da Redazione | Ott 21, 2024 | Diritto d'Impresa, Diritto Penale, Notizie e Aggiornamenti Legislativi
In un contesto socio-economico sempre più caratterizzato dall’utilizzo delle tecnologie digitali, i reati informatici costituiscono per le imprese un fattore di rischio trasversale. Questo rischio si manifesta non solo per la possibilità di attacchi esterni, come un’intrusione informatica volta a compromettere la sicurezza dei dati aziendali, ma anche per condotte dannose provenienti dall’interno dell’impresa stessa.
Il legislatore, consapevole della crescente rilevanza di tali minacce, ha adeguato la normativa di settore, introducendo nuovi strumenti per contrastare tali fenomeni. Un esempio significativo è l’inclusione dei reati informatici tra i reati presupposto della responsabilità amministrativa dell’ente ai sensi dell’art. 24-bis del D. Lgs. 231/2001, una norma che è stata recentemente modificata per estendere la responsabilità anche ai reati connessi alla sicurezza cibernetica nazionale.
L’inclusione di tali fattispecie rappresenta un rilevante presidio di legalità nell’ambito aziendale, poiché essa si applica non solo alle imprese operanti nel settore digitale, ma a tutte le imprese che utilizzano strumenti informatici. Le aziende, infatti, sono oggi profondamente informatizzate, e l’abuso dei sistemi informatici, da parte di soggetti apicali o dipendenti, è una delle minacce più concrete e visibili. Non è raro, ad esempio, che reati informatici vengano commessi nell’interesse o a vantaggio dell’ente, come nel caso di un dipendente che, al fine di incrementare il fatturato, accede abusivamente a server aziendali contenenti informazioni riservate di altre aziende.
Analogamente, il dirigente che distrugge file per evitare una sanzione amministrativa a seguito di un’indagine di vigilanza agisce in modo da tutelare l’interesse dell’azienda. Questi comportamenti evidenziano come l’adozione di un sistema di gestione della sicurezza informatica, attraverso procedure operative e controlli adeguati, sia cruciale per prevenire tali condotte.
L’introduzione dei reati informatici nel catalogo della responsabilità amministrativa dell’ente ai sensi del D. Lgs. 231/2001 dimostra come la compliance penale svolga un ruolo centrale nell’innalzamento del livello di sicurezza aziendale. Attraverso l’implementazione di modelli organizzativi che regolino l’uso dei sistemi informatici e la definizione di procedure interne chiare (ad esempio, l’autorizzazione all’accesso ai sistemi, l’utilizzo dei privilegi di amministratore, o la gestione delle password), le imprese possono ridurre il rischio di essere coinvolte in reati di natura informatica, prevenendo così danni significativi sia dal punto di vista economico che reputazionale.
Parallelamente, sul piano della sicurezza cibernetica e della prevenzione delle minacce esterne, la legislazione ha subito importanti sviluppi, con un quadro normativo sempre più articolato. A livello europeo, l’approvazione delle Direttive NIS ha rappresentato un passaggio fondamentale, imponendo alle imprese l’adozione di misure tecniche e organizzative adeguate per la gestione dei rischi cibernetici, al fine di garantire la continuità operativa e minimizzare gli impatti degli incidenti. Oltre a ciò, la normativa prevede l’obbligo per le imprese di notificare tempestivamente alle autorità competenti eventuali incidenti con impatti rilevanti, evitando ritardi che potrebbero compromettere la sicurezza complessiva del sistema.
Infine, è importante evidenziare come questa normativa si sia progressivamente estesa anche ad altri settori critici, quali quello finanziario, rafforzando ulteriormente la protezione delle infrastrutture essenziali e dei servizi di pubblica utilità. L’obiettivo del presente articolo è fornire un quadro delle novità introdotte dalla Legge 90/2024, che ha ulteriormente ampliato la responsabilità amministrativa degli enti in relazione ai reati informatici e rafforzato il sistema di sanzioni previste per tali illeciti. Per una disamina di tutte le novità introdotte da tale legge, rinviamo al nostro precedente articolo.
I reati informatici presupposto della responsabilità dell’ente
L’art. 24-bis del D. Lgs. 231/2001, introdotto dalla legge 18 marzo 2008, n. 48, in attuazione della Convenzione di Budapest, ha incluso tra i reati presupposto della responsabilità amministrativa degli enti gran parte dei reati informatici. La normativa considera, in modo specifico, quei reati che richiedono necessariamente, per la loro consumazione, l’utilizzo di tecnologie dell’informazione e dei sistemi informatici.
Tuttavia, l’art. 24-bis non esaurisce la propria portata con riferimento ai soli reati informatici in senso stretto, ma abbraccia anche fattispecie che possono essere commesse o facilitate attraverso la rete o il web, quali i reati in materia di terrorismo (art. 25-quater), la pedopornografia virtuale (art. 25-quinquies) e il riciclaggio (art. 25-octies). Si tratta di reati che, pur non essendo strettamente legati all’informatica, trovano un terreno fertile di sviluppo nell’ambito digitale.
Per quanto concerne i reati informatici in senso stretto, è necessario sottolineare che essi sono volti a tutelare tre ambiti specifici: la riservatezza dei dati e delle comunicazioni informatiche, l’integrità dei dati e dei sistemi informatici, e la fede pubblica. Il primo di questi ambiti è protetto dall’art. 615-ter c.p., che punisce l’accesso abusivo a un sistema informatico o telematico. Questa fattispecie sanziona il comportamento di chi, senza autorizzazione, accede a un sistema informatico o telematico, o vi si trattiene oltre i limiti consentiti.
In merito a tale reato, la giurisprudenza ha spesso dibattuto sulla rilevanza della permanenza non autorizzata all’interno di un sistema informatico da parte di un soggetto che, pur essendo in possesso delle credenziali di accesso, utilizza il sistema per scopi diversi da quelli consentiti. Nella stessa area di protezione della riservatezza si collocano anche i reati di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.), i quali rappresentano condotte prodromiche rispetto all’accesso abusivo, nonché le fattispecie di intercettazione abusiva di comunicazioni informatiche o telematiche (artt. 617-quater e quinquies c.p.).
Il secondo ambito di tutela, relativo all’integrità dei dati e dei sistemi informatici, è presidiato dalle fattispecie di danneggiamento introdotte dal legislatore con la legge n. 48 del 2008. Il legislatore ha articolato la risposta sanzionatoria distinguendo tra il danneggiamento di dati, programmi o sistemi informatici privati e il danneggiamento di sistemi pubblici o di pubblica utilità.
Le fattispecie più significative in questo ambito sono gli artt. 635-bis e 635-ter c.p., che tutelano rispettivamente i dati e i programmi informatici privati e pubblici, con una protezione anticipata per questi ultimi, e gli artt. 635-quater e 635-quinquies c.p., che puniscono le condotte di danneggiamento mediante l’utilizzo di virus o altri programmi dannosi. Una novità rilevante introdotta di recente è l’art. 635-quater.1 c.p., il quale punisce la produzione, diffusione o semplice detenzione di programmi informatici progettati per danneggiare sistemi o dati, configurando una protezione avanzata per i sistemi di pubblica utilità.
Infine, tra i reati informatici, l’ultimo ambito di tutela riguarda la fede pubblica, con due fattispecie specifiche: l’art. 491-bis c.p., che estende la disciplina della falsità documentale anche al documento informatico, e l’art. 640-quinquies c.p., che punisce le frodi informatiche connesse all’alterazione di dati, specialmente se finalizzate a trarre un ingiusto profitto a discapito della pubblica amministrazione. Questi reati rappresentano una minaccia particolarmente rilevante nell’ambito dei rapporti con le pubbliche amministrazioni, ove l’utilizzo fraudolento di dati può compromettere la trasparenza e la correttezza delle transazioni pubbliche.
Accanto ai reati informatici tradizionali, il legislatore ha recentemente introdotto, attraverso il decreto-legge n. 105 del 2019 (convertito in legge n. 133 del 2019), un’ulteriore figura di reato volta a tutelare la sicurezza cibernetica nazionale. L’art. 24-bis del D. Lgs. 231/2001 è stato infatti modificato per includere la sanzione della falsa o omessa comunicazione di dati o informazioni rilevanti per la sicurezza nazionale, nell’ambito del cosiddetto Perimetro di Sicurezza Nazionale Cibernetica. Questo nuovo reato mira a garantire la tempestiva e accurata trasmissione di informazioni alle autorità preposte, al fine di prevenire o mitigare minacce alla sicurezza dei sistemi informatici che svolgono funzioni critiche per il Paese.
