomeni. Un esempio significativo è l’inclusione dei reati informatici tra i reati presupposto della responsabilità amministrativa dell’ente ai sensi dell’art. 24-bis del D. Lgs. 231/2001, una norma che è stata recentemente modificata per estendere la responsabilità anche ai reati connessi alla sicurezza cibernetica nazionale.
L’inclusione di tali fattispecie rappresenta un rilevante presidio di legalità nell’ambito aziendale, poiché essa si applica non solo alle imprese operanti nel settore digitale, ma a tutte le imprese che utilizzano strumenti informatici. Le aziende, infatti, sono oggi profondamente informatizzate, e l’abuso dei sistemi informatici, da parte di soggetti apicali o dipendenti, è una delle minacce più concrete e visibili. Non è raro, ad esempio, che reati informatici vengano commessi nell’interesse o a vantaggio dell’ente, come nel caso di un dipendente che, al fine di incrementare il fatturato, accede abusivamente a server aziendali contenenti informazioni riservate di altre aziende.
Analogamente, il dirigente che distrugge file per evitare una sanzione amministrativa a seguito di un’indagine di vigilanza agisce in modo da tutelare l’interesse dell’azienda. Questi comportamenti evidenziano come l’adozione di un sistema di gestione della sicurezza informatica, attraverso procedure operative e controlli adeguati, sia cruciale per prevenire tali condotte.
L’introduzione dei reati informatici nel catalogo della responsabilità amministrativa dell’ente ai sensi del D. Lgs. 231/2001 dimostra come la compliance penale svolga un ruolo centrale nell’innalzamento del livello di sicurezza aziendale. Attraverso l’implementazione di modelli organizzativi che regolino l’uso dei sistemi informatici e la definizione di procedure interne chiare (ad esempio, l’autorizzazione all’accesso ai sistemi, l’utilizzo dei privilegi di amministratore, o la gestione delle password), le imprese possono ridurre il rischio di essere coinvolte in reati di natura informatica, prevenendo così danni significativi sia dal punto di vista economico che reputazionale.
Parallelamente, sul piano della sicurezza cibernetica e della prevenzione delle minacce esterne, la legislazione ha subito importanti sviluppi, con un quadro normativo sempre più articolato. A livello europeo, l’approvazione delle Direttive NIS ha rappresentato un passaggio fondamentale, imponendo alle imprese l’adozione di misure tecniche e organizzative adeguate per la gestione dei rischi cibernetici, al fine di garantire la continuità operativa e minimizzare gli impatti degli incidenti. Oltre a ciò, la normativa prevede l’obbligo per le imprese di notificare tempestivamente alle autorità competenti eventuali incidenti con impatti rilevanti, evitando ritardi che potrebbero compromettere la sicurezza complessiva del sistema.
Infine, è importante evidenziare come questa normativa si sia progressivamente estesa anche ad altri settori critici, quali quello finanziario, rafforzando ulteriormente la protezione delle infrastrutture essenziali e dei servizi di pubblica utilità. L’obiettivo del presente articolo è fornire un quadro delle novità introdotte dalla Legge 90/2024, che ha ulteriormente ampliato la responsabilità amministrativa degli enti in relazione ai reati informatici e rafforzato il sistema di sanzioni previste per tali illeciti. Per una disamina di tutte le novità introdotte da tale legge, rinviamo al nostro precedente articolo.
I reati informatici presupposto della responsabilità dell’ente
L’art. 24-bis del D. Lgs. 231/2001, introdotto dalla legge 18 marzo 2008, n. 48, in attuazione della Convenzione di Budapest, ha incluso tra i reati presupposto della responsabilità amministrativa degli enti gran parte dei reati informatici. La normativa considera, in modo specifico, quei reati che richiedono necessariamente, per la loro consumazione, l’utilizzo di tecnologie dell’informazione e dei sistemi informatici.
Tuttavia, l’art. 24-bis non esaurisce la propria portata con riferimento ai soli reati informatici in senso stretto, ma abbraccia anche fattispecie che possono essere commesse o facilitate attraverso la rete o il web, quali i reati in materia di terrorismo (art. 25-quater), la pedopornografia virtuale (art. 25-quinquies) e il riciclaggio (art. 25-octies). Si tratta di reati che, pur non essendo strettamente legati all’informatica, trovano un terreno fertile di sviluppo nell’ambito digitale.
Per quanto concerne i reati informatici in senso stretto, è necessario sottolineare che essi sono volti a tutelare tre ambiti specifici: la riservatezza dei dati e delle comunicazioni informatiche, l’integrità dei dati e dei sistemi informatici, e la fede pubblica. Il primo di questi ambiti è protetto dall’art. 615-ter c.p., che punisce l’accesso abusivo a un sistema informatico o telematico. Questa fattispecie sanziona il comportamento di chi, senza autorizzazione, accede a un sistema informatico o telematico, o vi si trattiene oltre i limiti consentiti.
In merito a tale reato, la giurisprudenza ha spesso dibattuto sulla rilevanza della permanenza non autorizzata all’interno di un sistema informatico da parte di un soggetto che, pur essendo in possesso delle credenziali di accesso, utilizza il sistema per scopi diversi da quelli consentiti. Nella stessa area di protezione della riservatezza si collocano anche i reati di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.), i quali rappresentano condotte prodromiche rispetto all’accesso abusivo, nonché le fattispecie di intercettazione abusiva di comunicazioni informatiche o telematiche (artt. 617-quater e quinquies c.p.).
Il secondo ambito di tutela, relativo all’integrità dei dati e dei sistemi informatici, è presidiato dalle fattispecie di danneggiamento introdotte dal legislatore con la legge n. 48 del 2008. Il legislatore ha articolato la risposta sanzionatoria distinguendo tra il danneggiamento di dati, programmi o sistemi informatici privati e il danneggiamento di sistemi pubblici o di pubblica utilità.
Le fattispecie più significative in questo ambito sono gli artt. 635-bis e 635-ter c.p., che tutelano rispettivamente i dati e i programmi informatici privati e pubblici, con una protezione anticipata per questi ultimi, e gli artt. 635-quater e 635-quinquies c.p., che puniscono le condotte di danneggiamento mediante l’utilizzo di virus o altri programmi dannosi. Una novità rilevante introdotta di recente è l’art. 635-quater.1 c.p., il quale punisce la produzione, diffusione o semplice detenzione di programmi informatici progettati per danneggiare sistemi o dati, configurando una protezione avanzata per i sistemi di pubblica utilità.
Infine, tra i reati informatici, l’ultimo ambito di tutela riguarda la fede pubblica, con due fattispecie specifiche: l’art. 491-bis c.p., che estende la disciplina della falsità documentale anche al documento informatico, e l’art. 640-quinquies c.p., che punisce le frodi informatiche connesse all’alterazione di dati, specialmente se finalizzate a trarre un ingiusto profitto a discapito della pubblica amministrazione. Questi reati rappresentano una minaccia particolarmente rilevante nell’ambito dei rapporti con le pubbliche amministrazioni, ove l’utilizzo fraudolento di dati può compromettere la trasparenza e la correttezza delle transazioni pubbliche.
