Direttiva NIS 2: approvato il Regolamento 2024/2690 della Commissione su requisiti di sicurezza e incidenti significativi

Direttiva NIS 2: approvato il Regolamento 2024/2690 della Commissione su requisiti di sicurezza e incidenti significativi

La Direttiva NIS 2 (Direttiva (UE) 2022/2555) è il corpus normativo principale nell’ambito della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. L’obiettivo primario di questa normativa è, come noto, quello di migliorare la resilienza delle infrastrutture digitali europee, introducendo obblighi più stringenti per gli operatori di servizi essenziali e importanti.

Rispetto alla precedente Direttiva NIS, la NIS 2 estende il campo di applicazione e rafforza le misure di gestione del rischio di cybersicurezza, armonizzando ulteriormente le normative tra gli Stati membri.

In questo contesto, il Regolamento di attuazione recentemente approvato dalla Commissione Europea si inserisce come elemento cruciale per la concretizzazione delle disposizioni previste dalla Direttiva NIS 2. Esso è stato adottato sulla base dell’articolo 21, paragrafo 5, della Direttiva NIS 2, che stabilisce che entro il 17 ottobre 2024, la Commissione debba adottare atti di esecuzione per definire i requisiti tecnici e metodologici delle misure di gestione del rischio. Questi requisiti riguardano una serie di fornitori di servizi critici, tra cui i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD), i fornitori di cloud computing, i data center, le reti di distribuzione dei contenuti (CDN), e altri operatori di servizi essenziali.

In parallelo, l’articolo 23, paragrafo 11, della Direttiva NIS 2 stabilisce che, entro la stessa scadenza, la Commissione adotti atti di esecuzione per specificare i casi in cui un incidente debba essere considerato significativo. Ciò si applica ai fornitori sopra elencati e ad altri soggetti essenziali e importanti, con l’obiettivo di garantire una risposta adeguata e tempestiva agli incidenti informatici che possano mettere a rischio la sicurezza delle reti e dei sistemi informativi.

L’obiettivo di questo articolo è offrire una panoramica dettagliata del Regolamento di attuazione della Direttiva NIS 2, che introduce una disciplina vincolante per una serie di operatori che svolgono un ruolo cruciale nella sicurezza digitale europea.

Il Regolamento, che entrerà in vigore dopo la sua pubblicazione ufficiale, si applica esclusivamente alle relevant entities o entità rilevanti, definite come quei soggetti che forniscono servizi critici per la società e l’economia. Tra queste entità si annoverano fornitori di servizi DNS, di cloud computing, di reti di distribuzione dei contenuti, motori di ricerca online, piattaforme di social networking e altre infrastrutture digitali di importanza strategica.

Nel prosieguo dell’articolo, esploreremo più nel dettaglio le misure di gestione del rischio previste dal Regolamento e le modalità per determinare quando un incidente debba essere considerato significativo ai sensi della Direttiva NIS 2. Per approfondimenti circa la normativa nazionale di recepimento della Direttiva NIS 2 e il calendario delle scadenze, rinviamo ai nostri precedenti articoli.

Requisiti di gestione del rischio nella Direttiva NIS 2

La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea pongono al centro dell’attenzione la necessità per le “entità rilevanti” di adottare misure specifiche di gestione del rischio per la sicurezza delle reti e dei sistemi informativi. La disciplina dettagliata di tali misure è contenuta nell’Annex I del Regolamento, che rappresenta un pilastro normativo fondamentale per garantire la sicurezza cibernetica all’interno dell’Unione Europea.

L’Annex I si struttura in diverse sezioni, ciascuna delle quali delinea un insieme di requisiti tecnici e metodologici che le entità rilevanti devono implementare. Tali misure sono organizzate in modo da coprire tutti gli aspetti cruciali della gestione del rischio di cybersecurity, con l’obiettivo di fornire un approccio omnicomprensivo alla sicurezza informatica. Tra le principali aree trattate figurano la protezione delle reti, dei sistemi informativi e dei dati, nonché la preparazione a rispondere a eventuali incidenti di sicurezza.

Le misure descritte nell’Annex I impongono alle entità rilevanti l’adozione di politiche di sicurezza informatica che coprano l’intero ciclo di vita dei sistemi e dei servizi. Queste politiche devono essere sviluppate sulla base di una valutazione continua del rischio, che prevede l’identificazione delle minacce potenziali, la stima della probabilità che si verifichino incidenti e l’adozione di misure di mitigazione adeguate. L’Annex I stabilisce, inoltre, che queste politiche devono essere sottoposte a revisione periodica per adattarsi alle nuove sfide poste dall’evoluzione tecnologica e dalle crescenti minacce cibernetiche.

Inoltre, una sezione fondamentale dell’Annex I riguarda la gestione degli incidenti di sicurezza informatica. Le entità rilevanti sono tenute a implementare misure che consentano il rilevamento, la gestione e la risoluzione tempestiva degli incidenti. Questo include l’obbligo di monitorare continuamente le attività delle reti e dei sistemi informativi, in modo da rilevare eventuali anomalie che possano indicare un’intrusione o un attacco.

L’Annex I si occupa anche della continuità operativa, stabilendo che le entità rilevanti devono predisporre piani di continuità e ripristino delle attività, volti a garantire la ripresa delle operazioni nel minor tempo possibile in caso di interruzioni. Questi piani devono essere regolarmente testati e aggiornati, per assicurare che restino efficaci nel tempo e in linea con le esigenze operative dell’entità.

Un altro elemento di grande rilevanza trattato dall’Annex I riguarda la sicurezza della catena di fornitura (tema che, in generale, abbiamo già approfondito in un precedente articolo). Le entità rilevanti non solo devono assicurarsi che i loro sistemi e reti siano protetti, ma devono anche vigilare affinché i fornitori terzi che partecipano alla loro catena produttiva o distributiva rispettino standard di sicurezza analoghi. Questo principio garantisce un approccio integrato alla gestione del rischio, prevenendo potenziali vulnerabilità derivanti da attori esterni.

L’Annex I, dunque, costituisce la base normativa essenziale che le entità rilevanti devono seguire per conformarsi ai requisiti di gestione del rischio imposti dalla Direttiva NIS 2, garantendo così una maggiore resilienza delle infrastrutture digitali europee.

Incidenti significativi nel Regolamento di attuazione della Direttiva NIS 2

La Direttiva NIS 2, unitamente al Regolamento di attuazione, introduce una disciplina specifica per la gestione degli incidenti significativi. Ai sensi dell’articolo 3 del Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri previsti dalla Direttiva stessa e dal Regolamento, con l’obiettivo di garantire che tali eventi ricevano una risposta tempestiva e adeguata. La rilevanza di un incidente non si limita al suo impatto immediato sui sistemi informativi dell’entità, ma viene valutata anche in funzione delle conseguenze economiche, operative e sociali che può determinare.

Secondo l’articolo 3, un incidente è considerato significativo se soddisfa uno o più criteri generali. Tra questi, vi è la possibilità che l’incidente comporti una perdita finanziaria diretta per l’entità rilevante superiore a 500.000 euro o al 5% del fatturato annuo complessivo dell’entità nell’anno finanziario precedente, a seconda di quale importo sia inferiore. Altri criteri includono la compromissione della riservatezza, integrità o autenticità dei dati, oppure la possibilità che l’incidente causi la morte o danni significativi alla salute di una persona fisica. Inoltre, il Regolamento introduce criteri specifici per diverse tipologie di entità rilevanti, in modo da adeguare la valutazione dell’incidente alle caratteristiche particolari dei servizi forniti.

Ai sensi dell’articolo 5, se l’incidente riguarda un fornitore di servizi DNS, esso è considerato significativo se uno o più criteri vengono soddisfatti. Tra questi, il servizio di risoluzione dei nomi di dominio autoritativo o ricorsivo deve essere completamente non disponibile per un periodo superiore a 30 minuti. In alternativa, la risposta del servizio di risoluzione dei nomi di dominio potrebbe superare i 10 secondi per oltre un’ora, rendendo il servizio inadeguato a rispondere in modo efficiente alle richieste DNS. Un altro criterio di significatività è la compromissione dell’integrità, riservatezza o autenticità dei dati trattati dal fornitore, soprattutto se tale compromissione coinvolge una quota rilevante di nomi di dominio gestiti.

Per quanto riguarda i registri di nomi di dominio di primo livello (TLD), l’articolo 6 stabilisce che un incidente è considerato significativo se il servizio di risoluzione dei nomi di dominio autoritativo è completamente non disponibile o se il tempo di risposta medio supera i 10 secondi per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati legati al TLD può essere determinante nel qualificare l’incidente come significativo, se tale compromissione mina la riservatezza o l’integrità delle informazioni trattate.

Ai sensi dell’articolo 7 del Regolamento attuativo della Direttiva NIS 2, un fornitore di servizi di cloud computing è soggetto a criteri di significatività qualora il servizio di cloud computing sia completamente non disponibile per più di 30 minuti. Inoltre, se la disponibilità del servizio è limitata per oltre il 5% degli utenti del cloud nell’Unione Europea, o per più di un milione di utenti, l’incidente può essere considerato significativo. La compromissione dell’integrità, riservatezza o autenticità dei dati trattati da tali fornitori può inoltre essere un fattore determinante, soprattutto se coinvolge una quota considerevole di utenti del servizio.

Analogamente, l’articolo 8 del Regolamento attuativo della Direttiva NIS 2 disciplina gli incidenti che coinvolgono i fornitori di servizi di data center. Un incidente è considerato significativo se il servizio di data center risulta completamente non disponibile o se la disponibilità del servizio è limitata per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati trattati nel data center può qualificare l’incidente come significativo, così come la compromissione dell’accesso fisico al data center stesso, soprattutto se si verifica una violazione dei meccanismi di protezione fisica che limitano l’accesso alle aree sensibili.

Per i fornitori di reti di distribuzione dei contenuti (CDN), l’articolo 9 stabilisce che un incidente è significativo se la rete di distribuzione è completamente non disponibile per più di 30 minuti. Se l’indisponibilità del servizio impatta oltre il 5% degli utenti della rete di distribuzione o coinvolge più di un milione di utenti, l’incidente è considerato significativo. Come per le altre entità, anche la compromissione della riservatezza, integrità o autenticità dei dati trattati dalla rete di distribuzione dei contenuti può rappresentare un criterio rilevante.

L’articolo 11 riguarda i fornitori di marketplace online, dove un incidente è considerato significativo se più del 5% degli utenti o oltre un milione di utenti nell’Unione sono coinvolti dall’indisponibilità totale o parziale del servizio. Anche in questo contesto, la sicurezza dei dati trattati gioca un ruolo fondamentale, in particolare se vi è stata una compromissione della riservatezza, integrità o autenticità delle informazioni.

Infine, gli articoli 12 e 13 del Regolamento attuativo della Direttiva NIS 2 disciplinano rispettivamente i criteri per gli incidenti significativi che coinvolgono i motori di ricerca online e le piattaforme di servizi di social networking, stabilendo criteri simili in termini di indisponibilità dei servizi e compromissione della sicurezza dei dati. Anche in questi casi, l’indisponibilità che colpisce una percentuale significativa di utenti o la violazione dei dati trattati costituisce un elemento chiave nella valutazione della significatività dell’incidente.