Reati informatici e 231. Le novità introdotte dalla Legge 90/2024
La Legge n. 90 del 2024 ha apportato ulteriori modifiche significative all’art. 24-bis del D. Lgs. 231/2001, inasprendo le sanzioni pecuniarie previste per i reati informatici e introducendo nuove fattispecie di reato, come l’estorsione informatica, comunemente associata all’uso di ransomware. Il legislatore ha così inteso rafforzare il sistema sanzionatorio per gli enti coinvolti in reati informatici, con un chiaro intento deterrente. Le sanzioni pecuniarie sono state aumentate, con un massimo che ora raggiunge le settecento quote, mentre per i reati di estorsione informatica è stata prevista una sanzione specifica che può arrivare fino a ottocento quote.
Un ulteriore aspetto rilevante introdotto dalla Legge n. 90 del 2024 è la previsione di sanzioni interdittive per gli enti condannati per reati di estorsione informatica, con la possibilità di interdizioni dall’esercizio dell’attività per un periodo non inferiore a due anni. Tale misura dimostra l’importanza che il legislatore attribuisce alla prevenzione di tali reati, i quali rappresentano una minaccia sempre più concreta per le imprese, specie quelle che operano nel settore critico delle infrastrutture digitali.
In sintesi, l’art. 24-bis del D. Lgs. 231/2001, grazie anche alle modifiche introdotte dalla Legge n. 90 del 2024, si configura come uno strumento fondamentale per la responsabilizzazione delle imprese nell’ambito della sicurezza informatica “interna” all’ente. Le nuove disposizioni, oltre a incrementare le sanzioni, rafforzano la capacità delle autorità di contrastare efficacemente il fenomeno dei reati informatici, ponendo l’accento sulla necessità per le imprese di adottare misure di compliance adeguate a prevenire tali condotte.
Modelli organizzativi per la prevenzione dei reati informatici
L’adozione di modelli organizzativi per la prevenzione dei reati informatici è un processo complesso che richiede un’attenta pianificazione e l’implementazione di strategie mirate a ridurre il rischio derivante dall’uso delle tecnologie informatiche all’interno dell’azienda. La creazione di questi modelli deve essere specificamente adattata alle caratteristiche della singola impresa, considerando la natura delle sue attività e il contesto tecnologico in cui opera.
Uno degli aspetti più critici nella costruzione di un modello organizzativo è la possibilità che un reato informatico venga commesso utilizzando un dispositivo aziendale, anche senza che sia stato identificato l’autore della condotta criminosa. L’impresa, in questi casi, potrebbe trovarsi a rispondere per un illecito, nonostante l’impossibilità di ricostruire con precisione la dinamica del fatto o l’identità del responsabile.
Per tale ragione, l’adozione di una disciplina interna rigorosa sull’uso dei sistemi informatici e dei software aziendali diventa un passaggio imprescindibile per una gestione efficace del rischio.
La prevenzione dei reati informatici richiede l’implementazione di una politica di sicurezza equilibrata che comprenda sia misure tecniche che misure organizzative. Prima di tutto, è necessario condurre una mappatura completa di tutti i componenti dell’infrastruttura IT dell’azienda, inclusi i software installati e i dispositivi utilizzati. Successivamente, si procede con un’analisi dei rischi (risk assessment), finalizzata a identificare le vulnerabilità presenti e a sviluppare procedure adeguate per la gestione dei rischi legati agli asset immateriali dell’azienda, come i dati e le informazioni riservate.
Un aspetto centrale nella costruzione del modello organizzativo è la corretta assegnazione di ruoli e responsabilità all’interno dell’azienda. Questo comprende la regolamentazione dell’accesso ai sistemi informatici mediante l’uso di registrazioni, autenticazioni e log sui server aziendali, oltre al controllo costante del loro utilizzo, come ad esempio la verifica dei software installati e il monitoraggio delle attività svolte sui sistemi aziendali. Questi controlli devono essere adeguati e continui per garantire una tracciabilità efficace delle operazioni compiute e prevenire usi impropri dei sistemi.
Nel contesto della prevenzione degli attacchi informatici, la normativa prevista dal D. Lgs. 231/2001 si affianca ad altre importanti disposizioni legislative, come la Direttiva NIS e il Regolamento generale sulla protezione dei dati (GDPR). Questi strumenti normativi pongono l’accento sulla accountability delle imprese, incentivandole a sviluppare sistemi di sicurezza avanzati per proteggere i propri dati e le proprie infrastrutture.
Tuttavia, in alcune circostanze, la disciplina del D. Lgs. 231/2001 non trova applicazione, come nel caso in cui l’impresa sia il bersaglio di un attacco esterno. In questi casi, non si configura un reato commesso “nell’interesse o a vantaggio” dell’ente, requisito essenziale per la responsabilità prevista dalla normativa.
I modelli organizzativi finalizzati alla prevenzione dei reati informatici devono concentrarsi su tre principali contesti di rischio. Il primo è quello degli accessi abusivi a sistemi informatici e telematici, spesso compiuti per ottenere dati sensibili, come le liste clienti o informazioni riservate.
Il secondo riguarda la manipolazione dei dati nel contesto dei rapporti con la Pubblica Amministrazione, come nei casi di sovrafatturazione o alterazione di dati fiscali per ottenere vantaggi indebiti. Il terzo contesto è legato a condotte di danneggiamento o interruzione del funzionamento dei sistemi informatici, finalizzate a causare disservizi o danni all’immagine aziendale.
Negli ultimi anni, la consapevolezza dell’importanza della cybersecurity è aumentata significativamente all’interno delle imprese. Diversi documenti e iniziative, come il Framework Nazionale per la Cybersecurity e la Data Protection, sviluppato dal CINI in collaborazione con università e centri di ricerca, offrono linee guida per migliorare i controlli di sicurezza informatica nelle aziende. Tra le principali misure raccomandate vi sono la gestione degli inventari di dispositivi e software, la protezione contro i malware, la gestione di password e account, nonché la formazione e sensibilizzazione del personale in materia di cybersicurezza.
In definitiva, l’adozione di un modello organizzativo che includa queste misure di prevenzione è cruciale per ridurre il rischio di commissione di reati informatici. L’implementazione di un sistema di sicurezza robusto non solo tutela i dati e i sistemi aziendali, ma contribuisce anche a migliorare la reputazione e la competitività dell’azienda, garantendo il rispetto delle normative vigenti.
Reati informatici e 231: l’importanza nella corporate compliance
In conclusione, la crescente complessità dei reati informatici e la loro incidenza sulle attività aziendali rendono indispensabile una consulenza legale qualificata per la valutazione dei rischi, la definizione di processi di sicurezza e la costruzione di un modello organizzativo adeguato a prevenire tali condotte illecite. Rivolgersi a un avvocato specializzato in diritto penale consente di affrontare queste problematiche con una prospettiva mirata e strategica, garantendo il rispetto della normativa vigente e la protezione del patrimonio aziendale.
Lo Studio Legale D’Agostino vanta una expertise trasversale nell’ambito della criminalità informatica e della corporate compliance, offrendo un supporto legale di alto livello che garantisce l’adozione di soluzioni efficaci e innovative per la gestione dei rischi cibernetici.
Grazie alla consolidata esperienza in questi settori, lo Studio è in grado di assicurare un elevato standard qualitativo, accompagnando le imprese nella realizzazione di un sistema di compliance solido e conforme alle esigenze normative più attuali, in materia di prevenzione dei reati informatici.
Assistenza legale per reati informatici e cybercrime – Studio Legale Luca D’Agostino, Roma. Legge 90/2024.
da Redazione | Ott 18, 2024 | Notizie e Aggiornamenti Legislativi, Diritto d'Impresa, Diritto Penale
La Direttiva NIS 2 (Direttiva (UE) 2022/2555) è il corpus normativo principale nell’ambito della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. L’obiettivo primario di questa normativa è, come noto, quello di migliorare la resilienza delle infrastrutture digitali europee, introducendo obblighi più stringenti per gli operatori di servizi essenziali e importanti.
Rispetto alla precedente Direttiva NIS, la NIS 2 estende il campo di applicazione e rafforza le misure di gestione del rischio di cybersicurezza, armonizzando ulteriormente le normative tra gli Stati membri.
In questo contesto, il Regolamento di attuazione recentemente approvato dalla Commissione Europea si inserisce come elemento cruciale per la concretizzazione delle disposizioni previste dalla Direttiva NIS 2. Esso è stato adottato sulla base dell’articolo 21, paragrafo 5, della Direttiva NIS 2, che stabilisce che entro il 17 ottobre 2024, la Commissione debba adottare atti di esecuzione per definire i requisiti tecnici e metodologici delle misure di gestione del rischio. Questi requisiti riguardano una serie di fornitori di servizi critici, tra cui i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD), i fornitori di cloud computing, i data center, le reti di distribuzione dei contenuti (CDN), e altri operatori di servizi essenziali.
In parallelo, l’articolo 23, paragrafo 11, della Direttiva NIS 2 stabilisce che, entro la stessa scadenza, la Commissione adotti atti di esecuzione per specificare i casi in cui un incidente debba essere considerato significativo. Ciò si applica ai fornitori sopra elencati e ad altri soggetti essenziali e importanti, con l’obiettivo di garantire una risposta adeguata e tempestiva agli incidenti informatici che possano mettere a rischio la sicurezza delle reti e dei sistemi informativi.