Accanto ai reati informatici tradizionali, il legislatore ha recentemente introdotto, attraverso il decreto-legge n. 105 del 2019 (convertito in legge n. 133 del 2019), un’ulteriore figura di reato volta a tutelare la sicurezza cibernetica nazionale. L’art. 24-bis del D. Lgs. 231/2001 è stato infatti modificato per includere la sanzione della falsa o omessa comunicazione di dati o informazioni rilevanti per la sicurezza nazionale, nell’ambito del cosiddetto Perimetro di Sicurezza Nazionale Cibernetica. Questo nuovo reato mira a garantire la tempestiva e accurata trasmissione di informazioni alle autorità preposte, al fine di prevenire o mitigare minacce alla sicurezza dei sistemi informatici che svolgono funzioni critiche per il Paese.
Reati informatici e 231. Le novità introdotte dalla Legge 90/2024
La Legge n. 90 del 2024 ha apportato ulteriori modifiche significative all’art. 24-bis del D. Lgs. 231/2001, inasprendo le sanzioni pecuniarie previste per i reati informatici e introducendo nuove fattispecie di reato, come l’estorsione informatica, comunemente associata all’uso di ransomware. Il legislatore ha così inteso rafforzare il sistema sanzionatorio per gli enti coinvolti in reati informatici, con un chiaro intento deterrente. Le sanzioni pecuniarie sono state aumentate, con un massimo che ora raggiunge le settecento quote, mentre per i reati di estorsione informatica è stata prevista una sanzione specifica che può arrivare fino a ottocento quote.
Un ulteriore aspetto rilevante introdotto dalla Legge n. 90 del 2024 è la previsione di sanzioni interdittive per gli enti condannati per reati di estorsione informatica, con la possibilità di interdizioni dall’esercizio dell’attività per un periodo non inferiore a due anni. Tale misura dimostra l’importanza che il legislatore attribuisce alla prevenzione di tali reati, i quali rappresentano una minaccia sempre più concreta per le imprese, specie quelle che operano nel settore critico delle infrastrutture digitali.
In sintesi, l’art. 24-bis del D. Lgs. 231/2001, grazie anche alle modifiche introdotte dalla Legge n. 90 del 2024, si configura come uno strumento fondamentale per la responsabilizzazione delle imprese nell’ambito della sicurezza informatica “interna” all’ente. Le nuove disposizioni, oltre a incrementare le sanzioni, rafforzano la capacità delle autorità di contrastare efficacemente il fenomeno dei reati informatici, ponendo l’accento sulla necessità per le imprese di adottare misure di compliance adeguate a prevenire tali condotte.
Modelli organizzativi per la prevenzione dei reati informatici
L’adozione di modelli organizzativi per la prevenzione dei reati informatici è un processo complesso che richiede un’attenta pianificazione e l’implementazione di strategie mirate a ridurre il rischio derivante dall’uso delle tecnologie informatiche all’interno dell’azienda. La creazione di questi modelli deve essere specificamente adattata alle caratteristiche della singola impresa, considerando la natura delle sue attività e il contesto tecnologico in cui opera.
Uno degli aspetti più critici nella costruzione di un modello organizzativo è la possibilità che un reato informatico venga commesso utilizzando un dispositivo aziendale, anche senza che sia stato identificato l’autore della condotta criminosa. L’impresa, in questi casi, potrebbe trovarsi a rispondere per un illecito, nonostante l’impossibilità di ricostruire con precisione la dinamica del fatto o l’identità del responsabile.
Per tale ragione, l’adozione di una disciplina interna rigorosa sull’uso dei sistemi informatici e dei software aziendali diventa un passaggio imprescindibile per una gestione efficace del rischio.
La prevenzione dei reati informatici richiede l’implementazione di una politica di sicurezza equilibrata che comprenda sia misure tecniche che misure organizzative. Prima di tutto, è necessario condurre una mappatura completa di tutti i componenti dell’infrastruttura IT dell’azienda, inclusi i software installati e i dispositivi utilizzati. Successivamente, si procede con un’analisi dei rischi (risk assessment), finalizzata a identificare le vulnerabilità presenti e a sviluppare procedure adeguate per la gestione dei rischi legati agli asset immateriali dell’azienda, come i dati e le informazioni riservate.
Un aspetto centrale nella costruzione del modello organizzativo è la corretta assegnazione di ruoli e responsabilità all’interno dell’azienda. Questo comprende la regolamentazione dell’accesso ai sistemi informatici mediante l’uso di registrazioni, autenticazioni e log sui server aziendali, oltre al controllo costante del loro utilizzo, come ad esempio la verifica dei software installati e il monitoraggio delle attività svolte sui sistemi aziendali. Questi controlli devono essere adeguati e continui per garantire una tracciabilità efficace delle operazioni compiute e prevenire usi impropri dei sistemi.
Nel contesto della prevenzione degli attacchi informatici, la normativa prevista dal D. Lgs. 231/2001 si affianca ad altre importanti disposizioni legislative, come la Direttiva NIS e il Regolamento generale sulla protezione dei dati (GDPR). Questi strumenti normativi pongono l’accento sulla accountability delle imprese, incentivandole a sviluppare sistemi di sicurezza avanzati per proteggere i propri dati e le proprie infrastrutture.
Tuttavia, in alcune circostanze, la disciplina del D. Lgs. 231/2001 non trova applicazione, come nel caso in cui l’impresa sia il bersaglio di un attacco esterno. In questi casi, non si configura un reato commesso “nell’interesse o a vantaggio” dell’ente, requisito essenziale per la responsabilità prevista dalla normativa.
I modelli organizzativi finalizzati alla prevenzione dei reati informatici devono concentrarsi su tre principali contesti di rischio. Il primo è quello degli accessi abusivi a sistemi informatici e telematici, spesso compiuti per ottenere dati sensibili, come le liste clienti o informazioni riservate.
Il secondo riguarda la manipolazione dei dati nel contesto dei rapporti con la Pubblica Amministrazione, come nei casi di sovrafatturazione o alterazione di dati fiscali per ottenere vantaggi indebiti. Il terzo contesto è legato a condotte di danneggiamento o interruzione del funzionamento dei sistemi informatici, finalizzate a causare disservizi o danni all’immagine aziendale.
Negli ultimi anni, la consapevolezza dell’importanza della cybersecurity è aumentata significativamente all’interno delle imprese. Diversi documenti e iniziative, come il Framework Nazionale per la Cybersecurity e la Data Protection, sviluppato dal CINI in collaborazione con università e centri di ricerca, offrono linee guida per migliorare i controlli di sicurezza informatica nelle aziende. Tra le principali misure raccomandate vi sono la gestione degli inventari di dispositivi e software, la protezione contro i malware, la gestione di password e account, nonché la formazione e sensibilizzazione del personale in materia di cybersicurezza.
In definitiva, l’adozione di un modello organizzativo che includa queste misure di prevenzione è cruciale per ridurre il rischio di commissione di reati informatici. L’implementazione di un sistema di sicurezza robusto non solo tutela i dati e i sistemi aziendali, ma contribuisce anche a migliorare la reputazione e la competitività dell’azienda, garantendo il rispetto delle normative vigenti.