In conclusione, il Regolamento di attuazione della Direttiva NIS 2 stabilisce una disciplina precisa e articolata per identificare e gestire gli incidenti significativi, tenendo conto delle peculiarità delle diverse entità rilevanti e del tipo di servizi forniti.

Direttiva NIS 2 e Regolamento di attuazione. Quali adempimenti?

La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea rappresentano un significativo passo avanti nella gestione della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. La definizione precisa delle misure di gestione del rischio e la determinazione degli incidenti significativi hanno come obiettivo quello di creare un quadro giuridico uniforme e robusto, capace di rispondere alle sfide sempre più complesse del panorama cibernetico moderno. Con l’entrata in vigore del Regolamento, le “entità rilevanti” dovranno adattarsi a nuovi standard di sicurezza e adottare un approccio proattivo nella gestione dei rischi informatici.

Per le entità rilevanti, la conformità alla Direttiva NIS 2 richiederà un impegno non solo tecnico ma anche organizzativo, attraverso l’implementazione di politiche di sicurezza coerenti e la formazione continua del personale coinvolto. Gli operatori economici, in particolare, dovranno assicurarsi che anche la loro catena di fornitura rispetti gli stessi criteri di sicurezza cibernetica. Il mancato adeguamento può comportare sanzioni rilevanti e, soprattutto, una vulnerabilità critica nei confronti delle minacce informatiche.

In questo contesto di crescente complessità normativa, lo Studio Legale D’Agostino, con la sua consolidata esperienza in ambito di corporate compliance e cybersicurezza, è in grado di fornire un supporto strategico essenziale. La nostra competenza nella gestione delle problematiche legate alla conformità aziendale e alla sicurezza informatica ci permette di assistere le imprese e le pubbliche amministrazioni nel processo di implementazione della Direttiva NIS 2, garantendo un approccio personalizzato e orientato alla prevenzione dei rischi.

Siamo lieti e orgogliosi di accompagnarvi nel percorso di adeguamento normativo, fornendo soluzioni efficaci e su misura per proteggere le vostre infrastrutture digitali e ridurre al minimo l’esposizione ai rischi cibernetici.

SCARICA QUI IL TESTO DEL Regolamento di attuazione della Direttiva NIS 2 del 17.10.2024

Tablet con riferimento al Decreto NIS 2 e cyber security sullo schermo, studio legale avvocato a Roma specializzato in sicurezza informatica, incidenti, vulnerabilità, consulenza e misure di sicurezza ACN

Studio Legale D’Agostino a Roma: consulenza su Decreto NIS 2, cyber security e sicurezza informatica, con definizioni chiave su incidenti, vulnerabilità e misure di sicurezza

Decreto NIS 2, supply chain e sicurezza dei fornitori delle imprese critiche. Cosa fare?

Decreto NIS 2, supply chain e sicurezza dei fornitori delle imprese critiche. Cosa fare?

Come noto, la Direttiva NIS 2 (2555/2022/UE) rappresenta una tappa fondamentale nella regolamentazione della sicurezza informatica a livello europeo. Con l’emanazione del Decreto Legislativo n. 138/2024, l’Italia ha recepito le disposizioni comunitarie, ampliando notevolmente l’ambito di applicazione rispetto alla normativa precedente.

Gli operatori economici che rientrano nell’ambito soggettivo di applicazione della NIS 2 sono chiamati a rispettare precisi obblighi informativi e di gestione dei rischi, nonché ad assicurare l’adozione di misure adeguate e l’obbligo di notificare tempestivamente eventuali incidenti informatici che possano compromettere la sicurezza delle reti.

I soggetti inseriti nell’elenco, predisposto dall’Autorità Nazionale per la Cybersicurezza (ACN), dovranno adempiere agli obblighi previsti dalla normativa entro precise scadenze, come già approfondito in un precedente articolo pubblicato sul nostro sito, al quale facciamo rinvio.

Per quel che qui interessa, la normativa NIS 2 impone una particolare attenzione alla sicurezza della catena di approvvigionamento, con un impatto non trascurabile per i fornitori dei soggetti NIS. Cosa cambierà nei rapporti tra clienti NIS e fornitori?

A ben vedere, la Direttiva NIS 2 e il Decreto Legislativo di attuazione possiedono un perimetro di applicazione più ampio di quanto possa sembrare a prima vista. Sebbene gli obblighi diretti ricadano sui soggetti definiti essenziali e importanti, il meccanismo normativo ha un impatto considerevole anche sui fornitori di tali soggetti.

Il legislatore europeo, consapevole dei rischi che la catena di approvvigionamento può comportare per la sicurezza informatica, ha introdotto l’obbligo per i soggetti NIS di tenere in considerazione la resilienza dei propri fornitori e la qualità delle pratiche di cybersicurezza adottate da questi ultimi. La sicurezza informatica, dunque, non si limita a una dimensione interna, ma si estende lungo tutta la filiera, creando un vero e proprio “effetto a cascata” che investe anche i fornitori a valle.

Questo significa che i fornitori di soggetti critici, pur non essendo direttamente destinatari della Direttiva NIS 2, dovranno comunque adottare misure adeguate per dimostrare di essere conformi agli standard di sicurezza richiesti dai propri clienti.

In sostanza, le imprese fornitrici saranno tenute a integrare nei propri processi di gestione del rischio misure di mitigazione del rischio informatico, al fine di tutelare i propri clienti e, in definitiva, garantire la continuità delle relazioni commerciali. Questo scenario rende la cybersicurezza non solo un obbligo normativo, ma anche un driver di competitività sul mercato. La capacità di un’azienda di dimostrare ai propri clienti di essere compliant con le normative in materia di sicurezza informatica diventa un fattore determinante per mantenere il proprio status di fornitore.

Dal lato dei soggetti inclusi nell’elenco NIS 2, vi è la necessità di integrare la verifica della sicurezza dei fornitori nei processi aziendali. Questo processo dovrà prevedere non solo una valutazione puntuale dei rischi legati ai fornitori diretti, ma anche l’adozione di accordi contrattuali che definiscano con precisione le responsabilità reciproche in materia di gestione dei rischi di cybersicurezza. Le imprese dovranno quindi adottare misure per garantire la protezione delle loro infrastrutture digitali, sviluppando un sistema integrato di sicurezza informatica che coinvolga tutti i soggetti che operano lungo la catena di approvvigionamento.

Catena di approvvigionamento e rapporti con i fornitori nella normativa NIS 2

Per comprendere l’importanza di una corretta governance della sicurezza informatica lungo la catena di approvvigionamento, è indispensabile dare uno sguardo alle disposizioni della Direttiva NIS 2 (2555/2022/UE) e alle previsioni del D. Lgs. 138/2024.

In particolare, già il considerandum n. 85 sottolinea l’importanza di «affrontare i rischi derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori, ad esempio i fornitori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti e gli editori di software». Tale necessità deriva dal fatto che la prevalenza di incidenti, in cui i cybercriminali sono stati in grado di compromettere la sicurezza dei sistemi informatici e di rete, interessano prodotti e servizi di terzi fornitori dei soggetti NIS.

I soggetti essenziali e importanti dovrebbero pertanto valutare e tenere in considerazione «la qualità e la resilienza complessive dei prodotti e dei servizi, delle misure di gestione dei rischi di cibersicurezza in essi integrate e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro».

In particolare, i soggetti essenziali e importanti dovrebbero essere incoraggiati a integrare misure di gestione dei rischi di cibersicurezza negli accordi contrattuali con i loro fornitori e fornitori di servizi diretti. Tali soggetti potrebbero, inoltre, prendere in considerazione i rischi derivanti da altri livelli di fornitori e fornitori di servizi.

Inoltre, l’art. 21 della Direttiva NIS 2, dopo aver stabilito che i soggetti essenziali e importanti devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività, pone un preciso obbligo relativo alla sicurezza della catena di approvvigionamento.

Nel dettaglio, il secondo comma dell’art. 21 della Direttiva NIS 2 dispone che le misure debbano aver riguardo alla «sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi».

Al terzo comma si precisa ulteriormente che, nel valutare quali misure siano adeguate, i soggetti tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

Le indicazioni del Legislatore europeo sono state recepite nel nostro ordinamento con l’adozione del Decreto NIS 2 (D. Lgs. 138/2024).

Occorre in primis considerare che il possesso della qualifica di fornitore di un soggetto NIS può comportare, per determinati soggetti, l’inserimento nell’elenco dei destinatari della disciplina. Conviene al riguardo osservare che, ai sensi dell’art. 3, comma 9 del Decreto NIS 2, la normativa si applica anche ai soggetti dei settori o delle tipologie di cui agli allegati I, II, III e IV, indipendentemente dalle loro dimensioni, qualora «il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti».

Vieppiù, ai sensi dell’art. 24, comma 2 del Decreto NIS, le misure di sicurezza sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete, nonché il loro ambiente fisico da incidenti, che comprendono – tra l’altro – anche la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.

Infine, l’art. 24, comma 3 dispone che, nel valutare quali misure siano adeguate, i soggetti tengono conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Per la medesima finalità i soggetti tengono altresì conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

NIS 2 e supply chain. Adempimenti per clienti e fornitori.

In conclusione, è chiaro che l’estensione degli obblighi di cybersicurezza lungo la catena di approvvigionamento ha generato un effetto moltiplicatore che amplia significativamente il perimetro di applicazione della normativa NIS 2. Questo effetto si traduce in una maggiore responsabilità non solo per i soggetti essenziali e importanti, ma anche per i loro fornitori, i quali devono essere consapevoli delle implicazioni normative.

Già lo status di fornitore di un soggetto critico può comportare l’inclusione tra i destinatari diretti della disciplina, come previsto dall’art. 3, comma 9, del D. Lgs. 138/2024. Ma al di là di tale profilo, i soggetti essenziali e importanti sono tenuti a rivedere attentamente i propri processi di approvvigionamento, mantenendo nell’albo fornitori solo coloro che sono in grado di assicurare standard elevati di sicurezza informatica.

Più precisamente, dal punto di vista dei soggetti NIS 2, la crescente attenzione alla sicurezza richiede non solo una valutazione continua dei fornitori già presenti, ma anche l’introduzione di nuove procedure di selezione e mantenimento, che tengano conto delle vulnerabilità dei fornitori lungo tutta la catena di approvvigionamento.

A questo riguardo, è fondamentale che la documentazione contrattuale venga aggiornata e revisionata. Sarà opportuno prevedere clausole specifiche che disciplinino la gestione della cybersicurezza e la ripartizione delle responsabilità nella gestione dei rischi informatici. L’elaborazione di modelli contrattuali ad hoc, specialmente per i fornitori di beni e servizi ICT critici, diventa una pratica essenziale per garantire la compliance normativa.