L’obiettivo di questo articolo è offrire una panoramica dettagliata del Regolamento di attuazione della Direttiva NIS 2, che introduce una disciplina vincolante per una serie di operatori che svolgono un ruolo cruciale nella sicurezza digitale europea.
Il Regolamento, che entrerà in vigore dopo la sua pubblicazione ufficiale, si applica esclusivamente alle relevant entities o entità rilevanti, definite come quei soggetti che forniscono servizi critici per la società e l’economia. Tra queste entità si annoverano fornitori di servizi DNS, di cloud computing, di reti di distribuzione dei contenuti, motori di ricerca online, piattaforme di social networking e altre infrastrutture digitali di importanza strategica.
Nel prosieguo dell’articolo, esploreremo più nel dettaglio le misure di gestione del rischio previste dal Regolamento e le modalità per determinare quando un incidente debba essere considerato significativo ai sensi della Direttiva NIS 2. Per approfondimenti circa la normativa nazionale di recepimento della Direttiva NIS 2 e il calendario delle scadenze, rinviamo ai nostri precedenti articoli.
Requisiti di gestione del rischio nella Direttiva NIS 2
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea pongono al centro dell’attenzione la necessità per le “entità rilevanti” di adottare misure specifiche di gestione del rischio per la sicurezza delle reti e dei sistemi informativi. La disciplina dettagliata di tali misure è contenuta nell’Annex I del Regolamento, che rappresenta un pilastro normativo fondamentale per garantire la sicurezza cibernetica all’interno dell’Unione Europea.
L’Annex I si struttura in diverse sezioni, ciascuna delle quali delinea un insieme di requisiti tecnici e metodologici che le entità rilevanti devono implementare. Tali misure sono organizzate in modo da coprire tutti gli aspetti cruciali della gestione del rischio di cybersecurity, con l’obiettivo di fornire un approccio omnicomprensivo alla sicurezza informatica. Tra le principali aree trattate figurano la protezione delle reti, dei sistemi informativi e dei dati, nonché la preparazione a rispondere a eventuali incidenti di sicurezza.
Le misure descritte nell’Annex I impongono alle entità rilevanti l’adozione di politiche di sicurezza informatica che coprano l’intero ciclo di vita dei sistemi e dei servizi. Queste politiche devono essere sviluppate sulla base di una valutazione continua del rischio, che prevede l’identificazione delle minacce potenziali, la stima della probabilità che si verifichino incidenti e l’adozione di misure di mitigazione adeguate. L’Annex I stabilisce, inoltre, che queste politiche devono essere sottoposte a revisione periodica per adattarsi alle nuove sfide poste dall’evoluzione tecnologica e dalle crescenti minacce cibernetiche.
Inoltre, una sezione fondamentale dell’Annex I riguarda la gestione degli incidenti di sicurezza informatica. Le entità rilevanti sono tenute a implementare misure che consentano il rilevamento, la gestione e la risoluzione tempestiva degli incidenti. Questo include l’obbligo di monitorare continuamente le attività delle reti e dei sistemi informativi, in modo da rilevare eventuali anomalie che possano indicare un’intrusione o un attacco.
L’Annex I si occupa anche della continuità operativa, stabilendo che le entità rilevanti devono predisporre piani di continuità e ripristino delle attività, volti a garantire la ripresa delle operazioni nel minor tempo possibile in caso di interruzioni. Questi piani devono essere regolarmente testati e aggiornati, per assicurare che restino efficaci nel tempo e in linea con le esigenze operative dell’entità.
Un altro elemento di grande rilevanza trattato dall’Annex I riguarda la sicurezza della catena di fornitura (tema che, in generale, abbiamo già approfondito in un precedente articolo). Le entità rilevanti non solo devono assicurarsi che i loro sistemi e reti siano protetti, ma devono anche vigilare affinché i fornitori terzi che partecipano alla loro catena produttiva o distributiva rispettino standard di sicurezza analoghi. Questo principio garantisce un approccio integrato alla gestione del rischio, prevenendo potenziali vulnerabilità derivanti da attori esterni.
L’Annex I, dunque, costituisce la base normativa essenziale che le entità rilevanti devono seguire per conformarsi ai requisiti di gestione del rischio imposti dalla Direttiva NIS 2, garantendo così una maggiore resilienza delle infrastrutture digitali europee.
Incidenti significativi nel Regolamento di attuazione della Direttiva NIS 2
La Direttiva NIS 2, unitamente al Regolamento di attuazione, introduce una disciplina specifica per la gestione degli incidenti significativi. Ai sensi dell’articolo 3 del Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri previsti dalla Direttiva stessa e dal Regolamento, con l’obiettivo di garantire che tali eventi ricevano una risposta tempestiva e adeguata. La rilevanza di un incidente non si limita al suo impatto immediato sui sistemi informativi dell’entità, ma viene valutata anche in funzione delle conseguenze economiche, operative e sociali che può determinare.
Secondo l’articolo 3, un incidente è considerato significativo se soddisfa uno o più criteri generali. Tra questi, vi è la possibilità che l’incidente comporti una perdita finanziaria diretta per l’entità rilevante superiore a 500.000 euro o al 5% del fatturato annuo complessivo dell’entità nell’anno finanziario precedente, a seconda di quale importo sia inferiore. Altri criteri includono la compromissione della riservatezza, integrità o autenticità dei dati, oppure la possibilità che l’incidente causi la morte o danni significativi alla salute di una persona fisica. Inoltre, il Regolamento introduce criteri specifici per diverse tipologie di entità rilevanti, in modo da adeguare la valutazione dell’incidente alle caratteristiche particolari dei servizi forniti.
Ai sensi dell’articolo 5, se l’incidente riguarda un fornitore di servizi DNS, esso è considerato significativo se uno o più criteri vengono soddisfatti. Tra questi, il servizio di risoluzione dei nomi di dominio autoritativo o ricorsivo deve essere completamente non disponibile per un periodo superiore a 30 minuti. In alternativa, la risposta del servizio di risoluzione dei nomi di dominio potrebbe superare i 10 secondi per oltre un’ora, rendendo il servizio inadeguato a rispondere in modo efficiente alle richieste DNS. Un altro criterio di significatività è la compromissione dell’integrità, riservatezza o autenticità dei dati trattati dal fornitore, soprattutto se tale compromissione coinvolge una quota rilevante di nomi di dominio gestiti.
Per quanto riguarda i registri di nomi di dominio di primo livello (TLD), l’articolo 6 stabilisce che un incidente è considerato significativo se il servizio di risoluzione dei nomi di dominio autoritativo è completamente non disponibile o se il tempo di risposta medio supera i 10 secondi per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati legati al TLD può essere determinante nel qualificare l’incidente come significativo, se tale compromissione mina la riservatezza o l’integrità delle informazioni trattate.
Ai sensi dell’articolo 7 del Regolamento attuativo della Direttiva NIS 2, un fornitore di servizi di cloud computing è soggetto a criteri di significatività qualora il servizio di cloud computing sia completamente non disponibile per più di 30 minuti. Inoltre, se la disponibilità del servizio è limitata per oltre il 5% degli utenti del cloud nell’Unione Europea, o per più di un milione di utenti, l’incidente può essere considerato significativo. La compromissione dell’integrità, riservatezza o autenticità dei dati trattati da tali fornitori può inoltre essere un fattore determinante, soprattutto se coinvolge una quota considerevole di utenti del servizio.
Analogamente, l’articolo 8 del Regolamento attuativo della Direttiva NIS 2 disciplina gli incidenti che coinvolgono i fornitori di servizi di data center. Un incidente è considerato significativo se il servizio di data center risulta completamente non disponibile o se la disponibilità del servizio è limitata per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati trattati nel data center può qualificare l’incidente come significativo, così come la compromissione dell’accesso fisico al data center stesso, soprattutto se si verifica una violazione dei meccanismi di protezione fisica che limitano l’accesso alle aree sensibili.
Per i fornitori di reti di distribuzione dei contenuti (CDN), l’articolo 9 stabilisce che un incidente è significativo se la rete di distribuzione è completamente non disponibile per più di 30 minuti. Se l’indisponibilità del servizio impatta oltre il 5% degli utenti della rete di distribuzione o coinvolge più di un milione di utenti, l’incidente è considerato significativo. Come per le altre entità, anche la compromissione della riservatezza, integrità o autenticità dei dati trattati dalla rete di distribuzione dei contenuti può rappresentare un criterio rilevante.
L’articolo 11 riguarda i fornitori di marketplace online, dove un incidente è considerato significativo se più del 5% degli utenti o oltre un milione di utenti nell’Unione sono coinvolti dall’indisponibilità totale o parziale del servizio. Anche in questo contesto, la sicurezza dei dati trattati gioca un ruolo fondamentale, in particolare se vi è stata una compromissione della riservatezza, integrità o autenticità delle informazioni.