Reati informatici e 231: l’importanza nella corporate compliance
In conclusione, la crescente complessità dei reati informatici e la loro incidenza sulle attività aziendali rendono indispensabile una consulenza legale qualificata per la valutazione dei rischi, la definizione di processi di sicurezza e la costruzione di un modello organizzativo adeguato a prevenire tali condotte illecite. Rivolgersi a un avvocato specializzato in diritto penale consente di affrontare queste problematiche con una prospettiva mirata e strategica, garantendo il rispetto della normativa vigente e la protezione del patrimonio aziendale.
Lo Studio Legale D’Agostino vanta una expertise trasversale nell’ambito della criminalità informatica e della corporate compliance, offrendo un supporto legale di alto livello che garantisce l’adozione di soluzioni efficaci e innovative per la gestione dei rischi cibernetici.
Grazie alla consolidata esperienza in questi settori, lo Studio è in grado di assicurare un elevato standard qualitativo, accompagnando le imprese nella realizzazione di un sistema di compliance solido e conforme alle esigenze normative più attuali, in materia di prevenzione dei reati informatici.
Assistenza legale per reati informatici e cybercrime – Studio Legale Luca D’Agostino, Roma. Legge 90/2024.
da Redazione | Ott 18, 2024 | Notizie e Aggiornamenti Legislativi, Diritto d'Impresa, Diritto Penale
La Direttiva NIS 2 (Direttiva (UE) 2022/2555) è il corpus normativo principale nell’ambito della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. L’obiettivo primario di questa normativa è, come noto, quello di migliorare la resilienza delle infrastrutture digitali europee, introducendo obblighi più stringenti per gli operatori di servizi essenziali e importanti.
Rispetto alla precedente Direttiva NIS, la NIS 2 estende il campo di applicazione e rafforza le misure di gestione del rischio di cybersicurezza, armonizzando ulteriormente le normative tra gli Stati membri.
In questo contesto, il Regolamento di attuazione recentemente approvato dalla Commissione Europea si inserisce come elemento cruciale per la concretizzazione delle disposizioni previste dalla Direttiva NIS 2. Esso è stato adottato sulla base dell’articolo 21, paragrafo 5, della Direttiva NIS 2, che stabilisce che entro il 17 ottobre 2024, la Commissione debba adottare atti di esecuzione per definire i requisiti tecnici e metodologici delle misure di gestione del rischio. Questi requisiti riguardano una serie di fornitori di servizi critici, tra cui i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD), i fornitori di cloud computing, i data center, le reti di distribuzione dei contenuti (CDN), e altri operatori di servizi essenziali.
In parallelo, l’articolo 23, paragrafo 11, della Direttiva NIS 2 stabilisce che, entro la stessa scadenza, la Commissione adotti atti di esecuzione per specificare i casi in cui un incidente debba essere considerato significativo. Ciò si applica ai fornitori sopra elencati e ad altri soggetti essenziali e importanti, con l’obiettivo di garantire una risposta adeguata e tempestiva agli incidenti informatici che possano mettere a rischio la sicurezza delle reti e dei sistemi informativi.
L’obiettivo di questo articolo è offrire una panoramica dettagliata del Regolamento di attuazione della Direttiva NIS 2, che introduce una disciplina vincolante per una serie di operatori che svolgono un ruolo cruciale nella sicurezza digitale europea.
Il Regolamento, che entrerà in vigore dopo la sua pubblicazione ufficiale, si applica esclusivamente alle relevant entities o entità rilevanti, definite come quei soggetti che forniscono servizi critici per la società e l’economia. Tra queste entità si annoverano fornitori di servizi DNS, di cloud computing, di reti di distribuzione dei contenuti, motori di ricerca online, piattaforme di social networking e altre infrastrutture digitali di importanza strategica.
Nel prosieguo dell’articolo, esploreremo più nel dettaglio le misure di gestione del rischio previste dal Regolamento e le modalità per determinare quando un incidente debba essere considerato significativo ai sensi della Direttiva NIS 2. Per approfondimenti circa la normativa nazionale di recepimento della Direttiva NIS 2 e il calendario delle scadenze, rinviamo ai nostri precedenti articoli.
Requisiti di gestione del rischio nella Direttiva NIS 2
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea pongono al centro dell’attenzione la necessità per le “entità rilevanti” di adottare misure specifiche di gestione del rischio per la sicurezza delle reti e dei sistemi informativi. La disciplina dettagliata di tali misure è contenuta nell’Annex I del Regolamento, che rappresenta un pilastro normativo fondamentale per garantire la sicurezza cibernetica all’interno dell’Unione Europea.
L’Annex I si struttura in diverse sezioni, ciascuna delle quali delinea un insieme di requisiti tecnici e metodologici che le entità rilevanti devono implementare. Tali misure sono organizzate in modo da coprire tutti gli aspetti cruciali della gestione del rischio di cybersecurity, con l’obiettivo di fornire un approccio omnicomprensivo alla sicurezza informatica. Tra le principali aree trattate figurano la protezione delle reti, dei sistemi informativi e dei dati, nonché la preparazione a rispondere a eventuali incidenti di sicurezza.
Le misure descritte nell’Annex I impongono alle entità rilevanti l’adozione di politiche di sicurezza informatica che coprano l’intero ciclo di vita dei sistemi e dei servizi. Queste politiche devono essere sviluppate sulla base di una valutazione continua del rischio, che prevede l’identificazione delle minacce potenziali, la stima della probabilità che si verifichino incidenti e l’adozione di misure di mitigazione adeguate. L’Annex I stabilisce, inoltre, che queste politiche devono essere sottoposte a revisione periodica per adattarsi alle nuove sfide poste dall’evoluzione tecnologica e dalle crescenti minacce cibernetiche.
Inoltre, una sezione fondamentale dell’Annex I riguarda la gestione degli incidenti di sicurezza informatica. Le entità rilevanti sono tenute a implementare misure che consentano il rilevamento, la gestione e la risoluzione tempestiva degli incidenti. Questo include l’obbligo di monitorare continuamente le attività delle reti e dei sistemi informativi, in modo da rilevare eventuali anomalie che possano indicare un’intrusione o un attacco.
L’Annex I si occupa anche della continuità operativa, stabilendo che le entità rilevanti devono predisporre piani di continuità e ripristino delle attività, volti a garantire la ripresa delle operazioni nel minor tempo possibile in caso di interruzioni. Questi piani devono essere regolarmente testati e aggiornati, per assicurare che restino efficaci nel tempo e in linea con le esigenze operative dell’entità.
Un altro elemento di grande rilevanza trattato dall’Annex I riguarda la sicurezza della catena di fornitura (tema che, in generale, abbiamo già approfondito in un precedente articolo). Le entità rilevanti non solo devono assicurarsi che i loro sistemi e reti siano protetti, ma devono anche vigilare affinché i fornitori terzi che partecipano alla loro catena produttiva o distributiva rispettino standard di sicurezza analoghi. Questo principio garantisce un approccio integrato alla gestione del rischio, prevenendo potenziali vulnerabilità derivanti da attori esterni.