Parimenti, la modulistica per l’iscrizione o la permanenza nell’albo fornitori dovrà essere aggiornata per dimostrare una piena accountability rispetto agli obblighi previsti dalla normativa, facilitando così i controlli e garantendo trasparenza nelle relazioni commerciali.

Dal punto di vista dei fornitori, il supporto legale è cruciale per affrontare questa sfida in modo strategico. La comprensione dettagliata degli obblighi imposti dalla NIS 2 è necessaria per mantenere la propria competitività sul mercato. In particolare, sarà opportuno adottare modelli e codici di condotta per garantire una gestione efficace non solo della sicurezza tecnologica, ma anche del fattore umano, che rappresenta una componente essenziale nella protezione dai rischi di cybersicurezza.

In tale contesto, anche la formazione del personale diventa un elemento fondamentale per dimostrare che la gestione dei rischi è effettuata in modo adeguato e consapevole.

Il sostegno di un professionista legale con esperienza in cybersicurezza non solo garantisce la corretta applicazione delle normative, ma consente anche di predisporre una strategia a lungo termine per prevenire rischi e gestire le relazioni con i fornitori. Per questo motivo, il nostro Studio Legale ha predisposto una checklist specifica per fornitori e soggetti essenziali/importanti, così da agevolare l’adeguamento alle disposizioni della NIS 2 relative alla catena di approvvigionamento.

Tablet con grafiche di sicurezza informatica e riferimento al Decreto NIS 2, studio legale a Roma specializzato in consulenza cyber security, incidenti e vulnerabilità

Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2, gestione del rischio e incidenti informatici

Regolamento DORA 2022/2554/UE. Obblighi di sicurezza e misure di resilienza

Regolamento DORA 2022/2554/UE. Obblighi di sicurezza e misure di resilienza

Il nuovo Regolamento DORA (Digital Operational Resilience Act) introduce sfide rilevanti in materia di compliance finanziaria aziendale, aprendo a nuove forme di responsabilità per gli organi societari. Comprendere le motivazioni e gli obiettivi di tale normativa richiede un’analisi preliminare delle ragioni che hanno spinto la Commissione Europea, seguita dal Parlamento, a intervenire in ambito di sicurezza informatica nel settore finanziario. Si sottolinea che, peraltro, molti enti destinatari del Regolamento DORA, rientrano anche tra i soggetti obbligati ai sensi della Direttiva NIS 2 e del Decreto Legislativo 138/2024; rinviamo sul punto al nostro precedente e specifico approfondimento.

Negli ultimi anni, si è assistito a un significativo aumento degli attacchi informatici diretti verso grandi aziende, in particolare nel settore bancario e finanziario, con esempi emblematici come Unicredit e Intesa SanPaolo, nonché verso amministrazioni pubbliche di rilievo, come l’Agenzia delle Entrate e la Regione Lazio. Tali attacchi causano incidenti di sicurezza con conseguenze non solo per l’impresa o l’ente colpito, ma anche per l’intera comunità e, in alcuni casi, per l’intero Paese.

Le violazioni dei sistemi informatici incidono infatti sulla riservatezza, integrità e disponibilità di dati e informazioni, generando effetti negativi immediati sia per i cittadini, sotto il profilo economico, sia in relazione ai diritti fondamentali garantiti dalla Costituzione, come il diritto alla salute, alla riservatezza e alla tutela del risparmio.

Nell’attuale contesto digitale, le tecnologie dell’informazione e della comunicazione (TIC) costituiscono il pilastro su cui si fondano i principali settori economici, tra cui quello finanziario, e sono essenziali per il buon funzionamento del mercato interno. Tuttavia, l’accresciuto livello di digitalizzazione e interconnessione amplifica i rischi informatici, rendendo la società, e in particolare il sistema finanziario, sempre più vulnerabile a minacce e perturbazioni legate alle TIC.

Questo articolo mira a esaminare i profili giuridici più rilevanti che il Regolamento DORA introduce, offrendo un quadro degli adempimenti che i soggetti obbligati dalla normativa dovranno tenere in considerazione.

Regolamento DORA: entrata in vigore, finalità e soggetti obbligati

Il Regolamento DORA (Digital Operational Resilience Act), entrato formalmente in vigore nel gennaio 2023, diverrà pienamente vincolante a partire dal 17 gennaio 2025. Tale Regolamento mira a rafforzare le misure di sicurezza informatica e la cosiddetta resilienza digitale all’interno del settore finanziario, il quale è particolarmente esposto a attacchi informatici.

L’Unione Europea, riconoscendo la natura strategica di questo settore per la stabilità economica e la libera circolazione di capitali, merci, servizi e persone, ha adottato il DORA come strumento per armonizzare la legislazione degli Stati membri, introducendo standard comuni e obbligatori in tema di sicurezza operativa.

La finalità primaria del DORA è quella di proteggere la competitività e la stabilità finanziaria dell’Unione Europea, uniformando le diverse normative nazionali sotto un insieme di regole condivise, specificamente concepite per la prevenzione e gestione degli attacchi informatici che colpiscono le imprese del settore finanziario. La consapevolezza che le minacce informatiche abbiano una dimensione intrinsecamente transnazionale ha spinto il legislatore europeo a perseguire una politica comune, idonea a contrastare i rischi che superano i confini nazionali.

Il Regolamento DORA si inserisce in un contesto di continuità con precedenti normative europee, come la Direttiva NIS 2, adottando misure rigorose per la gestione del rischio informatico e la protezione dei dati. Tra le disposizioni di maggior rilievo, vi è l’obbligo per gli operatori finanziari di adottare specifici standard per il monitoraggio continuo dell’efficacia dei modelli di resilienza operativa e per la realizzazione di test periodici. Questi test mirano a verificare la capacità delle imprese di rispondere prontamente a incidenti di sicurezza, prevedendo anche l’obbligo di segnalazione tempestiva degli incidenti stessi alle autorità competenti.

Un aspetto centrale del DORA riguarda la conformità dei contratti stipulati con fornitori terzi, soprattutto laddove questi ultimi siano coinvolti nell’utilizzo di tecnologie dell’informazione e della comunicazione (TIC). Questo obbligo di conformità sottolinea l’importanza di garantire che l’intera filiera di partner commerciali rispetti le medesime norme di sicurezza, minimizzando così il rischio di vulnerabilità derivanti da soggetti esterni all’impresa.

Il concetto di resilienza digitale trova piena applicazione all’interno del DORA, definendo la capacità delle aziende del settore finanziario di preservare e garantire la propria integrità operativa sotto il profilo tecnologico. Ciò comporta l’adozione di misure strutturali che assicurino la sicurezza delle reti, dei sistemi informatici e dei dati utilizzati, come stabilito dall’art. 3 del Regolamento.

Dal punto di vista soggettivo, il Regolamento si applica a un’ampia gamma di operatori del mercato finanziario, tra cui banche, imprese assicurative, intermediari finanziari, fondi di investimento, nonché fornitori di cripto-attività e soggetti terzi che forniscono servizi basati sull’uso delle TIC. In tal modo, il DORA copre una vasta pluralità di soggetti operanti nel sistema economico-finanziario, assicurando che ciascuno di essi sia tenuto ad adottare le misure necessarie per garantire la propria resilienza operativa e per proteggere l’intero ecosistema digitale dell’Unione Europea dalle crescenti minacce informatiche.

Regolamento DORA: obblighi di sicurezza e resilienza

Il Regolamento DORA introduce un complesso quadro di obblighi volti a garantire la sicurezza delle reti e dei sistemi informativi delle entità finanziarie, come delineato dall’art. 1. In particolare, il regolamento impone l’adozione di misure uniformi per salvaguardare la continuità operativa delle imprese e prevenire eventuali compromissioni legate alla cybersecurity. Gli obblighi possono essere distinti in due principali categorie: obblighi interni, relativi alla governance e alla gestione dei rischi informatici, e obblighi esterni, che riguardano la notifica di incidenti e minacce alle autorità competenti.

Tra gli obblighi interni, il DORA pone l’accento sulla gestione dei rischi connessi alle tecnologie dell’informazione e della comunicazione (TIC). Le entità finanziarie devono adottare un approccio strutturato alla resilienza operativa digitale, che include l’implementazione di test periodici per verificare la robustezza dei propri sistemi di sicurezza informatica. Questi test devono essere volti a identificare le vulnerabilità nei sistemi e a stabilire misure adeguate per mitigare i rischi, inclusi quelli derivanti da fornitori terzi. La vigilanza sulla sicurezza delle reti e dei dati è un aspetto cruciale, e il regolamento richiede la predisposizione di protocolli per monitorare costantemente la qualità della sicurezza, con particolare riguardo alla catena di fornitura.

Gli obblighi esterni imposti dal DORA riguardano principalmente la notifica alle autorità competenti di qualsiasi incidente grave o minaccia significativa che possa compromettere la sicurezza delle TIC. Questo include incidenti legati alla sicurezza dei sistemi di pagamento e alle infrastrutture finanziarie digitali. Le entità finanziarie devono, inoltre, condividere informazioni rilevanti riguardanti tali incidenti con le autorità designate, al fine di migliorare la resilienza complessiva del settore.

Un altro punto cruciale del Regolamento DORA è la gestione dei rischi legati ai fornitori esterni di servizi TIC. L’art. 25 del Regolamento specifica l’obbligo di garantire che i fornitori con i quali le entità finanziarie collaborano rispettino gli standard di sicurezza imposti dal DORA, minimizzando così il rischio di compromissioni derivanti da soggetti terzi. Le imprese devono inoltre adottare un modello di gestione del rischio che contempli procedure per affrontare le minacce informatiche in modo proattivo ed efficace.

Il regolamento introduce anche il concetto di resilienza operativa digitale, che si riferisce alla capacità dell’impresa di mantenere l’integrità dei propri sistemi tecnologici e operativi di fronte a incidenti di sicurezza informatica. Questa resilienza deve essere garantita attraverso un quadro di gestione globale che includa politiche, strategie, obiettivi e procedure di sicurezza. L’obiettivo è quello di consentire alle imprese di resistere e riprendersi rapidamente da qualsiasi minaccia o vulnerabilità, assicurando la continuità delle operazioni commerciali. In particolare, l’art. 9 del DORA disciplina la continuità operativa (business continuity), mentre gli articoli 10 e 11 trattano il disaster recovery, ossia la capacità di recupero delle imprese in seguito a incidenti gravi.

Le entità finanziarie sono inoltre obbligate a condurre attività di risk management e risk assessment, con lo scopo di individuare e valutare i rischi informatici legati alla gestione, utilizzo e trasferimento dei dati. Questo processo include l’adozione di soluzioni software e hardware adeguate alla natura e complessità dell’ente, che consentano di prevenire la perdita, alterazione, accesso non autorizzato o fuga di informazioni sensibili. Il DORA impone che tale gestione del rischio ricada sotto la responsabilità diretta dell’organo di gestione dell’impresa, il quale è incaricato di predisporre, applicare e monitorare periodicamente il quadro di gestione della sicurezza informatica.