Infine, gli articoli 12 e 13 del Regolamento attuativo della Direttiva NIS 2 disciplinano rispettivamente i criteri per gli incidenti significativi che coinvolgono i motori di ricerca online e le piattaforme di servizi di social networking, stabilendo criteri simili in termini di indisponibilità dei servizi e compromissione della sicurezza dei dati. Anche in questi casi, l’indisponibilità che colpisce una percentuale significativa di utenti o la violazione dei dati trattati costituisce un elemento chiave nella valutazione della significatività dell’incidente.
In conclusione, il Regolamento di attuazione della Direttiva NIS 2 stabilisce una disciplina precisa e articolata per identificare e gestire gli incidenti significativi, tenendo conto delle peculiarità delle diverse entità rilevanti e del tipo di servizi forniti.
Direttiva NIS 2 e Regolamento di attuazione. Quali adempimenti?
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea rappresentano un significativo passo avanti nella gestione della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. La definizione precisa delle misure di gestione del rischio e la determinazione degli incidenti significativi hanno come obiettivo quello di creare un quadro giuridico uniforme e robusto, capace di rispondere alle sfide sempre più complesse del panorama cibernetico moderno. Con l’entrata in vigore del Regolamento, le “entità rilevanti” dovranno adattarsi a nuovi standard di sicurezza e adottare un approccio proattivo nella gestione dei rischi informatici.
Per le entità rilevanti, la conformità alla Direttiva NIS 2 richiederà un impegno non solo tecnico ma anche organizzativo, attraverso l’implementazione di politiche di sicurezza coerenti e la formazione continua del personale coinvolto. Gli operatori economici, in particolare, dovranno assicurarsi che anche la loro catena di fornitura rispetti gli stessi criteri di sicurezza cibernetica. Il mancato adeguamento può comportare sanzioni rilevanti e, soprattutto, una vulnerabilità critica nei confronti delle minacce informatiche.
In questo contesto di crescente complessità normativa, lo Studio Legale D’Agostino, con la sua consolidata esperienza in ambito di corporate compliance e cybersicurezza, è in grado di fornire un supporto strategico essenziale. La nostra competenza nella gestione delle problematiche legate alla conformità aziendale e alla sicurezza informatica ci permette di assistere le imprese e le pubbliche amministrazioni nel processo di implementazione della Direttiva NIS 2, garantendo un approccio personalizzato e orientato alla prevenzione dei rischi.
Siamo lieti e orgogliosi di accompagnarvi nel percorso di adeguamento normativo, fornendo soluzioni efficaci e su misura per proteggere le vostre infrastrutture digitali e ridurre al minimo l’esposizione ai rischi cibernetici.
SCARICA QUI IL TESTO DEL Regolamento di attuazione della Direttiva NIS 2 del 17.10.2024
Studio Legale D’Agostino a Roma: consulenza su Decreto NIS 2, cyber security e sicurezza informatica, con definizioni chiave su incidenti, vulnerabilità e misure di sicurezza
da Redazione | Ott 17, 2024 | Diritto d'Impresa, Notizie e Aggiornamenti Legislativi
Il nuovo Regolamento DORA (Digital Operational Resilience Act) introduce sfide rilevanti in materia di compliance finanziaria aziendale, aprendo a nuove forme di responsabilità per gli organi societari. Comprendere le motivazioni e gli obiettivi di tale normativa richiede un’analisi preliminare delle ragioni che hanno spinto la Commissione Europea, seguita dal Parlamento, a intervenire in ambito di sicurezza informatica nel settore finanziario. Si sottolinea che, peraltro, molti enti destinatari del Regolamento DORA, rientrano anche tra i soggetti obbligati ai sensi della Direttiva NIS 2 e del Decreto Legislativo 138/2024; rinviamo sul punto al nostro precedente e specifico approfondimento.
Negli ultimi anni, si è assistito a un significativo aumento degli attacchi informatici diretti verso grandi aziende, in particolare nel settore bancario e finanziario, con esempi emblematici come Unicredit e Intesa SanPaolo, nonché verso amministrazioni pubbliche di rilievo, come l’Agenzia delle Entrate e la Regione Lazio. Tali attacchi causano incidenti di sicurezza con conseguenze non solo per l’impresa o l’ente colpito, ma anche per l’intera comunità e, in alcuni casi, per l’intero Paese.
Le violazioni dei sistemi informatici incidono infatti sulla riservatezza, integrità e disponibilità di dati e informazioni, generando effetti negativi immediati sia per i cittadini, sotto il profilo economico, sia in relazione ai diritti fondamentali garantiti dalla Costituzione, come il diritto alla salute, alla riservatezza e alla tutela del risparmio.
Nell’attuale contesto digitale, le tecnologie dell’informazione e della comunicazione (TIC) costituiscono il pilastro su cui si fondano i principali settori economici, tra cui quello finanziario, e sono essenziali per il buon funzionamento del mercato interno. Tuttavia, l’accresciuto livello di digitalizzazione e interconnessione amplifica i rischi informatici, rendendo la società, e in particolare il sistema finanziario, sempre più vulnerabile a minacce e perturbazioni legate alle TIC.
Questo articolo mira a esaminare i profili giuridici più rilevanti che il Regolamento DORA introduce, offrendo un quadro degli adempimenti che i soggetti obbligati dalla normativa dovranno tenere in considerazione.
Regolamento DORA: entrata in vigore, finalità e soggetti obbligati
Il Regolamento DORA (Digital Operational Resilience Act), entrato formalmente in vigore nel gennaio 2023, diverrà pienamente vincolante a partire dal 17 gennaio 2025. Tale Regolamento mira a rafforzare le misure di sicurezza informatica e la cosiddetta resilienza digitale all’interno del settore finanziario, il quale è particolarmente esposto a attacchi informatici.
L’Unione Europea, riconoscendo la natura strategica di questo settore per la stabilità economica e la libera circolazione di capitali, merci, servizi e persone, ha adottato il DORA come strumento per armonizzare la legislazione degli Stati membri, introducendo standard comuni e obbligatori in tema di sicurezza operativa.
La finalità primaria del DORA è quella di proteggere la competitività e la stabilità finanziaria dell’Unione Europea, uniformando le diverse normative nazionali sotto un insieme di regole condivise, specificamente concepite per la prevenzione e gestione degli attacchi informatici che colpiscono le imprese del settore finanziario. La consapevolezza che le minacce informatiche abbiano una dimensione intrinsecamente transnazionale ha spinto il legislatore europeo a perseguire una politica comune, idonea a contrastare i rischi che superano i confini nazionali.
Il Regolamento DORA si inserisce in un contesto di continuità con precedenti normative europee, come la Direttiva NIS 2, adottando misure rigorose per la gestione del rischio informatico e la protezione dei dati. Tra le disposizioni di maggior rilievo, vi è l’obbligo per gli operatori finanziari di adottare specifici standard per il monitoraggio continuo dell’efficacia dei modelli di resilienza operativa e per la realizzazione di test periodici. Questi test mirano a verificare la capacità delle imprese di rispondere prontamente a incidenti di sicurezza, prevedendo anche l’obbligo di segnalazione tempestiva degli incidenti stessi alle autorità competenti.
Un aspetto centrale del DORA riguarda la conformità dei contratti stipulati con fornitori terzi, soprattutto laddove questi ultimi siano coinvolti nell’utilizzo di tecnologie dell’informazione e della comunicazione (TIC). Questo obbligo di conformità sottolinea l’importanza di garantire che l’intera filiera di partner commerciali rispetti le medesime norme di sicurezza, minimizzando così il rischio di vulnerabilità derivanti da soggetti esterni all’impresa.
Il concetto di resilienza digitale trova piena applicazione all’interno del DORA, definendo la capacità delle aziende del settore finanziario di preservare e garantire la propria integrità operativa sotto il profilo tecnologico. Ciò comporta l’adozione di misure strutturali che assicurino la sicurezza delle reti, dei sistemi informatici e dei dati utilizzati, come stabilito dall’art. 3 del Regolamento.
Dal punto di vista soggettivo, il Regolamento si applica a un’ampia gamma di operatori del mercato finanziario, tra cui banche, imprese assicurative, intermediari finanziari, fondi di investimento, nonché fornitori di cripto-attività e soggetti terzi che forniscono servizi basati sull’uso delle TIC. In tal modo, il DORA copre una vasta pluralità di soggetti operanti nel sistema economico-finanziario, assicurando che ciascuno di essi sia tenuto ad adottare le misure necessarie per garantire la propria resilienza operativa e per proteggere l’intero ecosistema digitale dell’Unione Europea dalle crescenti minacce informatiche.