L’Annex I, dunque, costituisce la base normativa essenziale che le entità rilevanti devono seguire per conformarsi ai requisiti di gestione del rischio imposti dalla Direttiva NIS 2, garantendo così una maggiore resilienza delle infrastrutture digitali europee.
Incidenti significativi nel Regolamento di attuazione della Direttiva NIS 2
La Direttiva NIS 2, unitamente al Regolamento di attuazione, introduce una disciplina specifica per la gestione degli incidenti significativi. Ai sensi dell’articolo 3 del Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri previsti dalla Direttiva stessa e dal Regolamento, con l’obiettivo di garantire che tali eventi ricevano una risposta tempestiva e adeguata. La rilevanza di un incidente non si limita al suo impatto immediato sui sistemi informativi dell’entità, ma viene valutata anche in funzione delle conseguenze economiche, operative e sociali che può determinare.
Secondo l’articolo 3, un incidente è considerato significativo se soddisfa uno o più criteri generali. Tra questi, vi è la possibilità che l’incidente comporti una perdita finanziaria diretta per l’entità rilevante superiore a 500.000 euro o al 5% del fatturato annuo complessivo dell’entità nell’anno finanziario precedente, a seconda di quale importo sia inferiore. Altri criteri includono la compromissione della riservatezza, integrità o autenticità dei dati, oppure la possibilità che l’incidente causi la morte o danni significativi alla salute di una persona fisica. Inoltre, il Regolamento introduce criteri specifici per diverse tipologie di entità rilevanti, in modo da adeguare la valutazione dell’incidente alle caratteristiche particolari dei servizi forniti.
Ai sensi dell’articolo 5, se l’incidente riguarda un fornitore di servizi DNS, esso è considerato significativo se uno o più criteri vengono soddisfatti. Tra questi, il servizio di risoluzione dei nomi di dominio autoritativo o ricorsivo deve essere completamente non disponibile per un periodo superiore a 30 minuti. In alternativa, la risposta del servizio di risoluzione dei nomi di dominio potrebbe superare i 10 secondi per oltre un’ora, rendendo il servizio inadeguato a rispondere in modo efficiente alle richieste DNS. Un altro criterio di significatività è la compromissione dell’integrità, riservatezza o autenticità dei dati trattati dal fornitore, soprattutto se tale compromissione coinvolge una quota rilevante di nomi di dominio gestiti.
Per quanto riguarda i registri di nomi di dominio di primo livello (TLD), l’articolo 6 stabilisce che un incidente è considerato significativo se il servizio di risoluzione dei nomi di dominio autoritativo è completamente non disponibile o se il tempo di risposta medio supera i 10 secondi per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati legati al TLD può essere determinante nel qualificare l’incidente come significativo, se tale compromissione mina la riservatezza o l’integrità delle informazioni trattate.
Ai sensi dell’articolo 7 del Regolamento attuativo della Direttiva NIS 2, un fornitore di servizi di cloud computing è soggetto a criteri di significatività qualora il servizio di cloud computing sia completamente non disponibile per più di 30 minuti. Inoltre, se la disponibilità del servizio è limitata per oltre il 5% degli utenti del cloud nell’Unione Europea, o per più di un milione di utenti, l’incidente può essere considerato significativo. La compromissione dell’integrità, riservatezza o autenticità dei dati trattati da tali fornitori può inoltre essere un fattore determinante, soprattutto se coinvolge una quota considerevole di utenti del servizio.
Analogamente, l’articolo 8 del Regolamento attuativo della Direttiva NIS 2 disciplina gli incidenti che coinvolgono i fornitori di servizi di data center. Un incidente è considerato significativo se il servizio di data center risulta completamente non disponibile o se la disponibilità del servizio è limitata per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati trattati nel data center può qualificare l’incidente come significativo, così come la compromissione dell’accesso fisico al data center stesso, soprattutto se si verifica una violazione dei meccanismi di protezione fisica che limitano l’accesso alle aree sensibili.
Per i fornitori di reti di distribuzione dei contenuti (CDN), l’articolo 9 stabilisce che un incidente è significativo se la rete di distribuzione è completamente non disponibile per più di 30 minuti. Se l’indisponibilità del servizio impatta oltre il 5% degli utenti della rete di distribuzione o coinvolge più di un milione di utenti, l’incidente è considerato significativo. Come per le altre entità, anche la compromissione della riservatezza, integrità o autenticità dei dati trattati dalla rete di distribuzione dei contenuti può rappresentare un criterio rilevante.
L’articolo 11 riguarda i fornitori di marketplace online, dove un incidente è considerato significativo se più del 5% degli utenti o oltre un milione di utenti nell’Unione sono coinvolti dall’indisponibilità totale o parziale del servizio. Anche in questo contesto, la sicurezza dei dati trattati gioca un ruolo fondamentale, in particolare se vi è stata una compromissione della riservatezza, integrità o autenticità delle informazioni.
Infine, gli articoli 12 e 13 del Regolamento attuativo della Direttiva NIS 2 disciplinano rispettivamente i criteri per gli incidenti significativi che coinvolgono i motori di ricerca online e le piattaforme di servizi di social networking, stabilendo criteri simili in termini di indisponibilità dei servizi e compromissione della sicurezza dei dati. Anche in questi casi, l’indisponibilità che colpisce una percentuale significativa di utenti o la violazione dei dati trattati costituisce un elemento chiave nella valutazione della significatività dell’incidente.
In conclusione, il Regolamento di attuazione della Direttiva NIS 2 stabilisce una disciplina precisa e articolata per identificare e gestire gli incidenti significativi, tenendo conto delle peculiarità delle diverse entità rilevanti e del tipo di servizi forniti.
Direttiva NIS 2 e Regolamento di attuazione. Quali adempimenti?
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea rappresentano un significativo passo avanti nella gestione della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. La definizione precisa delle misure di gestione del rischio e la determinazione degli incidenti significativi hanno come obiettivo quello di creare un quadro giuridico uniforme e robusto, capace di rispondere alle sfide sempre più complesse del panorama cibernetico moderno. Con l’entrata in vigore del Regolamento, le “entità rilevanti” dovranno adattarsi a nuovi standard di sicurezza e adottare un approccio proattivo nella gestione dei rischi informatici.
Per le entità rilevanti, la conformità alla Direttiva NIS 2 richiederà un impegno non solo tecnico ma anche organizzativo, attraverso l’implementazione di politiche di sicurezza coerenti e la formazione continua del personale coinvolto. Gli operatori economici, in particolare, dovranno assicurarsi che anche la loro catena di fornitura rispetti gli stessi criteri di sicurezza cibernetica. Il mancato adeguamento può comportare sanzioni rilevanti e, soprattutto, una vulnerabilità critica nei confronti delle minacce informatiche.
In questo contesto di crescente complessità normativa, lo Studio Legale D’Agostino, con la sua consolidata esperienza in ambito di corporate compliance e cybersicurezza, è in grado di fornire un supporto strategico essenziale. La nostra competenza nella gestione delle problematiche legate alla conformità aziendale e alla sicurezza informatica ci permette di assistere le imprese e le pubbliche amministrazioni nel processo di implementazione della Direttiva NIS 2, garantendo un approccio personalizzato e orientato alla prevenzione dei rischi.