Infine, il Regolamento richiede che tale quadro venga sottoposto a verifiche periodiche da parte di revisori esterni con comprovate competenze nel settore delle TIC, al fine di garantire che le misure adottate siano adeguate e aggiornate rispetto all’evoluzione delle tecnologie e delle minacce informatiche. Questo meccanismo di revisione continua differenzia il DORA da altri modelli normativi, come il Modello 231, conferendo una maggiore dinamicità e adattabilità alle specifiche esigenze del settore finanziario.

Misure di compliance al DORA: gli obblighi c.d. esterni

La seconda parte del Regolamento DORA, in particolare il Capo III, è dedicata agli obblighi esterni che gravano sugli enti finanziari, con particolare riferimento ai processi di segnalazione e reporting verso le autorità di vigilanza nazionali competenti. Tali obblighi mirano a garantire una gestione tempestiva e trasparente degli incidenti informatici, nonché delle criticità significative legate all’uso delle TIC all’interno del settore finanziario.

In primo luogo, il DORA richiede agli enti finanziari di predisporre piani dettagliati di comunicazione delle crisi e di gestione degli incidenti informatici che si verificano. Questi piani devono includere la classificazione delle perdite e degli impatti, tenendo conto della gravità dell’evento e della criticità dei servizi messi a rischio. In base a quanto previsto dagli artt. 15 e ss. del Regolamento, gli enti devono non solo registrare e classificare ogni incidente informatico, ma anche valutare l’impatto potenziale su terzi, come utenti o clienti, in conformità con l’art. 16.

Tale classificazione è essenziale per garantire una risposta adeguata e proporzionata all’entità del rischio e alla potenziale compromissione dei servizi finanziari.

Una volta classificato l’incidente, la comunicazione deve essere inoltrata all’autorità competente, individuata in modo specifico per ciascuna tipologia di ente finanziario dall’art. 41 del DORA. Le autorità di vigilanza, incaricate di monitorare la resilienza operativa degli istituti finanziari, svolgono un ruolo cruciale nel garantire che il sistema finanziario mantenga la propria integrità e continuità operativa. Il processo di segnalazione e reporting è dunque essenziale per identificare eventuali debolezze nel sistema e promuovere misure correttive che rafforzino la resilienza complessiva del mercato finanziario.

Un altro elemento fondamentale del Regolamento DORA è il ruolo attribuito alle Autorità di vigilanza, sia a livello nazionale che europeo. Queste autorità, tra cui spicca l’Autorità Bancaria Europea (EBA), sono incaricate di valutare la resilienza operativa delle entità finanziarie ricadenti sotto la propria giurisdizione. Tale valutazione si basa su un esame approfondito dei piani di resilienza degli enti, della mappatura dei servizi critici, dei sistemi informatici utilizzati e dei contratti stipulati con fornitori terzi che prevedono l’impiego di TIC.

Le autorità hanno il potere di eseguire ispezioni in loco per verificare la conformità degli enti ai requisiti del DORA e assicurarsi che siano state adottate le misure adeguate per prevenire e gestire incidenti informatici.

Le Autorità di vigilanza sono anche responsabili di fornire linee guida e raccomandazioni (best practices) volte ad assistere le entità finanziarie nell’implementazione dei requisiti normativi del DORA. Esse svolgono un ruolo centrale nel promuovere il coordinamento tra le varie autorità nazionali, europee e le forze dell’ordine, per garantire una risposta tempestiva e coordinata alle minacce informatiche. Questo sistema di collaborazione interistituzionale è volto a rafforzare la capacità di risposta del sistema finanziario alle sfide poste dalla crescente digitalizzazione e interconnessione globale.

Inoltre, il DORA conferisce alle Autorità di vigilanza il potere di applicare sanzioni agli enti finanziari che non rispettano i requisiti previsti dal regolamento. Le sanzioni possono variare a seconda della gravità della violazione e mirano a incentivare l’adozione di misure efficaci per garantire la sicurezza operativa e la protezione delle informazioni finanziarie e sensibili. L’imposizione di sanzioni rappresenta uno strumento fondamentale per assicurare il rispetto del quadro normativo e la corretta attuazione delle misure di resilienza operative da parte degli enti.

Le sanzioni del Regolamento DORA

Il Regolamento DORA introduce un articolato sistema sanzionatorio volto a garantire il rispetto delle misure di resilienza operativa e di sicurezza informatica imposte alle entità finanziarie. Gli artt. 50 e 51 del Regolamento delineano una serie di sanzioni amministrative che possono essere applicate in caso di violazione delle disposizioni normative. Tra le misure più rilevanti, figurano sanzioni pecuniarie che possono raggiungere fino a 10 milioni di euro o, alternativamente, fino al 5% del fatturato annuo complessivo dell’ente finanziario, a seconda di quale cifra risulti più elevata. Queste sanzioni sono accompagnate da una gamma di misure correttive, come richiami pubblici, la revoca delle autorizzazioni all’esercizio dell’attività e l’obbligo di risarcimento dei danni causati.

Tuttavia, il DORA lascia agli Stati membri la facoltà di adottare un approccio più severo, prevedendo anche sanzioni penali per determinate violazioni. Questo margine di discrezionalità consente agli ordinamenti nazionali di stabilire un regime sanzionatorio che possa comprendere misure di carattere penale, qualora la gravità della violazione lo giustifichi. In particolare, l’art. 52 del Regolamento specifica che gli Stati membri possono scegliere di non adottare sanzioni amministrative per violazioni che, nel diritto interno, sono già passibili di sanzioni penali.

Questa scelta mira ad evitare il cumulo di sanzioni per lo stesso fatto, scongiurando così il rischio di violazioni del principio del ne bis in idem, principio cardine del diritto sanzionatorio europeo che vieta la punizione di un individuo per lo stesso reato più di una volta.

Il secondo paragrafo dell’art. 52 sottolinea che, qualora uno Stato membro opti per l’imposizione di sanzioni penali in caso di violazioni del Regolamento DORA, le autorità di vigilanza nazionali devono essere dotate di tutti i poteri e le competenze necessari per collaborare efficacemente con le autorità giudiziarie competenti. Questo aspetto evidenzia l’importanza di una cooperazione stretta e coordinata tra le autorità di vigilanza finanziaria e gli organi giudiziari, al fine di garantire l’effettiva applicazione delle norme del DORA e assicurare che le violazioni siano trattate con la massima serietà.

In sostanza, il sistema sanzionatorio previsto dal DORA riflette l’intento del legislatore europeo di garantire che le entità finanziarie rispettino rigorosamente le misure di sicurezza e resilienza digitale. La possibilità di combinare sanzioni amministrative e penali dimostra la gravità con cui vengono trattate le violazioni nel settore finanziario, rafforzando la necessità di un’adeguata compliance da parte delle imprese e promuovendo una maggiore responsabilizzazione degli organi aziendali.

Conclusioni

L’entrata in vigore delle disposizioni del Regolamento DORA il 17 gennaio 2025 rappresenta una scadenza fondamentale per tutte le entità finanziarie soggette a questa normativa. A partire da tale data, le misure di resilienza digitale e sicurezza informatica diventeranno pienamente applicabili, rendendo imprescindibile un adeguamento tempestivo e rigoroso da parte degli operatori del settore.

Le misure di compliance previste dal Regolamento includono l’adozione di un quadro di gestione dei rischi informatici, l’attuazione di test periodici per verificare la resilienza operativa e la conformità dei contratti con fornitori terzi alle norme di sicurezza informatica. Le imprese devono inoltre predisporre piani di comunicazione per la gestione degli incidenti, monitorare costantemente la sicurezza delle TIC utilizzate e garantire la segnalazione tempestiva alle autorità competenti in caso di incidenti gravi. Il rispetto di queste misure non solo consentirà alle entità finanziarie di migliorare la loro capacità di affrontare le minacce informatiche, ma anche di garantire la continuità dei servizi e la protezione dei dati sensibili.

È essenziale, inoltre, che anche i fornitori delle entità soggette al DORA comprendano la portata degli obblighi imposti dal Regolamento. Pur non essendo direttamente obbligati, i fornitori che offrono servizi critici basati sull’uso delle TIC saranno comunque gravati da responsabilità indirette per garantire che le entità finanziarie rispettino gli standard di sicurezza e resilienza imposti dal DORA.

In questo contesto, l’assistenza di una consulenza legale esperta diventa cruciale non solo per i soggetti direttamente obbligati dal Regolamento DORA, ma anche per i loro fornitori. Un supporto legale qualificato può garantire che tutti i processi di adeguamento siano conformi alle disposizioni del Regolamento, prevenendo così potenziali violazioni e contribuendo a creare un sistema sicuro e resiliente, capace di affrontare le sfide del panorama digitale e finanziario attuale.

Direttiva europea sulla sostenibilità 2024/1760/UE (Corporate Sustainability Due Diligence Directive). Cosa prevede?

Direttiva europea sulla sostenibilità 2024/1760/UE (Corporate Sustainability Due Diligence Directive). Cosa prevede?

La sostenibilità rappresenta ormai un pilastro fondamentale per le imprese, in particolare alla luce delle nuove normative dell’Unione Europea volte a regolare l’impatto delle attività aziendali sui diritti umani e sull’ambiente. Ne abbiamo già discusso in un precedente articolo.

In questo contesto, la Direttiva (UE) 2024/1760, meglio nota come Corporate Sustainability Due Diligence Directive (CSDDD), impone un dovere di diligenza alle imprese di grandi dimensioni per garantire che le loro attività e quelle dei loro partner commerciali siano in linea con gli obiettivi di sostenibilità ambientale e sociale.

La Direttiva introduce obblighi chiari e vincolanti, che richiedono alle società di identificare, prevenire e mitigare i potenziali impatti negativi lungo l’intera catena di valore. La sostenibilità diventa così non solo un obiettivo etico e strategico, ma anche un imperativo normativo, la cui non osservanza può comportare significative sanzioni e responsabilità civili. L’Unione Europea, con questa direttiva, intende promuovere una trasformazione profonda delle pratiche aziendali, allineandole agli accordi internazionali come l’Accordo di Parigi, con l’obiettivo di ridurre le emissioni di gas a effetto serra e di tutelare i diritti umani nelle operazioni globali delle imprese.

Attraverso un quadro giuridico armonizzato, la CSDDD segna un passo decisivo verso un’economia più sostenibile e responsabile, dove la trasparenza e la conformità rappresentano strumenti chiave per favorire una gestione aziendale attenta agli impatti sociali e ambientali. Tale normativa richiede un adeguamento significativo delle politiche interne delle imprese e l’adozione di piani di transizione verso una sostenibilità integrale.

Chi sono i destinatari della Direttiva sulla sostenibilità?

La Corporate Sustainability Due Diligence Directive trova applicazione su un’ampia gamma di imprese, sia costituite all’interno dell’Unione Europea sia operanti nel mercato europeo pur avendo sede legale in paesi terzi. In particolare, la direttiva è vincolante per tutte le società che, nel corso dell’ultimo esercizio finanziario, hanno avuto più di 1.000 dipendenti e un fatturato netto globale superiore a 450 milioni di euro.