Regolamento DORA: obblighi di sicurezza e resilienza
Il Regolamento DORA introduce un complesso quadro di obblighi volti a garantire la sicurezza delle reti e dei sistemi informativi delle entità finanziarie, come delineato dall’art. 1. In particolare, il regolamento impone l’adozione di misure uniformi per salvaguardare la continuità operativa delle imprese e prevenire eventuali compromissioni legate alla cybersecurity. Gli obblighi possono essere distinti in due principali categorie: obblighi interni, relativi alla governance e alla gestione dei rischi informatici, e obblighi esterni, che riguardano la notifica di incidenti e minacce alle autorità competenti.
Tra gli obblighi interni, il DORA pone l’accento sulla gestione dei rischi connessi alle tecnologie dell’informazione e della comunicazione (TIC). Le entità finanziarie devono adottare un approccio strutturato alla resilienza operativa digitale, che include l’implementazione di test periodici per verificare la robustezza dei propri sistemi di sicurezza informatica. Questi test devono essere volti a identificare le vulnerabilità nei sistemi e a stabilire misure adeguate per mitigare i rischi, inclusi quelli derivanti da fornitori terzi. La vigilanza sulla sicurezza delle reti e dei dati è un aspetto cruciale, e il regolamento richiede la predisposizione di protocolli per monitorare costantemente la qualità della sicurezza, con particolare riguardo alla catena di fornitura.
Gli obblighi esterni imposti dal DORA riguardano principalmente la notifica alle autorità competenti di qualsiasi incidente grave o minaccia significativa che possa compromettere la sicurezza delle TIC. Questo include incidenti legati alla sicurezza dei sistemi di pagamento e alle infrastrutture finanziarie digitali. Le entità finanziarie devono, inoltre, condividere informazioni rilevanti riguardanti tali incidenti con le autorità designate, al fine di migliorare la resilienza complessiva del settore.
Un altro punto cruciale del Regolamento DORA è la gestione dei rischi legati ai fornitori esterni di servizi TIC. L’art. 25 del Regolamento specifica l’obbligo di garantire che i fornitori con i quali le entità finanziarie collaborano rispettino gli standard di sicurezza imposti dal DORA, minimizzando così il rischio di compromissioni derivanti da soggetti terzi. Le imprese devono inoltre adottare un modello di gestione del rischio che contempli procedure per affrontare le minacce informatiche in modo proattivo ed efficace.
Il regolamento introduce anche il concetto di resilienza operativa digitale, che si riferisce alla capacità dell’impresa di mantenere l’integrità dei propri sistemi tecnologici e operativi di fronte a incidenti di sicurezza informatica. Questa resilienza deve essere garantita attraverso un quadro di gestione globale che includa politiche, strategie, obiettivi e procedure di sicurezza. L’obiettivo è quello di consentire alle imprese di resistere e riprendersi rapidamente da qualsiasi minaccia o vulnerabilità, assicurando la continuità delle operazioni commerciali. In particolare, l’art. 9 del DORA disciplina la continuità operativa (business continuity), mentre gli articoli 10 e 11 trattano il disaster recovery, ossia la capacità di recupero delle imprese in seguito a incidenti gravi.
Le entità finanziarie sono inoltre obbligate a condurre attività di risk management e risk assessment, con lo scopo di individuare e valutare i rischi informatici legati alla gestione, utilizzo e trasferimento dei dati. Questo processo include l’adozione di soluzioni software e hardware adeguate alla natura e complessità dell’ente, che consentano di prevenire la perdita, alterazione, accesso non autorizzato o fuga di informazioni sensibili. Il DORA impone che tale gestione del rischio ricada sotto la responsabilità diretta dell’organo di gestione dell’impresa, il quale è incaricato di predisporre, applicare e monitorare periodicamente il quadro di gestione della sicurezza informatica.
Infine, il Regolamento richiede che tale quadro venga sottoposto a verifiche periodiche da parte di revisori esterni con comprovate competenze nel settore delle TIC, al fine di garantire che le misure adottate siano adeguate e aggiornate rispetto all’evoluzione delle tecnologie e delle minacce informatiche. Questo meccanismo di revisione continua differenzia il DORA da altri modelli normativi, come il Modello 231, conferendo una maggiore dinamicità e adattabilità alle specifiche esigenze del settore finanziario.
Misure di compliance al DORA: gli obblighi c.d. esterni
La seconda parte del Regolamento DORA, in particolare il Capo III, è dedicata agli obblighi esterni che gravano sugli enti finanziari, con particolare riferimento ai processi di segnalazione e reporting verso le autorità di vigilanza nazionali competenti. Tali obblighi mirano a garantire una gestione tempestiva e trasparente degli incidenti informatici, nonché delle criticità significative legate all’uso delle TIC all’interno del settore finanziario.
In primo luogo, il DORA richiede agli enti finanziari di predisporre piani dettagliati di comunicazione delle crisi e di gestione degli incidenti informatici che si verificano. Questi piani devono includere la classificazione delle perdite e degli impatti, tenendo conto della gravità dell’evento e della criticità dei servizi messi a rischio. In base a quanto previsto dagli artt. 15 e ss. del Regolamento, gli enti devono non solo registrare e classificare ogni incidente informatico, ma anche valutare l’impatto potenziale su terzi, come utenti o clienti, in conformità con l’art. 16.
Tale classificazione è essenziale per garantire una risposta adeguata e proporzionata all’entità del rischio e alla potenziale compromissione dei servizi finanziari.
Una volta classificato l’incidente, la comunicazione deve essere inoltrata all’autorità competente, individuata in modo specifico per ciascuna tipologia di ente finanziario dall’art. 41 del DORA. Le autorità di vigilanza, incaricate di monitorare la resilienza operativa degli istituti finanziari, svolgono un ruolo cruciale nel garantire che il sistema finanziario mantenga la propria integrità e continuità operativa. Il processo di segnalazione e reporting è dunque essenziale per identificare eventuali debolezze nel sistema e promuovere misure correttive che rafforzino la resilienza complessiva del mercato finanziario.
Un altro elemento fondamentale del Regolamento DORA è il ruolo attribuito alle Autorità di vigilanza, sia a livello nazionale che europeo. Queste autorità, tra cui spicca l’Autorità Bancaria Europea (EBA), sono incaricate di valutare la resilienza operativa delle entità finanziarie ricadenti sotto la propria giurisdizione. Tale valutazione si basa su un esame approfondito dei piani di resilienza degli enti, della mappatura dei servizi critici, dei sistemi informatici utilizzati e dei contratti stipulati con fornitori terzi che prevedono l’impiego di TIC.
Le autorità hanno il potere di eseguire ispezioni in loco per verificare la conformità degli enti ai requisiti del DORA e assicurarsi che siano state adottate le misure adeguate per prevenire e gestire incidenti informatici.
Le Autorità di vigilanza sono anche responsabili di fornire linee guida e raccomandazioni (best practices) volte ad assistere le entità finanziarie nell’implementazione dei requisiti normativi del DORA. Esse svolgono un ruolo centrale nel promuovere il coordinamento tra le varie autorità nazionali, europee e le forze dell’ordine, per garantire una risposta tempestiva e coordinata alle minacce informatiche. Questo sistema di collaborazione interistituzionale è volto a rafforzare la capacità di risposta del sistema finanziario alle sfide poste dalla crescente digitalizzazione e interconnessione globale.
Inoltre, il DORA conferisce alle Autorità di vigilanza il potere di applicare sanzioni agli enti finanziari che non rispettano i requisiti previsti dal regolamento. Le sanzioni possono variare a seconda della gravità della violazione e mirano a incentivare l’adozione di misure efficaci per garantire la sicurezza operativa e la protezione delle informazioni finanziarie e sensibili. L’imposizione di sanzioni rappresenta uno strumento fondamentale per assicurare il rispetto del quadro normativo e la corretta attuazione delle misure di resilienza operative da parte degli enti.
Le sanzioni del Regolamento DORA
Il Regolamento DORA introduce un articolato sistema sanzionatorio volto a garantire il rispetto delle misure di resilienza operativa e di sicurezza informatica imposte alle entità finanziarie. Gli artt. 50 e 51 del Regolamento delineano una serie di sanzioni amministrative che possono essere applicate in caso di violazione delle disposizioni normative. Tra le misure più rilevanti, figurano sanzioni pecuniarie che possono raggiungere fino a 10 milioni di euro o, alternativamente, fino al 5% del fatturato annuo complessivo dell’ente finanziario, a seconda di quale cifra risulti più elevata. Queste sanzioni sono accompagnate da una gamma di misure correttive, come richiami pubblici, la revoca delle autorizzazioni all’esercizio dell’attività e l’obbligo di risarcimento dei danni causati.
Tuttavia, il DORA lascia agli Stati membri la facoltà di adottare un approccio più severo, prevedendo anche sanzioni penali per determinate violazioni. Questo margine di discrezionalità consente agli ordinamenti nazionali di stabilire un regime sanzionatorio che possa comprendere misure di carattere penale, qualora la gravità della violazione lo giustifichi. In particolare, l’art. 52 del Regolamento specifica che gli Stati membri possono scegliere di non adottare sanzioni amministrative per violazioni che, nel diritto interno, sono già passibili di sanzioni penali.