Siamo lieti e orgogliosi di accompagnarvi nel percorso di adeguamento normativo, fornendo soluzioni efficaci e su misura per proteggere le vostre infrastrutture digitali e ridurre al minimo l’esposizione ai rischi cibernetici.
SCARICA QUI IL TESTO DEL Regolamento di attuazione della Direttiva NIS 2 del 17.10.2024
Studio Legale D’Agostino a Roma: consulenza su Decreto NIS 2, cyber security e sicurezza informatica, con definizioni chiave su incidenti, vulnerabilità e misure di sicurezza
da Redazione | Ott 18, 2024 | Diritto d'Impresa, Diritto civile
Come noto, la Direttiva NIS 2 (2555/2022/UE) rappresenta una tappa fondamentale nella regolamentazione della sicurezza informatica a livello europeo. Con l’emanazione del Decreto Legislativo n. 138/2024, l’Italia ha recepito le disposizioni comunitarie, ampliando notevolmente l’ambito di applicazione rispetto alla normativa precedente.
Gli operatori economici che rientrano nell’ambito soggettivo di applicazione della NIS 2 sono chiamati a rispettare precisi obblighi informativi e di gestione dei rischi, nonché ad assicurare l’adozione di misure adeguate e l’obbligo di notificare tempestivamente eventuali incidenti informatici che possano compromettere la sicurezza delle reti.
I soggetti inseriti nell’elenco, predisposto dall’Autorità Nazionale per la Cybersicurezza (ACN), dovranno adempiere agli obblighi previsti dalla normativa entro precise scadenze, come già approfondito in un precedente articolo pubblicato sul nostro sito, al quale facciamo rinvio.
Per quel che qui interessa, la normativa NIS 2 impone una particolare attenzione alla sicurezza della catena di approvvigionamento, con un impatto non trascurabile per i fornitori dei soggetti NIS. Cosa cambierà nei rapporti tra clienti NIS e fornitori?
A ben vedere, la Direttiva NIS 2 e il Decreto Legislativo di attuazione possiedono un perimetro di applicazione più ampio di quanto possa sembrare a prima vista. Sebbene gli obblighi diretti ricadano sui soggetti definiti essenziali e importanti, il meccanismo normativo ha un impatto considerevole anche sui fornitori di tali soggetti.
Il legislatore europeo, consapevole dei rischi che la catena di approvvigionamento può comportare per la sicurezza informatica, ha introdotto l’obbligo per i soggetti NIS di tenere in considerazione la resilienza dei propri fornitori e la qualità delle pratiche di cybersicurezza adottate da questi ultimi. La sicurezza informatica, dunque, non si limita a una dimensione interna, ma si estende lungo tutta la filiera, creando un vero e proprio “effetto a cascata” che investe anche i fornitori a valle.
Questo significa che i fornitori di soggetti critici, pur non essendo direttamente destinatari della Direttiva NIS 2, dovranno comunque adottare misure adeguate per dimostrare di essere conformi agli standard di sicurezza richiesti dai propri clienti.
In sostanza, le imprese fornitrici saranno tenute a integrare nei propri processi di gestione del rischio misure di mitigazione del rischio informatico, al fine di tutelare i propri clienti e, in definitiva, garantire la continuità delle relazioni commerciali. Questo scenario rende la cybersicurezza non solo un obbligo normativo, ma anche un driver di competitività sul mercato. La capacità di un’azienda di dimostrare ai propri clienti di essere compliant con le normative in materia di sicurezza informatica diventa un fattore determinante per mantenere il proprio status di fornitore.
Dal lato dei soggetti inclusi nell’elenco NIS 2, vi è la necessità di integrare la verifica della sicurezza dei fornitori nei processi aziendali. Questo processo dovrà prevedere non solo una valutazione puntuale dei rischi legati ai fornitori diretti, ma anche l’adozione di accordi contrattuali che definiscano con precisione le responsabilità reciproche in materia di gestione dei rischi di cybersicurezza. Le imprese dovranno quindi adottare misure per garantire la protezione delle loro infrastrutture digitali, sviluppando un sistema integrato di sicurezza informatica che coinvolga tutti i soggetti che operano lungo la catena di approvvigionamento.
Catena di approvvigionamento e rapporti con i fornitori nella normativa NIS 2
Per comprendere l’importanza di una corretta governance della sicurezza informatica lungo la catena di approvvigionamento, è indispensabile dare uno sguardo alle disposizioni della Direttiva NIS 2 (2555/2022/UE) e alle previsioni del D. Lgs. 138/2024.
In particolare, già il considerandum n. 85 sottolinea l’importanza di «affrontare i rischi derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori, ad esempio i fornitori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti e gli editori di software». Tale necessità deriva dal fatto che la prevalenza di incidenti, in cui i cybercriminali sono stati in grado di compromettere la sicurezza dei sistemi informatici e di rete, interessano prodotti e servizi di terzi fornitori dei soggetti NIS.
I soggetti essenziali e importanti dovrebbero pertanto valutare e tenere in considerazione «la qualità e la resilienza complessive dei prodotti e dei servizi, delle misure di gestione dei rischi di cibersicurezza in essi integrate e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro».
In particolare, i soggetti essenziali e importanti dovrebbero essere incoraggiati a integrare misure di gestione dei rischi di cibersicurezza negli accordi contrattuali con i loro fornitori e fornitori di servizi diretti. Tali soggetti potrebbero, inoltre, prendere in considerazione i rischi derivanti da altri livelli di fornitori e fornitori di servizi.
Inoltre, l’art. 21 della Direttiva NIS 2, dopo aver stabilito che i soggetti essenziali e importanti devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività, pone un preciso obbligo relativo alla sicurezza della catena di approvvigionamento.
Nel dettaglio, il secondo comma dell’art. 21 della Direttiva NIS 2 dispone che le misure debbano aver riguardo alla «sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi».
Al terzo comma si precisa ulteriormente che, nel valutare quali misure siano adeguate, i soggetti tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.
Le indicazioni del Legislatore europeo sono state recepite nel nostro ordinamento con l’adozione del Decreto NIS 2 (D. Lgs. 138/2024).
Occorre in primis considerare che il possesso della qualifica di fornitore di un soggetto NIS può comportare, per determinati soggetti, l’inserimento nell’elenco dei destinatari della disciplina. Conviene al riguardo osservare che, ai sensi dell’art. 3, comma 9 del Decreto NIS 2, la normativa si applica anche ai soggetti dei settori o delle tipologie di cui agli allegati I, II, III e IV, indipendentemente dalle loro dimensioni, qualora «il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti».
Vieppiù, ai sensi dell’art. 24, comma 2 del Decreto NIS, le misure di sicurezza sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete, nonché il loro ambiente fisico da incidenti, che comprendono – tra l’altro – anche la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
Infine, l’art. 24, comma 3 dispone che, nel valutare quali misure siano adeguate, i soggetti tengono conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Per la medesima finalità i soggetti tengono altresì conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.