Questo parametro tiene conto non solo delle attività svolte direttamente dalla società, ma anche di quelle delle sue filiazioni e dei suoi partner commerciali lungo l’intera catena di valore. Ciò implica che le imprese devono monitorare non solo le loro operazioni interne, ma anche le pratiche adottate dai soggetti con cui collaborano, estendendo così l’obbligo di sostenibilità in modo capillare.

Le disposizioni della direttiva si applicano anche alle società capogruppo che esercitano un controllo su altre entità e che rientrano nei requisiti di dimensione previsti. È altresì importante sottolineare che l’applicazione si estende alle imprese costituite in paesi terzi, a condizione che esse generino un fatturato netto significativo nell’Unione Europea. In particolare, la soglia stabilita per le imprese extra-europee è di 450 milioni di euro di fatturato nell’ultimo esercizio finanziario. Questo aspetto è cruciale, poiché garantisce che le imprese non possano eludere gli obblighi di sostenibilità semplicemente trasferendo la loro sede legale al di fuori dell’Unione, pur continuando a operare nel mercato europeo.

L’obiettivo principale della direttiva è creare un quadro normativo uniforme, assicurando che tutte le imprese con una presenza economica significativa nel mercato europeo, indipendentemente dalla loro sede legale, siano tenute a rispettare gli stessi standard in materia di sostenibilità e responsabilità sociale. Questo favorisce una concorrenza leale tra le imprese e promuove una cultura aziendale orientata alla tutela dell’ambiente e dei diritti umani.

Quando entrerà in vigore la Direttiva sulla sostenibilità?

L’entrata in vigore della CSDDD è scaglionata in diverse fasi, a seconda della dimensione e della tipologia delle imprese coinvolte. Gli Stati membri sono tenuti a recepire la direttiva entro il 26 luglio 2026, data entro la quale dovranno adottare le misure legislative necessarie. Tuttavia, gli obblighi per le imprese entreranno in vigore in maniera progressiva.

Le società con più di 5.000 dipendenti e un fatturato netto superiore a 1,5 miliardi di euro a livello mondiale saranno soggette alla normativa a partire dal 26 luglio 2027. Per le imprese con più di 3.000 dipendenti e un fatturato superiore a 900 milioni di euro, gli obblighi scatteranno dal 26 luglio 2028. Le società di paesi terzi che generano un fatturato significativo nell’Unione, pari a oltre 1,5 miliardi di euro, dovranno conformarsi anch’esse dal 26 luglio 2027, mentre quelle con un fatturato superiore a 900 milioni di euro avranno tempo fino al 26 luglio 2028.

Infine, tutte le altre imprese non rientranti nelle precedenti categorie, inclusi i gruppi più piccoli che operano con modalità di franchising o licenza, dovranno conformarsi agli obblighi previsti dalla direttiva a partire dal 26 luglio 2029. Questo approccio graduale consente alle imprese di adattarsi progressivamente alle nuove norme, in base alla loro dimensione e alla complessità delle loro operazioni.

Obblighi Principali per le Imprese: la due diligence per la sostenibilità

Il cuore della Corporate Sustainability Due Diligence Directive risiede nell’obbligo imposto alle imprese di esercitare un dovere di diligenza accurato e continuo, volto a prevenire, mitigare e, se necessario, porre rimedio agli impatti negativi delle loro attività sui diritti umani e sull’ambiente. Questo dovere si estende non solo alle attività dirette dell’impresa, ma anche a quelle delle sue filiazioni e dei partner commerciali, lungo l’intera catena di valore. La sostenibilità, quindi, diventa un principio guida per tutte le fasi delle operazioni aziendali.

Le imprese sono chiamate a implementare una serie di misure volte a integrare il dovere di diligenza all’interno delle loro politiche e sistemi di gestione. In particolare, devono adottare politiche di sostenibilità ben definite, che prevedano l’individuazione e la valutazione di potenziali impatti negativi legati ai diritti umani o all’ambiente. L’individuazione degli impatti non può essere limitata alla sola attività dell’impresa, ma deve estendersi a tutte le entità collegate, incluse le filiazioni e i partner lungo la catena di fornitura.

In base agli articoli centrali della direttiva, le imprese devono adottare tutte le misure necessarie per prevenire o, laddove non sia possibile, attenuare tali impatti. Questo può includere l’adozione di piani d’azione correttivi, investimenti finanziari per migliorare i processi produttivi, la richiesta di garanzie contrattuali ai partner commerciali e, nei casi più gravi, la cessazione dei rapporti d’affari con i soggetti che contribuiscono agli impatti negativi.

Inoltre, la direttiva impone alle imprese di stabilire e mantenere un dialogo significativo con le parti interessate, compresi i lavoratori, le comunità locali e le organizzazioni non governative, al fine di garantire che gli impatti negativi siano affrontati in maniera partecipata e trasparente. Parte integrante di questo processo è la creazione di un meccanismo di reclamo che consenta a chiunque subisca danni causati dalle attività dell’impresa di presentare una denuncia.

Le imprese devono, infine, monitorare e comunicare pubblicamente l’efficacia delle loro politiche di sostenibilità. L’obbligo di trasparenza impone la pubblicazione di rapporti regolari che documentino i progressi compiuti nel prevenire e mitigare gli impatti negativi, rafforzando così la fiducia degli stakeholder e contribuendo al raggiungimento degli obiettivi di sostenibilità fissati dalla direttiva.

Lotta ai Cambiamenti Climatici e Piano di Transizione

Uno degli aspetti più innovativi della Corporate Sustainability Due Diligence Directive riguarda l’obbligo per le imprese di adottare un piano di transizione volto alla mitigazione dei cambiamenti climatici. La direttiva stabilisce che le società di grandi dimensioni, oltre a integrare la sostenibilità nelle loro politiche aziendali, devono impegnarsi attivamente nella lotta al cambiamento climatico, in linea con l’Accordo di Parigi e gli obiettivi di neutralità climatica dell’Unione Europea.

Il piano di transizione deve garantire che le strategie aziendali siano compatibili con l’obiettivo di limitare l’aumento della temperatura globale a 1,5 °C e di raggiungere la neutralità climatica entro il 2050, come stabilito dal regolamento (UE) 2021/1119.

Le imprese devono fissare obiettivi chiari e temporalmente definiti per la riduzione delle emissioni di gas a effetto serra, con tappe intermedie da raggiungere entro il 2030. Tali obiettivi non riguardano soltanto le emissioni dirette dell’impresa (ambiti 1 e 2), ma anche le emissioni indirette lungo la catena di fornitura (ambito 3). La direttiva richiede, inoltre, che le imprese identifichino le principali leve di decarbonizzazione, compresa la revisione dei loro portafogli di prodotti e servizi e l’adozione di nuove tecnologie più sostenibili.

Un aspetto cruciale è la trasparenza degli investimenti e dei finanziamenti destinati a sostenere l’attuazione del piano di transizione. Le imprese devono, infatti, fornire una chiara spiegazione e quantificazione delle risorse allocate per garantire il raggiungimento degli obiettivi climatici. Inoltre, il piano di transizione deve prevedere un ruolo attivo degli organi di amministrazione, gestione e controllo, i quali sono chiamati a supervisionare e guidare il processo di decarbonizzazione.

In questo modo, la sostenibilità climatica diventa non solo un obiettivo strategico, ma un obbligo normativo che richiede alle imprese di operare in maniera responsabile, allineandosi agli obiettivi globali per il clima.

Sostenibilità, ruolo delle Autorità e obblighi di reporting

La Corporate Sustainability Due Diligence Directive attribuisce un ruolo centrale alle autorità di controllo, incaricate di vigilare sull’attuazione e sul rispetto degli obblighi imposti alle imprese dalla normativa. Gli Stati membri dell’Unione Europea sono tenuti a designare una o più autorità di controllo nazionali, le quali devono monitorare con attenzione le attività delle imprese che rientrano nell’ambito di applicazione della direttiva, assicurandosi che esse rispettino i principi di sostenibilità e responsabilità sociale.

Le autorità di controllo hanno il compito di valutare l’efficacia delle misure adottate dalle imprese per identificare e mitigare gli impatti negativi su diritti umani e ambiente. Tra i loro poteri rientrano l’ispezione, la richiesta di informazioni e la possibilità di imporre sanzioni in caso di violazioni. Le sanzioni possono includere multe significative, fino al 5% del fatturato netto globale dell’impresa, a seconda della gravità della violazione, nonché la pubblicazione di dichiarazioni che identificano le imprese non conformi.

Un altro aspetto cruciale della direttiva riguarda gli obblighi di reporting. Le imprese sono tenute a redigere rapporti periodici che documentino le azioni intraprese per prevenire, attenuare e riparare gli impatti negativi identificati. Tali rapporti devono essere resi pubblici e accessibili, garantendo così la trasparenza nei confronti degli stakeholder e delle autorità di controllo. Il rispetto degli obblighi di reporting è essenziale per assicurare che le imprese operino in modo conforme e responsabile, mantenendo un dialogo costante con le parti interessate e dimostrando il loro impegno verso la sostenibilità.

Il sistema di controllo e monitoraggio previsto dalla direttiva mira quindi a rafforzare la fiducia nel mercato europeo, creando un quadro regolatorio trasparente che incentivi le imprese a migliorare continuamente le proprie performance in materia di sostenibilità e responsabilità sociale.

Obblighi di sostenibilità: sanzioni e responsabilità civile per le imprese

La Corporate Sustainability Due Diligence Directive introduce un quadro di sanzioni rigorose per garantire che le imprese rispettino gli obblighi derivanti dalla normativa. Le sanzioni previste dalla direttiva, che devono essere adottate dagli Stati membri, hanno l’obiettivo di essere effettive, proporzionate e dissuasive. Le autorità di controllo nazionali hanno il potere di imporre sanzioni pecuniarie significative, calcolate sulla base del fatturato netto globale dell’impresa. Le multe possono raggiungere fino al 5% del fatturato netto globale dell’esercizio precedente, una cifra che mira a dissuadere in maniera efficace le imprese dal violare gli obblighi di diligenza in materia di sostenibilità.

Le violazioni che possono comportare l’applicazione di sanzioni riguardano principalmente la mancata identificazione, prevenzione e mitigazione degli impatti negativi sui diritti umani e sull’ambiente. Le imprese che non ottemperano alle disposizioni relative alla redazione di rapporti di sostenibilità o che non rispettano i termini dei piani di transizione verso la mitigazione dei cambiamenti climatici sono soggette a sanzioni. Oltre alle multe, le autorità di controllo possono adottare misure aggiuntive, come la pubblicazione di dichiarazioni ufficiali che identificano pubblicamente le imprese responsabili delle violazioni, contribuendo così a danneggiare la reputazione aziendale a livello globale.

Un aspetto centrale della direttiva è l’introduzione della responsabilità civile per le imprese, che permette a persone fisiche o giuridiche di richiedere il risarcimento dei danni subiti a causa di una violazione degli obblighi di diligenza da parte dell’impresa. Le imprese possono essere ritenute responsabili per i danni causati da omissioni o atti intenzionali o negligenti relativi alla mancata adozione di misure preventive o correttive, in particolare se tali violazioni sono correlate a diritti protetti dalla legislazione nazionale o europea.