Questa scelta mira ad evitare il cumulo di sanzioni per lo stesso fatto, scongiurando così il rischio di violazioni del principio del ne bis in idem, principio cardine del diritto sanzionatorio europeo che vieta la punizione di un individuo per lo stesso reato più di una volta.
Il secondo paragrafo dell’art. 52 sottolinea che, qualora uno Stato membro opti per l’imposizione di sanzioni penali in caso di violazioni del Regolamento DORA, le autorità di vigilanza nazionali devono essere dotate di tutti i poteri e le competenze necessari per collaborare efficacemente con le autorità giudiziarie competenti. Questo aspetto evidenzia l’importanza di una cooperazione stretta e coordinata tra le autorità di vigilanza finanziaria e gli organi giudiziari, al fine di garantire l’effettiva applicazione delle norme del DORA e assicurare che le violazioni siano trattate con la massima serietà.
In sostanza, il sistema sanzionatorio previsto dal DORA riflette l’intento del legislatore europeo di garantire che le entità finanziarie rispettino rigorosamente le misure di sicurezza e resilienza digitale. La possibilità di combinare sanzioni amministrative e penali dimostra la gravità con cui vengono trattate le violazioni nel settore finanziario, rafforzando la necessità di un’adeguata compliance da parte delle imprese e promuovendo una maggiore responsabilizzazione degli organi aziendali.
Conclusioni
L’entrata in vigore delle disposizioni del Regolamento DORA il 17 gennaio 2025 rappresenta una scadenza fondamentale per tutte le entità finanziarie soggette a questa normativa. A partire da tale data, le misure di resilienza digitale e sicurezza informatica diventeranno pienamente applicabili, rendendo imprescindibile un adeguamento tempestivo e rigoroso da parte degli operatori del settore.
Le misure di compliance previste dal Regolamento includono l’adozione di un quadro di gestione dei rischi informatici, l’attuazione di test periodici per verificare la resilienza operativa e la conformità dei contratti con fornitori terzi alle norme di sicurezza informatica. Le imprese devono inoltre predisporre piani di comunicazione per la gestione degli incidenti, monitorare costantemente la sicurezza delle TIC utilizzate e garantire la segnalazione tempestiva alle autorità competenti in caso di incidenti gravi. Il rispetto di queste misure non solo consentirà alle entità finanziarie di migliorare la loro capacità di affrontare le minacce informatiche, ma anche di garantire la continuità dei servizi e la protezione dei dati sensibili.
È essenziale, inoltre, che anche i fornitori delle entità soggette al DORA comprendano la portata degli obblighi imposti dal Regolamento. Pur non essendo direttamente obbligati, i fornitori che offrono servizi critici basati sull’uso delle TIC saranno comunque gravati da responsabilità indirette per garantire che le entità finanziarie rispettino gli standard di sicurezza e resilienza imposti dal DORA.
In questo contesto, l’assistenza di una consulenza legale esperta diventa cruciale non solo per i soggetti direttamente obbligati dal Regolamento DORA, ma anche per i loro fornitori. Un supporto legale qualificato può garantire che tutti i processi di adeguamento siano conformi alle disposizioni del Regolamento, prevenendo così potenziali violazioni e contribuendo a creare un sistema sicuro e resiliente, capace di affrontare le sfide del panorama digitale e finanziario attuale.
da Redazione | Ott 16, 2024 | Diritto civile, Diritto d'Impresa, Diritto Penale, Notizie e Aggiornamenti Legislativi
La sostenibilità rappresenta ormai un pilastro fondamentale per le imprese, in particolare alla luce delle nuove normative dell’Unione Europea volte a regolare l’impatto delle attività aziendali sui diritti umani e sull’ambiente. Ne abbiamo già discusso in un precedente articolo.
In questo contesto, la Direttiva (UE) 2024/1760, meglio nota come Corporate Sustainability Due Diligence Directive (CSDDD), impone un dovere di diligenza alle imprese di grandi dimensioni per garantire che le loro attività e quelle dei loro partner commerciali siano in linea con gli obiettivi di sostenibilità ambientale e sociale.
La Direttiva introduce obblighi chiari e vincolanti, che richiedono alle società di identificare, prevenire e mitigare i potenziali impatti negativi lungo l’intera catena di valore. La sostenibilità diventa così non solo un obiettivo etico e strategico, ma anche un imperativo normativo, la cui non osservanza può comportare significative sanzioni e responsabilità civili. L’Unione Europea, con questa direttiva, intende promuovere una trasformazione profonda delle pratiche aziendali, allineandole agli accordi internazionali come l’Accordo di Parigi, con l’obiettivo di ridurre le emissioni di gas a effetto serra e di tutelare i diritti umani nelle operazioni globali delle imprese.
Attraverso un quadro giuridico armonizzato, la CSDDD segna un passo decisivo verso un’economia più sostenibile e responsabile, dove la trasparenza e la conformità rappresentano strumenti chiave per favorire una gestione aziendale attenta agli impatti sociali e ambientali. Tale normativa richiede un adeguamento significativo delle politiche interne delle imprese e l’adozione di piani di transizione verso una sostenibilità integrale.
Chi sono i destinatari della Direttiva sulla sostenibilità?
La Corporate Sustainability Due Diligence Directive trova applicazione su un’ampia gamma di imprese, sia costituite all’interno dell’Unione Europea sia operanti nel mercato europeo pur avendo sede legale in paesi terzi. In particolare, la direttiva è vincolante per tutte le società che, nel corso dell’ultimo esercizio finanziario, hanno avuto più di 1.000 dipendenti e un fatturato netto globale superiore a 450 milioni di euro.
Questo parametro tiene conto non solo delle attività svolte direttamente dalla società, ma anche di quelle delle sue filiazioni e dei suoi partner commerciali lungo l’intera catena di valore. Ciò implica che le imprese devono monitorare non solo le loro operazioni interne, ma anche le pratiche adottate dai soggetti con cui collaborano, estendendo così l’obbligo di sostenibilità in modo capillare.
Le disposizioni della direttiva si applicano anche alle società capogruppo che esercitano un controllo su altre entità e che rientrano nei requisiti di dimensione previsti. È altresì importante sottolineare che l’applicazione si estende alle imprese costituite in paesi terzi, a condizione che esse generino un fatturato netto significativo nell’Unione Europea. In particolare, la soglia stabilita per le imprese extra-europee è di 450 milioni di euro di fatturato nell’ultimo esercizio finanziario. Questo aspetto è cruciale, poiché garantisce che le imprese non possano eludere gli obblighi di sostenibilità semplicemente trasferendo la loro sede legale al di fuori dell’Unione, pur continuando a operare nel mercato europeo.
L’obiettivo principale della direttiva è creare un quadro normativo uniforme, assicurando che tutte le imprese con una presenza economica significativa nel mercato europeo, indipendentemente dalla loro sede legale, siano tenute a rispettare gli stessi standard in materia di sostenibilità e responsabilità sociale. Questo favorisce una concorrenza leale tra le imprese e promuove una cultura aziendale orientata alla tutela dell’ambiente e dei diritti umani.
Quando entrerà in vigore la Direttiva sulla sostenibilità?
L’entrata in vigore della CSDDD è scaglionata in diverse fasi, a seconda della dimensione e della tipologia delle imprese coinvolte. Gli Stati membri sono tenuti a recepire la direttiva entro il 26 luglio 2026, data entro la quale dovranno adottare le misure legislative necessarie. Tuttavia, gli obblighi per le imprese entreranno in vigore in maniera progressiva.
Le società con più di 5.000 dipendenti e un fatturato netto superiore a 1,5 miliardi di euro a livello mondiale saranno soggette alla normativa a partire dal 26 luglio 2027. Per le imprese con più di 3.000 dipendenti e un fatturato superiore a 900 milioni di euro, gli obblighi scatteranno dal 26 luglio 2028. Le società di paesi terzi che generano un fatturato significativo nell’Unione, pari a oltre 1,5 miliardi di euro, dovranno conformarsi anch’esse dal 26 luglio 2027, mentre quelle con un fatturato superiore a 900 milioni di euro avranno tempo fino al 26 luglio 2028.
Infine, tutte le altre imprese non rientranti nelle precedenti categorie, inclusi i gruppi più piccoli che operano con modalità di franchising o licenza, dovranno conformarsi agli obblighi previsti dalla direttiva a partire dal 26 luglio 2029. Questo approccio graduale consente alle imprese di adattarsi progressivamente alle nuove norme, in base alla loro dimensione e alla complessità delle loro operazioni.
Obblighi Principali per le Imprese: la due diligence per la sostenibilità
Il cuore della Corporate Sustainability Due Diligence Directive risiede nell’obbligo imposto alle imprese di esercitare un dovere di diligenza accurato e continuo, volto a prevenire, mitigare e, se necessario, porre rimedio agli impatti negativi delle loro attività sui diritti umani e sull’ambiente. Questo dovere si estende non solo alle attività dirette dell’impresa, ma anche a quelle delle sue filiazioni e dei partner commerciali, lungo l’intera catena di valore. La sostenibilità, quindi, diventa un principio guida per tutte le fasi delle operazioni aziendali.