NIS 2 e supply chain. Adempimenti per clienti e fornitori.
In conclusione, è chiaro che l’estensione degli obblighi di cybersicurezza lungo la catena di approvvigionamento ha generato un effetto moltiplicatore che amplia significativamente il perimetro di applicazione della normativa NIS 2. Questo effetto si traduce in una maggiore responsabilità non solo per i soggetti essenziali e importanti, ma anche per i loro fornitori, i quali devono essere consapevoli delle implicazioni normative.
Già lo status di fornitore di un soggetto critico può comportare l’inclusione tra i destinatari diretti della disciplina, come previsto dall’art. 3, comma 9, del D. Lgs. 138/2024. Ma al di là di tale profilo, i soggetti essenziali e importanti sono tenuti a rivedere attentamente i propri processi di approvvigionamento, mantenendo nell’albo fornitori solo coloro che sono in grado di assicurare standard elevati di sicurezza informatica.
Più precisamente, dal punto di vista dei soggetti NIS 2, la crescente attenzione alla sicurezza richiede non solo una valutazione continua dei fornitori già presenti, ma anche l’introduzione di nuove procedure di selezione e mantenimento, che tengano conto delle vulnerabilità dei fornitori lungo tutta la catena di approvvigionamento.
A questo riguardo, è fondamentale che la documentazione contrattuale venga aggiornata e revisionata. Sarà opportuno prevedere clausole specifiche che disciplinino la gestione della cybersicurezza e la ripartizione delle responsabilità nella gestione dei rischi informatici. L’elaborazione di modelli contrattuali ad hoc, specialmente per i fornitori di beni e servizi ICT critici, diventa una pratica essenziale per garantire la compliance normativa.
Parimenti, la modulistica per l’iscrizione o la permanenza nell’albo fornitori dovrà essere aggiornata per dimostrare una piena accountability rispetto agli obblighi previsti dalla normativa, facilitando così i controlli e garantendo trasparenza nelle relazioni commerciali.
Dal punto di vista dei fornitori, il supporto legale è cruciale per affrontare questa sfida in modo strategico. La comprensione dettagliata degli obblighi imposti dalla NIS 2 è necessaria per mantenere la propria competitività sul mercato. In particolare, sarà opportuno adottare modelli e codici di condotta per garantire una gestione efficace non solo della sicurezza tecnologica, ma anche del fattore umano, che rappresenta una componente essenziale nella protezione dai rischi di cybersicurezza.
In tale contesto, anche la formazione del personale diventa un elemento fondamentale per dimostrare che la gestione dei rischi è effettuata in modo adeguato e consapevole.
Il sostegno di un professionista legale con esperienza in cybersicurezza non solo garantisce la corretta applicazione delle normative, ma consente anche di predisporre una strategia a lungo termine per prevenire rischi e gestire le relazioni con i fornitori. Per questo motivo, il nostro Studio Legale ha predisposto una checklist specifica per fornitori e soggetti essenziali/importanti, così da agevolare l’adeguamento alle disposizioni della NIS 2 relative alla catena di approvvigionamento.
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2, gestione del rischio e incidenti informatici
da Redazione | Ott 17, 2024 | Diritto d'Impresa, Notizie e Aggiornamenti Legislativi
Il nuovo Regolamento DORA (Digital Operational Resilience Act) introduce sfide rilevanti in materia di compliance finanziaria aziendale, aprendo a nuove forme di responsabilità per gli organi societari. Comprendere le motivazioni e gli obiettivi di tale normativa richiede un’analisi preliminare delle ragioni che hanno spinto la Commissione Europea, seguita dal Parlamento, a intervenire in ambito di sicurezza informatica nel settore finanziario. Si sottolinea che, peraltro, molti enti destinatari del Regolamento DORA, rientrano anche tra i soggetti obbligati ai sensi della Direttiva NIS 2 e del Decreto Legislativo 138/2024; rinviamo sul punto al nostro precedente e specifico approfondimento.
Negli ultimi anni, si è assistito a un significativo aumento degli attacchi informatici diretti verso grandi aziende, in particolare nel settore bancario e finanziario, con esempi emblematici come Unicredit e Intesa SanPaolo, nonché verso amministrazioni pubbliche di rilievo, come l’Agenzia delle Entrate e la Regione Lazio. Tali attacchi causano incidenti di sicurezza con conseguenze non solo per l’impresa o l’ente colpito, ma anche per l’intera comunità e, in alcuni casi, per l’intero Paese.
Le violazioni dei sistemi informatici incidono infatti sulla riservatezza, integrità e disponibilità di dati e informazioni, generando effetti negativi immediati sia per i cittadini, sotto il profilo economico, sia in relazione ai diritti fondamentali garantiti dalla Costituzione, come il diritto alla salute, alla riservatezza e alla tutela del risparmio.
Nell’attuale contesto digitale, le tecnologie dell’informazione e della comunicazione (TIC) costituiscono il pilastro su cui si fondano i principali settori economici, tra cui quello finanziario, e sono essenziali per il buon funzionamento del mercato interno. Tuttavia, l’accresciuto livello di digitalizzazione e interconnessione amplifica i rischi informatici, rendendo la società, e in particolare il sistema finanziario, sempre più vulnerabile a minacce e perturbazioni legate alle TIC.
Questo articolo mira a esaminare i profili giuridici più rilevanti che il Regolamento DORA introduce, offrendo un quadro degli adempimenti che i soggetti obbligati dalla normativa dovranno tenere in considerazione.
Regolamento DORA: entrata in vigore, finalità e soggetti obbligati
Il Regolamento DORA (Digital Operational Resilience Act), entrato formalmente in vigore nel gennaio 2023, diverrà pienamente vincolante a partire dal 17 gennaio 2025. Tale Regolamento mira a rafforzare le misure di sicurezza informatica e la cosiddetta resilienza digitale all’interno del settore finanziario, il quale è particolarmente esposto a attacchi informatici.
L’Unione Europea, riconoscendo la natura strategica di questo settore per la stabilità economica e la libera circolazione di capitali, merci, servizi e persone, ha adottato il DORA come strumento per armonizzare la legislazione degli Stati membri, introducendo standard comuni e obbligatori in tema di sicurezza operativa.
La finalità primaria del DORA è quella di proteggere la competitività e la stabilità finanziaria dell’Unione Europea, uniformando le diverse normative nazionali sotto un insieme di regole condivise, specificamente concepite per la prevenzione e gestione degli attacchi informatici che colpiscono le imprese del settore finanziario. La consapevolezza che le minacce informatiche abbiano una dimensione intrinsecamente transnazionale ha spinto il legislatore europeo a perseguire una politica comune, idonea a contrastare i rischi che superano i confini nazionali.
Il Regolamento DORA si inserisce in un contesto di continuità con precedenti normative europee, come la Direttiva NIS 2, adottando misure rigorose per la gestione del rischio informatico e la protezione dei dati. Tra le disposizioni di maggior rilievo, vi è l’obbligo per gli operatori finanziari di adottare specifici standard per il monitoraggio continuo dell’efficacia dei modelli di resilienza operativa e per la realizzazione di test periodici. Questi test mirano a verificare la capacità delle imprese di rispondere prontamente a incidenti di sicurezza, prevedendo anche l’obbligo di segnalazione tempestiva degli incidenti stessi alle autorità competenti.