La responsabilità civile è particolarmente rilevante nel contesto delle catene di valore, dove le imprese possono essere chiamate a rispondere anche per i danni causati dai loro partner commerciali. Tuttavia, la direttiva prevede che le imprese non siano responsabili se dimostrano di aver adottato tutte le misure adeguate per prevenire tali impatti, inclusa la richiesta di garanzie contrattuali ai partner commerciali, la supervisione delle loro attività e l’attuazione di meccanismi di controllo efficaci. In questi casi, la responsabilità può essere condivisa con i partner commerciali, in una logica di corresponsabilità lungo la catena di fornitura.

Un altro punto di rilievo riguarda i termini di prescrizione. La direttiva prevede che i termini per l’avvio di procedimenti per il risarcimento dei danni non siano eccessivamente restrittivi e che, in ogni caso, non siano inferiori a cinque anni. Questo mira a garantire che le vittime di violazioni, siano esse comunità locali, lavoratori o altre parti interessate, abbiano il tempo sufficiente per raccogliere prove e presentare le loro richieste di risarcimento. Inoltre, la direttiva stabilisce che, in caso di controversie, i tribunali nazionali abbiano il potere di ordinare la divulgazione di prove rilevanti da parte delle imprese, purché tali richieste siano proporzionate e non ledano eccessivamente gli interessi legittimi delle parti.

La combinazione di sanzioni pecuniarie, pubbliche e di responsabilità civile mira a creare un sistema di enforcement robusto, capace di incentivare le imprese ad aderire ai principi di sostenibilità e a gestire in modo responsabile gli impatti delle loro attività. Questo approccio rafforza il quadro normativo europeo in materia di diritti umani e ambiente, offrendo alle imprese un chiaro incentivo a migliorare la loro governance e a ridurre i rischi legati alla sostenibilità.

Conclusioni

La CSDDD rappresenta un passaggio fondamentale nel rafforzamento della sostenibilità aziendale e nella promozione di una gestione responsabile delle attività economiche all’interno dell’Unione Europea. Con l’introduzione di obblighi stringenti in materia di diritti umani e ambiente, la direttiva mira a garantire che le imprese, sia europee sia extraeuropee, operino nel rispetto di standard elevati, contribuendo così a costruire un’economia più sostenibile e inclusiva. La normativa richiede alle imprese di adottare misure concrete per individuare e mitigare gli impatti negativi delle loro attività, promuovendo una trasformazione radicale delle loro operazioni lungo l’intera catena di valore.

Il complesso quadro regolatorio introdotto dalla direttiva pone sfide significative per le imprese, che devono adattarsi rapidamente e garantire una piena conformità agli obblighi di diligenza. La mancata osservanza di tali obblighi può comportare sanzioni rilevanti e rischi di responsabilità civile, rendendo indispensabile una gestione attenta e consapevole dei rischi legati alla sostenibilità. In questo contesto, è cruciale che le imprese si dotino di strumenti adeguati per affrontare tali sfide, non solo nel breve termine, ma anche con una visione di medio-lungo periodo.

In particolare, per assicurare una piena conformità normativa e una gestione efficace dei rischi, risulta fondamentale affidarsi a una consulenza legale esperta, capace di guidare le imprese nella costruzione di una strategia di conformità solida e sostenibile. Lo Studio Legale D’Agostino, con la sua vasta esperienza nei processi aziendali, offre un supporto essenziale per le imprese che desiderano allinearsi agli obblighi imposti dalla direttiva, riducendo al minimo i rischi legali e migliorando le proprie performance in materia di sostenibilità. Grazie a un approccio integrato e su misura, lo studio è in grado di assistere le aziende nella creazione di politiche di sostenibilità che non solo rispettino le normative, ma che rappresentino anche un vantaggio competitivo nel contesto globale.

Approvato il nuovo Cyber Resilience Act: destinatari, requisiti e sanzioni oltre la NIS 2

Approvato il nuovo Cyber Resilience Act: destinatari, requisiti e sanzioni oltre la NIS 2

Il Cyber Resilience Act rappresenta una delle normative più rilevanti nell’ambito della sicurezza informatica dell’Unione Europea, destinata a incidere profondamente su tutti gli operatori economici che immettono sul mercato prodotti con elementi digitali. La proposta di Regolamento, passata al Parlamento Europeo, è stata approvata definitivamente dal Consiglio lo scorso 10 ottobre (vedi Comunicato stampa). L’atto sarà pubblicato ufficialmente in Gazzetta nelle prossime settimane, dopo la firma congiunta da parte dei Presidenti del Parlamento e del Consiglio. Scarica qui il testo approvato: Cyber Resilience Act_text_EN

Questa normativa avrà un impatto considerevole sul mercato unico europeo, interessando un numero stimato di circa 4 milioni di imprese. Tali imprese, appartenenti a diversi settori della filiera di commercializzazione, dovranno conformarsi ai requisiti di sicurezza imposti dal regolamento.

L’obiettivo centrale del Cyber Resilience Act è quello di introdurre requisiti essenziali di sicurezza informatica per garantire la protezione delle infrastrutture digitali e la resilienza delle tecnologie utilizzate in tutta l’Unione Europea.

Questo regolamento, concepito per rispondere alle crescenti minacce cyber, si inserisce in un contesto normativo che mira a rafforzare la sicurezza informatica su vasta scala, estendendo i suoi effetti a un’ampia gamma di settori economici, compresi quelli che utilizzano software open source. Attraverso l’introduzione di obblighi specifici per i diversi operatori della filiera, il Cyber Resilience Act intende garantire che tutti i prodotti digitali commercializzati siano conformi a standard elevati di sicurezza.

Il presente articolo si propone di esaminare in modo approfondito la struttura del Cyber Resilience Act, analizzando i destinatari della normativa, gli obblighi posti in capo agli operatori economici, le procedure di sorveglianza del mercato e le sanzioni previste per la mancata conformità. Particolare attenzione sarà dedicata alla descrizione delle disposizioni normative che regolano l’immissione sul mercato dei prodotti digitali, nonché agli obblighi di conformità che gli operatori dovranno rispettare per evitare onerose sanzioni pecuniarie.

Perché il Cyber Resilience Act? Quando entrerà in vigore?

Il Cyber Resilience Act rappresenta una risposta necessaria e proporzionata alle sfide poste dal panorama digitale attuale, caratterizzato da una crescente interconnessione dei dispositivi e da una vulnerabilità strutturale dei prodotti con elementi digitali.

L’Unione Europea ha ritenuto che le normative esistenti, come il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Direttiva NIS, non fossero sufficienti a fronteggiare le minacce emergenti legate alla sicurezza dei prodotti digitali. Sebbene queste normative abbiano posto le basi per la protezione dei dati e la sicurezza delle reti, mancava una regolamentazione dedicata a garantire che i prodotti immessi sul mercato fossero sicuri, resilienti e in grado di fronteggiare le vulnerabilità informatiche.

In questo contesto, il Cyber Resilience Act si propone di colmare questa lacuna normativa, stabilendo requisiti minimi di sicurezza informatica per tutti i prodotti con elementi digitali, lungo l’intera filiera di produzione e commercializzazione. La proposta risponde all’evidente necessità di un quadro giuridico che imponga obblighi precisi agli operatori economici, garantendo che i prodotti non solo siano sicuri al momento dell’immissione sul mercato, ma che vengano mantenuti tali attraverso aggiornamenti e gestione delle vulnerabilità.

Il meccanismo di entrata in vigore del Cyber Resilience Act è strutturato in modo progressivo per consentire alle imprese di adeguarsi senza subire eccessivi disagi operativi. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, ma le disposizioni diverranno operative in fasi diverse. I principali obblighi, come la conformità alle misure di sicurezza di base, saranno pienamente applicabili dopo 36 mesi.

Altre disposizioni chiave, come quelle relative agli obblighi di notifica delle vulnerabilità e agli incidenti di sicurezza, entreranno in vigore entro 21 mesi. Infine, le regole più specifiche, che riguardano la sorveglianza del mercato saranno applicabili entro 18 mesi.

Questo meccanismo a tappe risponde alla necessità di dare alle imprese il tempo necessario per adeguarsi alle nuove disposizioni del Cyber Resilience Act e implementare processi e tecnologie in grado di rispettare gli standard di sicurezza informatica imposti dalla normativa.

Oggetto del Regolamento, ambito di applicazione ed esclusioni

Il Cyber Resilience Act ha come obiettivo principale quello di garantire la sicurezza informatica dei prodotti con elementi digitali immessi sul mercato dell’Unione Europea. Il regolamento stabilisce i requisiti essenziali che tali prodotti devono soddisfare per assicurare la protezione contro attacchi informatici e la resilienza dei sistemi informatici coinvolti. L’ambito di applicazione del regolamento è ampio e include qualsiasi prodotto con elementi digitali che venga messo a disposizione sul mercato, sia che si tratti di hardware, software o di componenti di software o hardware, forniti separatamente.

L’articolo 2 del Cyber Resilience Act stabilisce, inoltre, alcune eccezioni significative. In particolare, i prodotti sviluppati o modificati specificamente per la sicurezza nazionale o per la difesa non rientrano nell’ambito di applicazione del Cyber Resilience Act. Tale esclusione è giustificata dalla necessità di rispondere a esigenze particolari di sicurezza che non possono essere adeguatamente coperte dalla normativa generale in materia di prodotti digitali. Altri prodotti esclusi sono quelli progettati per gestire informazioni classificate e quelli sviluppati per scopi personali e non commerciali.

Una distinzione fondamentale riguarda i prodotti che, pur rientrando nella definizione generale di “prodotto con elementi digitali“, sono già soggetti ad altre normative dell’Unione Europea che disciplinano la sicurezza informatica in modo specifico. Tra questi si possono citare, a titolo d’esempio, i dispositivi medici, e i veicoli a motore. In questi casi, il Regolamento non si applicherà direttamente, poiché tali prodotti devono già conformarsi a normative settoriali più specifiche, che stabiliscono requisiti di sicurezza ad hoc.

Requisiti per l’immissione sul mercato dei prodotti con elementi digitali

Il Cyber Resilience Act stabilisce requisiti precisi per l’immissione sul mercato dei prodotti con elementi digitali, al fine di garantire la sicurezza informatica lungo tutto il ciclo di vita del prodotto. Gli articoli 6, 7 e 8 del regolamento, insieme all’Annex I, definiscono in dettaglio le condizioni che i prodotti devono rispettare per essere considerati conformi e sicuri.

L’Articolo 6 dispone che i prodotti con elementi digitali possono essere immessi sul mercato solo se soddisfano i requisiti essenziali di sicurezza elencati nell’Annex I, Parte I, a condizione che siano correttamente installati, mantenuti e utilizzati per lo scopo previsto.