Le imprese sono chiamate a implementare una serie di misure volte a integrare il dovere di diligenza all’interno delle loro politiche e sistemi di gestione. In particolare, devono adottare politiche di sostenibilità ben definite, che prevedano l’individuazione e la valutazione di potenziali impatti negativi legati ai diritti umani o all’ambiente. L’individuazione degli impatti non può essere limitata alla sola attività dell’impresa, ma deve estendersi a tutte le entità collegate, incluse le filiazioni e i partner lungo la catena di fornitura.
In base agli articoli centrali della direttiva, le imprese devono adottare tutte le misure necessarie per prevenire o, laddove non sia possibile, attenuare tali impatti. Questo può includere l’adozione di piani d’azione correttivi, investimenti finanziari per migliorare i processi produttivi, la richiesta di garanzie contrattuali ai partner commerciali e, nei casi più gravi, la cessazione dei rapporti d’affari con i soggetti che contribuiscono agli impatti negativi.
Inoltre, la direttiva impone alle imprese di stabilire e mantenere un dialogo significativo con le parti interessate, compresi i lavoratori, le comunità locali e le organizzazioni non governative, al fine di garantire che gli impatti negativi siano affrontati in maniera partecipata e trasparente. Parte integrante di questo processo è la creazione di un meccanismo di reclamo che consenta a chiunque subisca danni causati dalle attività dell’impresa di presentare una denuncia.
Le imprese devono, infine, monitorare e comunicare pubblicamente l’efficacia delle loro politiche di sostenibilità. L’obbligo di trasparenza impone la pubblicazione di rapporti regolari che documentino i progressi compiuti nel prevenire e mitigare gli impatti negativi, rafforzando così la fiducia degli stakeholder e contribuendo al raggiungimento degli obiettivi di sostenibilità fissati dalla direttiva.
Lotta ai Cambiamenti Climatici e Piano di Transizione
Uno degli aspetti più innovativi della Corporate Sustainability Due Diligence Directive riguarda l’obbligo per le imprese di adottare un piano di transizione volto alla mitigazione dei cambiamenti climatici. La direttiva stabilisce che le società di grandi dimensioni, oltre a integrare la sostenibilità nelle loro politiche aziendali, devono impegnarsi attivamente nella lotta al cambiamento climatico, in linea con l’Accordo di Parigi e gli obiettivi di neutralità climatica dell’Unione Europea.
Il piano di transizione deve garantire che le strategie aziendali siano compatibili con l’obiettivo di limitare l’aumento della temperatura globale a 1,5 °C e di raggiungere la neutralità climatica entro il 2050, come stabilito dal regolamento (UE) 2021/1119.
Le imprese devono fissare obiettivi chiari e temporalmente definiti per la riduzione delle emissioni di gas a effetto serra, con tappe intermedie da raggiungere entro il 2030. Tali obiettivi non riguardano soltanto le emissioni dirette dell’impresa (ambiti 1 e 2), ma anche le emissioni indirette lungo la catena di fornitura (ambito 3). La direttiva richiede, inoltre, che le imprese identifichino le principali leve di decarbonizzazione, compresa la revisione dei loro portafogli di prodotti e servizi e l’adozione di nuove tecnologie più sostenibili.
Un aspetto cruciale è la trasparenza degli investimenti e dei finanziamenti destinati a sostenere l’attuazione del piano di transizione. Le imprese devono, infatti, fornire una chiara spiegazione e quantificazione delle risorse allocate per garantire il raggiungimento degli obiettivi climatici. Inoltre, il piano di transizione deve prevedere un ruolo attivo degli organi di amministrazione, gestione e controllo, i quali sono chiamati a supervisionare e guidare il processo di decarbonizzazione.
In questo modo, la sostenibilità climatica diventa non solo un obiettivo strategico, ma un obbligo normativo che richiede alle imprese di operare in maniera responsabile, allineandosi agli obiettivi globali per il clima.
Sostenibilità, ruolo delle Autorità e obblighi di reporting
La Corporate Sustainability Due Diligence Directive attribuisce un ruolo centrale alle autorità di controllo, incaricate di vigilare sull’attuazione e sul rispetto degli obblighi imposti alle imprese dalla normativa. Gli Stati membri dell’Unione Europea sono tenuti a designare una o più autorità di controllo nazionali, le quali devono monitorare con attenzione le attività delle imprese che rientrano nell’ambito di applicazione della direttiva, assicurandosi che esse rispettino i principi di sostenibilità e responsabilità sociale.
Le autorità di controllo hanno il compito di valutare l’efficacia delle misure adottate dalle imprese per identificare e mitigare gli impatti negativi su diritti umani e ambiente. Tra i loro poteri rientrano l’ispezione, la richiesta di informazioni e la possibilità di imporre sanzioni in caso di violazioni. Le sanzioni possono includere multe significative, fino al 5% del fatturato netto globale dell’impresa, a seconda della gravità della violazione, nonché la pubblicazione di dichiarazioni che identificano le imprese non conformi.
Un altro aspetto cruciale della direttiva riguarda gli obblighi di reporting. Le imprese sono tenute a redigere rapporti periodici che documentino le azioni intraprese per prevenire, attenuare e riparare gli impatti negativi identificati. Tali rapporti devono essere resi pubblici e accessibili, garantendo così la trasparenza nei confronti degli stakeholder e delle autorità di controllo. Il rispetto degli obblighi di reporting è essenziale per assicurare che le imprese operino in modo conforme e responsabile, mantenendo un dialogo costante con le parti interessate e dimostrando il loro impegno verso la sostenibilità.
Il sistema di controllo e monitoraggio previsto dalla direttiva mira quindi a rafforzare la fiducia nel mercato europeo, creando un quadro regolatorio trasparente che incentivi le imprese a migliorare continuamente le proprie performance in materia di sostenibilità e responsabilità sociale.
Obblighi di sostenibilità: sanzioni e responsabilità civile per le imprese
La Corporate Sustainability Due Diligence Directive introduce un quadro di sanzioni rigorose per garantire che le imprese rispettino gli obblighi derivanti dalla normativa. Le sanzioni previste dalla direttiva, che devono essere adottate dagli Stati membri, hanno l’obiettivo di essere effettive, proporzionate e dissuasive. Le autorità di controllo nazionali hanno il potere di imporre sanzioni pecuniarie significative, calcolate sulla base del fatturato netto globale dell’impresa. Le multe possono raggiungere fino al 5% del fatturato netto globale dell’esercizio precedente, una cifra che mira a dissuadere in maniera efficace le imprese dal violare gli obblighi di diligenza in materia di sostenibilità.
Le violazioni che possono comportare l’applicazione di sanzioni riguardano principalmente la mancata identificazione, prevenzione e mitigazione degli impatti negativi sui diritti umani e sull’ambiente. Le imprese che non ottemperano alle disposizioni relative alla redazione di rapporti di sostenibilità o che non rispettano i termini dei piani di transizione verso la mitigazione dei cambiamenti climatici sono soggette a sanzioni. Oltre alle multe, le autorità di controllo possono adottare misure aggiuntive, come la pubblicazione di dichiarazioni ufficiali che identificano pubblicamente le imprese responsabili delle violazioni, contribuendo così a danneggiare la reputazione aziendale a livello globale.
Un aspetto centrale della direttiva è l’introduzione della responsabilità civile per le imprese, che permette a persone fisiche o giuridiche di richiedere il risarcimento dei danni subiti a causa di una violazione degli obblighi di diligenza da parte dell’impresa. Le imprese possono essere ritenute responsabili per i danni causati da omissioni o atti intenzionali o negligenti relativi alla mancata adozione di misure preventive o correttive, in particolare se tali violazioni sono correlate a diritti protetti dalla legislazione nazionale o europea.
La responsabilità civile è particolarmente rilevante nel contesto delle catene di valore, dove le imprese possono essere chiamate a rispondere anche per i danni causati dai loro partner commerciali. Tuttavia, la direttiva prevede che le imprese non siano responsabili se dimostrano di aver adottato tutte le misure adeguate per prevenire tali impatti, inclusa la richiesta di garanzie contrattuali ai partner commerciali, la supervisione delle loro attività e l’attuazione di meccanismi di controllo efficaci. In questi casi, la responsabilità può essere condivisa con i partner commerciali, in una logica di corresponsabilità lungo la catena di fornitura.
Un altro punto di rilievo riguarda i termini di prescrizione. La direttiva prevede che i termini per l’avvio di procedimenti per il risarcimento dei danni non siano eccessivamente restrittivi e che, in ogni caso, non siano inferiori a cinque anni. Questo mira a garantire che le vittime di violazioni, siano esse comunità locali, lavoratori o altre parti interessate, abbiano il tempo sufficiente per raccogliere prove e presentare le loro richieste di risarcimento. Inoltre, la direttiva stabilisce che, in caso di controversie, i tribunali nazionali abbiano il potere di ordinare la divulgazione di prove rilevanti da parte delle imprese, purché tali richieste siano proporzionate e non ledano eccessivamente gli interessi legittimi delle parti.