Un aspetto centrale del DORA riguarda la conformità dei contratti stipulati con fornitori terzi, soprattutto laddove questi ultimi siano coinvolti nell’utilizzo di tecnologie dell’informazione e della comunicazione (TIC). Questo obbligo di conformità sottolinea l’importanza di garantire che l’intera filiera di partner commerciali rispetti le medesime norme di sicurezza, minimizzando così il rischio di vulnerabilità derivanti da soggetti esterni all’impresa.
Il concetto di resilienza digitale trova piena applicazione all’interno del DORA, definendo la capacità delle aziende del settore finanziario di preservare e garantire la propria integrità operativa sotto il profilo tecnologico. Ciò comporta l’adozione di misure strutturali che assicurino la sicurezza delle reti, dei sistemi informatici e dei dati utilizzati, come stabilito dall’art. 3 del Regolamento.
Dal punto di vista soggettivo, il Regolamento si applica a un’ampia gamma di operatori del mercato finanziario, tra cui banche, imprese assicurative, intermediari finanziari, fondi di investimento, nonché fornitori di cripto-attività e soggetti terzi che forniscono servizi basati sull’uso delle TIC. In tal modo, il DORA copre una vasta pluralità di soggetti operanti nel sistema economico-finanziario, assicurando che ciascuno di essi sia tenuto ad adottare le misure necessarie per garantire la propria resilienza operativa e per proteggere l’intero ecosistema digitale dell’Unione Europea dalle crescenti minacce informatiche.
Regolamento DORA: obblighi di sicurezza e resilienza
Il Regolamento DORA introduce un complesso quadro di obblighi volti a garantire la sicurezza delle reti e dei sistemi informativi delle entità finanziarie, come delineato dall’art. 1. In particolare, il regolamento impone l’adozione di misure uniformi per salvaguardare la continuità operativa delle imprese e prevenire eventuali compromissioni legate alla cybersecurity. Gli obblighi possono essere distinti in due principali categorie: obblighi interni, relativi alla governance e alla gestione dei rischi informatici, e obblighi esterni, che riguardano la notifica di incidenti e minacce alle autorità competenti.
Tra gli obblighi interni, il DORA pone l’accento sulla gestione dei rischi connessi alle tecnologie dell’informazione e della comunicazione (TIC). Le entità finanziarie devono adottare un approccio strutturato alla resilienza operativa digitale, che include l’implementazione di test periodici per verificare la robustezza dei propri sistemi di sicurezza informatica. Questi test devono essere volti a identificare le vulnerabilità nei sistemi e a stabilire misure adeguate per mitigare i rischi, inclusi quelli derivanti da fornitori terzi. La vigilanza sulla sicurezza delle reti e dei dati è un aspetto cruciale, e il regolamento richiede la predisposizione di protocolli per monitorare costantemente la qualità della sicurezza, con particolare riguardo alla catena di fornitura.
Gli obblighi esterni imposti dal DORA riguardano principalmente la notifica alle autorità competenti di qualsiasi incidente grave o minaccia significativa che possa compromettere la sicurezza delle TIC. Questo include incidenti legati alla sicurezza dei sistemi di pagamento e alle infrastrutture finanziarie digitali. Le entità finanziarie devono, inoltre, condividere informazioni rilevanti riguardanti tali incidenti con le autorità designate, al fine di migliorare la resilienza complessiva del settore.
Un altro punto cruciale del Regolamento DORA è la gestione dei rischi legati ai fornitori esterni di servizi TIC. L’art. 25 del Regolamento specifica l’obbligo di garantire che i fornitori con i quali le entità finanziarie collaborano rispettino gli standard di sicurezza imposti dal DORA, minimizzando così il rischio di compromissioni derivanti da soggetti terzi. Le imprese devono inoltre adottare un modello di gestione del rischio che contempli procedure per affrontare le minacce informatiche in modo proattivo ed efficace.
Il regolamento introduce anche il concetto di resilienza operativa digitale, che si riferisce alla capacità dell’impresa di mantenere l’integrità dei propri sistemi tecnologici e operativi di fronte a incidenti di sicurezza informatica. Questa resilienza deve essere garantita attraverso un quadro di gestione globale che includa politiche, strategie, obiettivi e procedure di sicurezza. L’obiettivo è quello di consentire alle imprese di resistere e riprendersi rapidamente da qualsiasi minaccia o vulnerabilità, assicurando la continuità delle operazioni commerciali. In particolare, l’art. 9 del DORA disciplina la continuità operativa (business continuity), mentre gli articoli 10 e 11 trattano il disaster recovery, ossia la capacità di recupero delle imprese in seguito a incidenti gravi.
Le entità finanziarie sono inoltre obbligate a condurre attività di risk management e risk assessment, con lo scopo di individuare e valutare i rischi informatici legati alla gestione, utilizzo e trasferimento dei dati. Questo processo include l’adozione di soluzioni software e hardware adeguate alla natura e complessità dell’ente, che consentano di prevenire la perdita, alterazione, accesso non autorizzato o fuga di informazioni sensibili. Il DORA impone che tale gestione del rischio ricada sotto la responsabilità diretta dell’organo di gestione dell’impresa, il quale è incaricato di predisporre, applicare e monitorare periodicamente il quadro di gestione della sicurezza informatica.
Infine, il Regolamento richiede che tale quadro venga sottoposto a verifiche periodiche da parte di revisori esterni con comprovate competenze nel settore delle TIC, al fine di garantire che le misure adottate siano adeguate e aggiornate rispetto all’evoluzione delle tecnologie e delle minacce informatiche. Questo meccanismo di revisione continua differenzia il DORA da altri modelli normativi, come il Modello 231, conferendo una maggiore dinamicità e adattabilità alle specifiche esigenze del settore finanziario.
Misure di compliance al DORA: gli obblighi c.d. esterni
La seconda parte del Regolamento DORA, in particolare il Capo III, è dedicata agli obblighi esterni che gravano sugli enti finanziari, con particolare riferimento ai processi di segnalazione e reporting verso le autorità di vigilanza nazionali competenti. Tali obblighi mirano a garantire una gestione tempestiva e trasparente degli incidenti informatici, nonché delle criticità significative legate all’uso delle TIC all’interno del settore finanziario.
In primo luogo, il DORA richiede agli enti finanziari di predisporre piani dettagliati di comunicazione delle crisi e di gestione degli incidenti informatici che si verificano. Questi piani devono includere la classificazione delle perdite e degli impatti, tenendo conto della gravità dell’evento e della criticità dei servizi messi a rischio. In base a quanto previsto dagli artt. 15 e ss. del Regolamento, gli enti devono non solo registrare e classificare ogni incidente informatico, ma anche valutare l’impatto potenziale su terzi, come utenti o clienti, in conformità con l’art. 16.
Tale classificazione è essenziale per garantire una risposta adeguata e proporzionata all’entità del rischio e alla potenziale compromissione dei servizi finanziari.