Tali requisiti includono la capacità del prodotto di affrontare in modo efficace le vulnerabilità conosciute e la necessità di poter installare aggiornamenti di sicurezza tempestivi. È inoltre previsto che i processi interni implementati dal produttore siano conformi ai requisiti specifici di sicurezza, garantendo la sicurezza dei dati e delle funzioni sensibili durante l’intero ciclo di vita del prodotto.

L’Articolo 7 introduce il concetto di prodotti importanti con elementi digitali. Questi prodotti, che svolgono funzioni critiche per la sicurezza informatica di altri sistemi, sono soggetti a procedure di valutazione della conformità più stringenti, come previsto dall’articolo 32 del Regolamento. La loro classificazione è basata sui rischi che essi rappresentano per la sicurezza informatica complessiva, e include prodotti utilizzati per la protezione di reti, la gestione di dati sensibili o la prevenzione delle intrusioni.

L’Articolo 8 del Cyber Resilience Act disciplina invece i prodotti critici con elementi digitali, che richiedono una certificazione di sicurezza informatica di livello “sostanziale” o superiore. Tali prodotti, come quelli utilizzati in contesti di infrastrutture essenziali o in settori particolarmente vulnerabili, devono dimostrare una conformità ai requisiti essenziali di sicurezza attraverso un iter di certificazione riconosciuto a livello europeo. Questo meccanismo di certificazione è volto a garantire che i prodotti critici possano offrire un elevato livello di protezione contro gli attacchi informatici.

Obblighi per produttori, importatori e distributori, e per i responsabili di software open source

Il Cyber Resilience Act impone obblighi stringenti a carico di tutti gli operatori economici coinvolti nella commercializzazione di prodotti con elementi digitali. Tali obblighi si applicano a produttori, importatori e distributori, ciascuno dei quali ha responsabilità precise per garantire che i prodotti immessi sul mercato dell’Unione Europea siano conformi ai requisiti di sicurezza previsti dal regolamento.

I produttori sono i principali responsabili della conformità del prodotto. Essi devono assicurare che i loro prodotti con elementi digitali siano progettati, sviluppati e prodotti nel rispetto dei requisiti essenziali di sicurezza informatica, come stabilito nell’Annex I del Cyber Resilience Act. I produttori devono inoltre mantenere una documentazione tecnica dettagliata che dimostri la conformità del prodotto ai requisiti normativi, inclusi i processi adottati per gestire le vulnerabilità.

Un aspetto fondamentale è l’obbligo di garantire la capacità del prodotto di ricevere aggiornamenti di sicurezza tempestivi, e di mantenere tali aggiornamenti disponibili per almeno cinque anni dall’immissione del prodotto sul mercato o per l’intera durata del supporto garantito dal produttore. La mancata gestione delle vulnerabilità sfruttate attivamente o il mancato aggiornamento del prodotto può comportare sanzioni significative.

Gli importatori devono verificare che i prodotti che intendono immettere sul mercato siano conformi ai requisiti del regolamento, assicurandosi che il produttore abbia eseguito correttamente le valutazioni di conformità e che sia disponibile la documentazione tecnica. Gli importatori sono inoltre tenuti a garantire che i prodotti siano accompagnati dalle informazioni necessarie, comprese le istruzioni per l’uso e le avvertenze relative alla sicurezza.

I distributori devono agire con la dovuta diligenza per garantire che i prodotti da loro distribuiti siano conformi ai requisiti essenziali di sicurezza informatica. Devono collaborare con i produttori e gli importatori per assicurarsi che le procedure di conformità siano state seguite e che i prodotti siano sicuri prima della loro commercializzazione.

Un altro aspetto rilevante del Cyber Resilience Act riguarda i responsabili del software open source. Generalmente, i software open source non commerciali, sviluppati da individui o comunità per scopi non economici, sono esclusi dal campo di applicazione del regolamento. Tuttavia, nel momento in cui il software open source è utilizzato nell’ambito di un’attività commerciale, o se è incluso in prodotti con elementi digitali immessi sul mercato, esso rientra nell’ambito di applicazione del regolamento e deve rispettare i requisiti di sicurezza.

Il regolamento introduce inoltre un obbligo di notifica per le vulnerabilità sfruttate attivamente e per gli incidenti gravi che potrebbero compromettere la sicurezza. La notifica è obbligatoria per i produttori in caso di vulnerabilità attivamente sfruttate, e deve essere effettuata entro 24 ore dall’accertamento del fatto. Al contrario, la notifica delle vulnerabilità non sfruttate attivamente è facoltativa, ma fortemente raccomandata per favorire una gestione tempestiva dei rischi informatici.

Procedure di conformità e organismi notificati

I Capitoli III e IV del Cyber Resilience Act disciplinano le procedure di conformità dei prodotti con elementi digitali e le disposizioni relative agli organismi notificati di valutazione della conformità. In particolare, il Capitolo III stabilisce che i produttori devono garantire che i loro prodotti soddisfino i requisiti essenziali di sicurezza previsti dal regolamento prima dell’immissione sul mercato.

Questo processo include la preparazione di una documentazione tecnica che dimostri la conformità del prodotto e la redazione di una dichiarazione di conformità UE. Inoltre, il marchio CE deve essere apposto in modo visibile e leggibile, indicando che il prodotto è conforme agli standard europei.

Il Capitolo IV del Cyber Resilience Act regola la notifica degli organismi di valutazione della conformità, stabilendo che tali organismi devono essere designati dagli Stati membri e soddisfare requisiti specifici di competenza e imparzialità. Gli organismi notificati sono responsabili della verifica della conformità dei prodotti più critici attraverso procedure di controllo approfondite, garantendo che essi rispettino gli standard di sicurezza informatica richiesti. Queste disposizioni mirano a creare un sistema armonizzato a livello europeo per garantire la sicurezza dei prodotti digitali.

Sorveglianza del mercato e sanzioni

Il Capitolo V del Cyber Resilience Act stabilisce il quadro per la sorveglianza del mercato, affidata alle autorità nazionali degli Stati membri, che devono vigilare affinché i prodotti con elementi digitali immessi sul mercato rispettino i requisiti di sicurezza previsti dal regolamento. Le autorità di sorveglianza del mercato hanno il potere di accedere ai dati e alla documentazione dei prodotti, e possono adottare misure correttive, come il ritiro dei prodotti non conformi o pericolosi. Inoltre, le autorità collaborano a livello europeo per assicurare un’applicazione uniforme del regolamento su tutto il territorio dell’Unione.

Quanto al regime sanzionatorio,  gli Stati membri dovranno stabilire norme sulle sanzioni applicabili in caso di violazioni del Regolamento, assicurando che le sanzioni siano efficaci, proporzionate e dissuasive. Le sanzioni amministrative previste per la mancata conformità ai requisiti essenziali di sicurezza informatica (Annex I) e agli obblighi di gestione delle vulnerabilità (Articoli 13 e 14 del Cyber Resilience Act ) possono arrivare fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo dell’impresa, a seconda di quale sia maggiore.

Inoltre, per la violazione di altri obblighi, come quelli relativi alla conformità tecnica o alla mancata cooperazione con le autorità di sorveglianza del mercato, le sanzioni possono raggiungere fino a 10 milioni di euro o il 2% del fatturato mondiale annuo. Infine, la fornitura di informazioni errate o incomplete alle autorità può comportare multe fino a 5 milioni di euro o all’1% del fatturato.

Le autorità di sorveglianza possono applicare queste sanzioni in aggiunta ad altre misure correttive, come il ritiro o il divieto di commercializzazione dei prodotti. Questo sistema di sanzioni è stato progettato per garantire che gli operatori economici rispettino rigorosamente i requisiti di sicurezza imposti dal regolamento.

Conclusioni

Il Cyber Resilience Act si pone come una delle normative più incisive per il futuro della sicurezza informatica nell’Unione Europea, con un impatto significativo su circa 4 milioni di imprese che operano nel mercato unico. Questa nuova regolamentazione non solo rafforzerà la resilienza dei prodotti con elementi digitali, ma imporrà standard di sicurezza elevati e uniformi in tutto il territorio dell’UE. La sua portata si estende non solo alle piccole e medie imprese, ma anche alle grandi multinazionali che intendono commercializzare prodotti, o sub-componenti di prodotti, nel mercato europeo.

La normativa avrà un impatto profondo non solo sui produttori, ma anche su importatori e distributori, imponendo loro la responsabilità di assicurare la conformità dei prodotti con le nuove regole di sicurezza informatica.

In questo contesto, ottenere un vantaggio competitivo richiede alle imprese di agire tempestivamente, iniziando fin da ora a comprendere le dinamiche sottese al Cyber Resilience Act e preparandosi ad adeguarsi alle nuove regole.

Una consulenza legale esperta rappresenta un fattore chiave per navigare con successo le complessità della normativa e garantire che l’adeguamento avvenga in modo tempestivo ed efficace. Affrontare per tempo le nuove sfide imposte dal regolamento non solo ridurrà i rischi di sanzioni (assai elevate), ma permetterà alle imprese di distinguersi sul mercato come operatori affidabili e sicuri, migliorando la propria competitività in un contesto sempre più interconnesso e globalizzato.

Consulenza legale cybersicurezza Avv. Luca D'Agostino Roma

Lo Studio Legale Avv. Luca D’Agostino a Roma offre servizi di consulenza e assistenza legale  in cybersicurezza e sicurezza delle informazioni. Prepara la tua impresa alle disposizioni del Cyber Resilience Act

Patente edilizia a punti: come si ottiene e come funziona

Patente edilizia a punti: come si ottiene e come funziona

La patente edilizia a crediti rappresenta uno strumento giuridico di recente introduzione nel panorama normativo italiano, che riveste un ruolo cruciale per le imprese e i professionisti che operano nel settore dell’edilizia. Questo sistema di qualificazione nasce dalla necessità di garantire una maggiore sicurezza e trasparenza nelle attività svolte nei cantieri temporanei o mobili, e si inserisce in un contesto normativo già consolidato, disciplinato principalmente dall’articolo 27 del Decreto Legislativo n. 81/2008 (Testo Unico sulla Sicurezza del Lavoro) e dal Decreto Ministeriale 18 settembre 2024, n. 132.

L’introduzione della patente edilizia a punti è avvenuta in risposta alla crescente esigenza di regolamentare in modo più efficace la gestione della sicurezza nei cantieri, un ambito in cui spesso si verificano infortuni gravi o mortali a causa di carenze nelle misure di protezione e prevenzione. Questo strumento si propone di responsabilizzare le imprese, monitorando continuamente il loro comportamento e il rispetto delle normative di sicurezza attraverso un sistema basato su crediti. L’iniziativa mira anche a promuovere il miglioramento continuo delle condizioni di lavoro, premiando chi investe in formazione, salute e sicurezza e penalizzando chi si sottrae a tali obblighi. Si pone, in sostanza, come un nuovo strumento di sostenibilità del business nel settore edilizio.

Il Decreto Ministeriale n. 132/2024 ha formalizzato e regolamentato il meccanismo della patente edilizia a crediti, stabilendo non solo le modalità di attribuzione e gestione dei crediti, ma anche le sanzioni previste per le imprese che non rispettano le normative. Si tratta di un tema di estrema attualità per il settore, specialmente in un contesto in cui la sicurezza sul lavoro è sempre più oggetto di attenzione da parte del legislatore e delle istituzioni competenti.