Una volta classificato l’incidente, la comunicazione deve essere inoltrata all’autorità competente, individuata in modo specifico per ciascuna tipologia di ente finanziario dall’art. 41 del DORA. Le autorità di vigilanza, incaricate di monitorare la resilienza operativa degli istituti finanziari, svolgono un ruolo cruciale nel garantire che il sistema finanziario mantenga la propria integrità e continuità operativa. Il processo di segnalazione e reporting è dunque essenziale per identificare eventuali debolezze nel sistema e promuovere misure correttive che rafforzino la resilienza complessiva del mercato finanziario.
Un altro elemento fondamentale del Regolamento DORA è il ruolo attribuito alle Autorità di vigilanza, sia a livello nazionale che europeo. Queste autorità, tra cui spicca l’Autorità Bancaria Europea (EBA), sono incaricate di valutare la resilienza operativa delle entità finanziarie ricadenti sotto la propria giurisdizione. Tale valutazione si basa su un esame approfondito dei piani di resilienza degli enti, della mappatura dei servizi critici, dei sistemi informatici utilizzati e dei contratti stipulati con fornitori terzi che prevedono l’impiego di TIC.
Le autorità hanno il potere di eseguire ispezioni in loco per verificare la conformità degli enti ai requisiti del DORA e assicurarsi che siano state adottate le misure adeguate per prevenire e gestire incidenti informatici.
Le Autorità di vigilanza sono anche responsabili di fornire linee guida e raccomandazioni (best practices) volte ad assistere le entità finanziarie nell’implementazione dei requisiti normativi del DORA. Esse svolgono un ruolo centrale nel promuovere il coordinamento tra le varie autorità nazionali, europee e le forze dell’ordine, per garantire una risposta tempestiva e coordinata alle minacce informatiche. Questo sistema di collaborazione interistituzionale è volto a rafforzare la capacità di risposta del sistema finanziario alle sfide poste dalla crescente digitalizzazione e interconnessione globale.
Inoltre, il DORA conferisce alle Autorità di vigilanza il potere di applicare sanzioni agli enti finanziari che non rispettano i requisiti previsti dal regolamento. Le sanzioni possono variare a seconda della gravità della violazione e mirano a incentivare l’adozione di misure efficaci per garantire la sicurezza operativa e la protezione delle informazioni finanziarie e sensibili. L’imposizione di sanzioni rappresenta uno strumento fondamentale per assicurare il rispetto del quadro normativo e la corretta attuazione delle misure di resilienza operative da parte degli enti.
Le sanzioni del Regolamento DORA
Il Regolamento DORA introduce un articolato sistema sanzionatorio volto a garantire il rispetto delle misure di resilienza operativa e di sicurezza informatica imposte alle entità finanziarie. Gli artt. 50 e 51 del Regolamento delineano una serie di sanzioni amministrative che possono essere applicate in caso di violazione delle disposizioni normative. Tra le misure più rilevanti, figurano sanzioni pecuniarie che possono raggiungere fino a 10 milioni di euro o, alternativamente, fino al 5% del fatturato annuo complessivo dell’ente finanziario, a seconda di quale cifra risulti più elevata. Queste sanzioni sono accompagnate da una gamma di misure correttive, come richiami pubblici, la revoca delle autorizzazioni all’esercizio dell’attività e l’obbligo di risarcimento dei danni causati.
Tuttavia, il DORA lascia agli Stati membri la facoltà di adottare un approccio più severo, prevedendo anche sanzioni penali per determinate violazioni. Questo margine di discrezionalità consente agli ordinamenti nazionali di stabilire un regime sanzionatorio che possa comprendere misure di carattere penale, qualora la gravità della violazione lo giustifichi. In particolare, l’art. 52 del Regolamento specifica che gli Stati membri possono scegliere di non adottare sanzioni amministrative per violazioni che, nel diritto interno, sono già passibili di sanzioni penali.
Questa scelta mira ad evitare il cumulo di sanzioni per lo stesso fatto, scongiurando così il rischio di violazioni del principio del ne bis in idem, principio cardine del diritto sanzionatorio europeo che vieta la punizione di un individuo per lo stesso reato più di una volta.
Il secondo paragrafo dell’art. 52 sottolinea che, qualora uno Stato membro opti per l’imposizione di sanzioni penali in caso di violazioni del Regolamento DORA, le autorità di vigilanza nazionali devono essere dotate di tutti i poteri e le competenze necessari per collaborare efficacemente con le autorità giudiziarie competenti. Questo aspetto evidenzia l’importanza di una cooperazione stretta e coordinata tra le autorità di vigilanza finanziaria e gli organi giudiziari, al fine di garantire l’effettiva applicazione delle norme del DORA e assicurare che le violazioni siano trattate con la massima serietà.
In sostanza, il sistema sanzionatorio previsto dal DORA riflette l’intento del legislatore europeo di garantire che le entità finanziarie rispettino rigorosamente le misure di sicurezza e resilienza digitale. La possibilità di combinare sanzioni amministrative e penali dimostra la gravità con cui vengono trattate le violazioni nel settore finanziario, rafforzando la necessità di un’adeguata compliance da parte delle imprese e promuovendo una maggiore responsabilizzazione degli organi aziendali.
Conclusioni
L’entrata in vigore delle disposizioni del Regolamento DORA il 17 gennaio 2025 rappresenta una scadenza fondamentale per tutte le entità finanziarie soggette a questa normativa. A partire da tale data, le misure di resilienza digitale e sicurezza informatica diventeranno pienamente applicabili, rendendo imprescindibile un adeguamento tempestivo e rigoroso da parte degli operatori del settore.
Le misure di compliance previste dal Regolamento includono l’adozione di un quadro di gestione dei rischi informatici, l’attuazione di test periodici per verificare la resilienza operativa e la conformità dei contratti con fornitori terzi alle norme di sicurezza informatica. Le imprese devono inoltre predisporre piani di comunicazione per la gestione degli incidenti, monitorare costantemente la sicurezza delle TIC utilizzate e garantire la segnalazione tempestiva alle autorità competenti in caso di incidenti gravi. Il rispetto di queste misure non solo consentirà alle entità finanziarie di migliorare la loro capacità di affrontare le minacce informatiche, ma anche di garantire la continuità dei servizi e la protezione dei dati sensibili.
È essenziale, inoltre, che anche i fornitori delle entità soggette al DORA comprendano la portata degli obblighi imposti dal Regolamento. Pur non essendo direttamente obbligati, i fornitori che offrono servizi critici basati sull’uso delle TIC saranno comunque gravati da responsabilità indirette per garantire che le entità finanziarie rispettino gli standard di sicurezza e resilienza imposti dal DORA.
In questo contesto, l’assistenza di una consulenza legale esperta diventa cruciale non solo per i soggetti direttamente obbligati dal Regolamento DORA, ma anche per i loro fornitori. Un supporto legale qualificato può garantire che tutti i processi di adeguamento siano conformi alle disposizioni del Regolamento, prevenendo così potenziali violazioni e contribuendo a creare un sistema sicuro e resiliente, capace di affrontare le sfide del panorama digitale e finanziario attuale.