In questo articolo si intende approfondire il funzionamento della patente edilizia a crediti, analizzando i soggetti destinatari, i requisiti necessari per ottenerla, il sistema di gestione dei crediti, le sanzioni previste e la sua rilevanza per le imprese che operano nel settore pubblico e privato.

A chi si applica e come si ottiene la patente edilizia

La patente edilizia a crediti è destinata a una vasta categoria di soggetti che operano nei cantieri temporanei o mobili, indipendentemente dal fatto che siano qualificabili come imprese edili. Secondo l’articolo 27 del Decreto Legislativo n. 81/2008 e il Decreto Ministeriale 18 settembre 2024, n. 132, tale obbligo si applica a tutte le imprese e ai lavoratori autonomi che svolgono attività fisiche all’interno dei cantieri.

Tuttavia, sono previste alcune eccezioni rilevanti. Ad esempio, ne sono esonerati i fornitori che non eseguono la posa in opera dei beni, nonché i professionisti che offrono prestazioni di natura intellettuale, come ingegneri, architetti e geometri. Altrettanto esonerate sono le imprese che dispongono di un’attestazione SOA di categoria pari o superiore alla III. Questo tipo di attestazione certifica che l’impresa ha le qualificazioni necessarie per partecipare a lavori di importo superiore a 1.033.000 euro, e la sua presenza sostituisce l’obbligo della patente edilizia a crediti.

Per ottenere la patente, le imprese devono dimostrare di possedere una serie di requisiti stringenti, volti a garantire il rispetto delle normative vigenti in materia di sicurezza sul lavoro e di regolarità contributiva. Questi requisiti comprendono l’iscrizione alla Camera di Commercio, un elemento basilare per garantire la tracciabilità delle imprese attive sul territorio. Un altro requisito fondamentale è il possesso del DURC (Documento Unico di Regolarità Contributiva) in corso di validità, che certifica la regolarità nei versamenti contributivi e previdenziali. Per le imprese soggette alla normativa sulla sicurezza, è inoltre richiesta l’elaborazione del DVR (Documento di Valutazione dei Rischi), un documento cruciale che identifica i rischi specifici presenti nei cantieri e descrive le misure di prevenzione e protezione adottate.

Tra gli altri requisiti essenziali, vi è la certificazione di regolarità fiscale, che attesta la conformità dell’impresa alle normative tributarie, e la nomina del RSPP (Responsabile del Servizio di Prevenzione e Protezione), obbligatoria nei casi previsti dalla legge. Oltre alla presenza del RSPP, le imprese devono dimostrare di aver adempiuto agli obblighi di formazione previsti per i datori di lavoro, i dirigenti, i preposti, i lavoratori autonomi e i lavoratori dipendenti. Questa formazione è cruciale per garantire che tutti i soggetti coinvolti nelle attività del cantiere siano adeguatamente istruiti sulle norme di sicurezza e sulle procedure da seguire in caso di emergenza.

Fino al 31 ottobre 2024, il possesso di questi requisiti può essere attestato mediante una autocertificazione, che dovrà essere trasmessa via PEC all’Ispettorato Nazionale del Lavoro. Tuttavia, a partire dal 1° novembre 2024, sarà obbligatorio presentare una richiesta formale tramite il portale appositamente predisposto. La mancata presentazione della richiesta entro i termini impedirà all’impresa o al lavoratore autonomo di operare nei cantieri. Questa procedura è stata pensata per garantire un elevato livello di sicurezza e conformità normativa in un settore, come quello edilizio, che presenta significativi rischi per i lavoratori e per il contesto in cui si opera.

Come funziona la patente: decurtazione dei punti, sospensione e revoca

Il funzionamento della patente edilizia a crediti si fonda su un sistema di gestione dei punteggi che riflette il grado di conformità delle imprese e dei lavoratori autonomi alle normative in materia di sicurezza sul lavoro e di qualità nell’esecuzione delle opere nei cantieri temporanei o mobili. Al momento del rilascio, a ogni impresa viene assegnato un punteggio iniziale di 30 crediti. Questo rappresenta una soglia di partenza che garantisce la possibilità di operare all’interno dei cantieri, ma la sua gestione richiede un’attenzione costante, poiché il mantenimento di almeno 15 crediti è imprescindibile per continuare a lavorare.

La perdita di crediti è direttamente collegata a violazioni delle normative di sicurezza sul lavoro, accertate tramite provvedimenti definitivi come sentenze o ordinanze-ingiunzione. Ad esempio, la mancata elaborazione del Documento di Valutazione dei Rischi (DVR), un obbligo fondamentale per tutte le imprese operanti nei cantieri, comporta una decurtazione di 5 crediti. Analogamente, la mancata predisposizione di un Piano di emergenza ed evacuazione, essenziale per garantire la sicurezza in caso di eventi straordinari, riduce il punteggio di 3 crediti.

Anche l’omissione degli obblighi di formazione e addestramento del personale e la mancata costituzione del servizio di prevenzione e protezione comportano decurtazioni, rispettivamente di 2 e 3 crediti. Questi obblighi sono fondamentali per garantire che il personale operante nei cantieri sia adeguatamente preparato e tutelato.

Inoltre, il sistema della patente edilizia a crediti prevede specifiche misure sanzionatorie in caso di infortuni gravi. Qualora si verifichi un infortunio sul lavoro che comporti la morte o un’inabilità permanente del lavoratore, l’Ispettorato Nazionale del Lavoro può disporre la sospensione cautelare della patente per un periodo massimo di 12 mesi. Tale misura è obbligatoria se l’infortunio è imputabile, anche a titolo di colpa grave, al datore di lavoro, al suo delegato o al dirigente responsabile. La sospensione della patente impedisce all’impresa di proseguire le attività nei cantieri, rappresentando una misura immediata di tutela dei lavoratori e di deterrenza nei confronti delle condotte negligenti.

La patente edilizia può essere revocata nei casi in cui vengano riscontrate dichiarazioni non veritiere sui requisiti necessari per il rilascio. Questo avviene quando, durante i controlli successivi, si accerta che le autocertificazioni fornite dall’impresa o dal lavoratore autonomo non corrispondono alla realtà. La revoca della patente comporta una conseguenza molto seria: l’impresa non potrà richiederne una nuova se non dopo un periodo minimo di 12 mesi dalla data della revoca. Questo lasso di tempo serve come periodo di riflessione e riorganizzazione per l’impresa, che dovrà dimostrare di aver corretto le proprie carenze prima di poter tornare a operare nei cantieri.

Oltre alla gestione delle decurtazioni, il sistema della patente edilizia a crediti prevede la possibilità di incrementare il punteggio iniziale. Le imprese che investono nella sicurezza sul lavoro e che dimostrano di adottare misure volontarie in materia di salute e sicurezza, come la certificazione di un Sistema di Gestione della Sicurezza sul Lavoro (SGSL) conforme alla norma UNI EN ISO 45001, possono ottenere incrementi significativi dei crediti. Anche l’adozione di modelli organizzativi e gestionali conformi all’articolo 30 del D.Lgs. 81/2008 può comportare un aumento dei crediti fino a 40 punti.

Il sistema premia, inoltre, la continuità di buone pratiche: le imprese che non subiscono decurtazioni di punteggio per un biennio possono vedere incrementato il proprio punteggio di 1 fino a 20 crediti, promuovendo un comportamento virtuoso e conforme alle normative nel lungo termine.

Sanzioni

Le sanzioni previste per chi opera senza la patente edilizia a crediti, o con una patente che abbia un punteggio inferiore ai 15 crediti, sono estremamente severe e mirano a garantire la sicurezza sul lavoro e il rispetto delle normative. In particolare, l’impresa o il lavoratore autonomo che si trovino a operare in cantiere senza una patente valida o con un punteggio insufficiente sono soggetti a una sanzione amministrativa significativa, pari al 10% del valore dei lavori.

In ogni caso, la sanzione non può essere inferiore a 6.000 euro, anche se il 10% del valore dei lavori risultasse inferiore a tale somma. Questa misura è stata concepita per garantire che le imprese rispettino gli obblighi di legge e per disincentivare comportamenti negligenti o fraudolenti nel settore edilizio.

Oltre alla sanzione pecuniaria, è prevista l’esclusione dalla partecipazione ai lavori pubblici per un periodo di sei mesi, una misura che può avere gravi conseguenze per le imprese che operano principalmente nel settore delle gare d’appalto pubbliche. Questa esclusione rappresenta una pena aggiuntiva particolarmente incisiva, poiché limita la capacità dell’impresa di accedere a nuove opportunità lavorative durante il periodo di interdizione.

Il combinato disposto di sanzioni economiche e l’esclusione dai lavori pubblici rende chiaro che il legislatore intende garantire la piena osservanza delle normative in materia di sicurezza nei cantieri, creando un sistema in cui le violazioni sono fortemente scoraggiate, non solo tramite pene economiche, ma anche con l’interdizione operativa.

Conclusioni sulla patente edilizia a crediti

In conclusione, il sistema della patente edilizia a crediti rappresenta un importante strumento di controllo e incentivazione per garantire la conformità delle imprese e dei lavoratori autonomi alle normative di sicurezza sul lavoro. Il meccanismo di attribuzione e gestione dei crediti, unito alle sanzioni previste per chi non rispetta gli obblighi, mira a responsabilizzare tutti i soggetti coinvolti nell’attività edilizia, promuovendo il rispetto delle normative e il miglioramento continuo delle condizioni di lavoro nei cantieri.

Per le imprese e i professionisti che operano nel settore della contrattualistica pubblica, ma anche in quello privato, la patente a crediti assume una rilevanza strategica. Da un lato, consente di accedere a opportunità lavorative di rilievo, garantendo una certificazione di qualità e sicurezza. Dall’altro, la perdita dei crediti o la mancanza di una patente valida può comportare l’esclusione temporanea dalle gare d’appalto pubbliche, con gravi conseguenze economiche e operative.

In questo contesto, è essenziale per le imprese e i lavoratori autonomi assicurarsi di rispettare scrupolosamente i requisiti previsti dalla normativa, adottando misure preventive e investendo nella formazione e nella sicurezza. Solo così sarà possibile mantenere e incrementare i crediti necessari per operare in cantiere, evitando le pesanti sanzioni previste dalla legge.

Per garantire la massima conformità e affrontare con serenità le complessità normative, è consigliabile rivolgersi a studi legali specializzati, in grado di fornire assistenza su misura per ogni fase del processo, dalla richiesta della patente alla gestione degli eventuali contenziosi o sanzioni. Lo Studio Legale D’Agostino si pone come partner affidabile per imprese e professionisti, offrendo consulenze personalizzate e un supporto continuo nella gestione della compliance normativa in materia di sicurezza sul lavoro e contrattualistica pubblica.

Scarica qui la Guida Operativa alla disciplina del D.M. 132/2024 sulla patente edilizia

Link esterno: portale ANCE patente a crediti