La combinazione di sanzioni pecuniarie, pubbliche e di responsabilità civile mira a creare un sistema di enforcement robusto, capace di incentivare le imprese ad aderire ai principi di sostenibilità e a gestire in modo responsabile gli impatti delle loro attività. Questo approccio rafforza il quadro normativo europeo in materia di diritti umani e ambiente, offrendo alle imprese un chiaro incentivo a migliorare la loro governance e a ridurre i rischi legati alla sostenibilità.
Conclusioni
La CSDDD rappresenta un passaggio fondamentale nel rafforzamento della sostenibilità aziendale e nella promozione di una gestione responsabile delle attività economiche all’interno dell’Unione Europea. Con l’introduzione di obblighi stringenti in materia di diritti umani e ambiente, la direttiva mira a garantire che le imprese, sia europee sia extraeuropee, operino nel rispetto di standard elevati, contribuendo così a costruire un’economia più sostenibile e inclusiva. La normativa richiede alle imprese di adottare misure concrete per individuare e mitigare gli impatti negativi delle loro attività, promuovendo una trasformazione radicale delle loro operazioni lungo l’intera catena di valore.
Il complesso quadro regolatorio introdotto dalla direttiva pone sfide significative per le imprese, che devono adattarsi rapidamente e garantire una piena conformità agli obblighi di diligenza. La mancata osservanza di tali obblighi può comportare sanzioni rilevanti e rischi di responsabilità civile, rendendo indispensabile una gestione attenta e consapevole dei rischi legati alla sostenibilità. In questo contesto, è cruciale che le imprese si dotino di strumenti adeguati per affrontare tali sfide, non solo nel breve termine, ma anche con una visione di medio-lungo periodo.
In particolare, per assicurare una piena conformità normativa e una gestione efficace dei rischi, risulta fondamentale affidarsi a una consulenza legale esperta, capace di guidare le imprese nella costruzione di una strategia di conformità solida e sostenibile. Lo Studio Legale D’Agostino, con la sua vasta esperienza nei processi aziendali, offre un supporto essenziale per le imprese che desiderano allinearsi agli obblighi imposti dalla direttiva, riducendo al minimo i rischi legali e migliorando le proprie performance in materia di sostenibilità. Grazie a un approccio integrato e su misura, lo studio è in grado di assistere le aziende nella creazione di politiche di sostenibilità che non solo rispettino le normative, ma che rappresentino anche un vantaggio competitivo nel contesto globale.
da Redazione | Ott 15, 2024 | Diritto d'Impresa, Notizie e Aggiornamenti Legislativi
Il Cyber Resilience Act rappresenta una delle normative più rilevanti nell’ambito della sicurezza informatica dell’Unione Europea, destinata a incidere profondamente su tutti gli operatori economici che immettono sul mercato prodotti con elementi digitali. La proposta di Regolamento, passata al Parlamento Europeo, è stata approvata definitivamente dal Consiglio lo scorso 10 ottobre (vedi Comunicato stampa). L’atto sarà pubblicato ufficialmente in Gazzetta nelle prossime settimane, dopo la firma congiunta da parte dei Presidenti del Parlamento e del Consiglio. Scarica qui il testo approvato: Cyber Resilience Act_text_EN
Questa normativa avrà un impatto considerevole sul mercato unico europeo, interessando un numero stimato di circa 4 milioni di imprese. Tali imprese, appartenenti a diversi settori della filiera di commercializzazione, dovranno conformarsi ai requisiti di sicurezza imposti dal regolamento.
L’obiettivo centrale del Cyber Resilience Act è quello di introdurre requisiti essenziali di sicurezza informatica per garantire la protezione delle infrastrutture digitali e la resilienza delle tecnologie utilizzate in tutta l’Unione Europea.
Questo regolamento, concepito per rispondere alle crescenti minacce cyber, si inserisce in un contesto normativo che mira a rafforzare la sicurezza informatica su vasta scala, estendendo i suoi effetti a un’ampia gamma di settori economici, compresi quelli che utilizzano software open source. Attraverso l’introduzione di obblighi specifici per i diversi operatori della filiera, il Cyber Resilience Act intende garantire che tutti i prodotti digitali commercializzati siano conformi a standard elevati di sicurezza.
Il presente articolo si propone di esaminare in modo approfondito la struttura del Cyber Resilience Act, analizzando i destinatari della normativa, gli obblighi posti in capo agli operatori economici, le procedure di sorveglianza del mercato e le sanzioni previste per la mancata conformità. Particolare attenzione sarà dedicata alla descrizione delle disposizioni normative che regolano l’immissione sul mercato dei prodotti digitali, nonché agli obblighi di conformità che gli operatori dovranno rispettare per evitare onerose sanzioni pecuniarie.
Perché il Cyber Resilience Act? Quando entrerà in vigore?
Il Cyber Resilience Act rappresenta una risposta necessaria e proporzionata alle sfide poste dal panorama digitale attuale, caratterizzato da una crescente interconnessione dei dispositivi e da una vulnerabilità strutturale dei prodotti con elementi digitali.
L’Unione Europea ha ritenuto che le normative esistenti, come il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Direttiva NIS, non fossero sufficienti a fronteggiare le minacce emergenti legate alla sicurezza dei prodotti digitali. Sebbene queste normative abbiano posto le basi per la protezione dei dati e la sicurezza delle reti, mancava una regolamentazione dedicata a garantire che i prodotti immessi sul mercato fossero sicuri, resilienti e in grado di fronteggiare le vulnerabilità informatiche.
In questo contesto, il Cyber Resilience Act si propone di colmare questa lacuna normativa, stabilendo requisiti minimi di sicurezza informatica per tutti i prodotti con elementi digitali, lungo l’intera filiera di produzione e commercializzazione. La proposta risponde all’evidente necessità di un quadro giuridico che imponga obblighi precisi agli operatori economici, garantendo che i prodotti non solo siano sicuri al momento dell’immissione sul mercato, ma che vengano mantenuti tali attraverso aggiornamenti e gestione delle vulnerabilità.
Il meccanismo di entrata in vigore del Cyber Resilience Act è strutturato in modo progressivo per consentire alle imprese di adeguarsi senza subire eccessivi disagi operativi. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, ma le disposizioni diverranno operative in fasi diverse. I principali obblighi, come la conformità alle misure di sicurezza di base, saranno pienamente applicabili dopo 36 mesi.
Altre disposizioni chiave, come quelle relative agli obblighi di notifica delle vulnerabilità e agli incidenti di sicurezza, entreranno in vigore entro 21 mesi. Infine, le regole più specifiche, che riguardano la sorveglianza del mercato saranno applicabili entro 18 mesi.
Questo meccanismo a tappe risponde alla necessità di dare alle imprese il tempo necessario per adeguarsi alle nuove disposizioni del Cyber Resilience Act e implementare processi e tecnologie in grado di rispettare gli standard di sicurezza informatica imposti dalla normativa.
Oggetto del Regolamento, ambito di applicazione ed esclusioni
Il Cyber Resilience Act ha come obiettivo principale quello di garantire la sicurezza informatica dei prodotti con elementi digitali immessi sul mercato dell’Unione Europea. Il regolamento stabilisce i requisiti essenziali che tali prodotti devono soddisfare per assicurare la protezione contro attacchi informatici e la resilienza dei sistemi informatici coinvolti. L’ambito di applicazione del regolamento è ampio e include qualsiasi prodotto con elementi digitali che venga messo a disposizione sul mercato, sia che si tratti di hardware, software o di componenti di software o hardware, forniti separatamente.
L’articolo 2 del Cyber Resilience Act stabilisce, inoltre, alcune eccezioni significative. In particolare, i prodotti sviluppati o modificati specificamente per la sicurezza nazionale o per la difesa non rientrano nell’ambito di applicazione del Cyber Resilience Act. Tale esclusione è giustificata dalla necessità di rispondere a esigenze particolari di sicurezza che non possono essere adeguatamente coperte dalla normativa generale in materia di prodotti digitali. Altri prodotti esclusi sono quelli progettati per gestire informazioni classificate e quelli sviluppati per scopi personali e non commerciali.
Una distinzione fondamentale riguarda i prodotti che, pur rientrando nella definizione generale di “prodotto con elementi digitali“, sono già soggetti ad altre normative dell’Unione Europea che disciplinano la sicurezza informatica in modo specifico. Tra questi si possono citare, a titolo d’esempio, i dispositivi medici, e i veicoli a motore. In questi casi, il Regolamento non si applicherà direttamente, poiché tali prodotti devono già conformarsi a normative settoriali più specifiche, che stabiliscono requisiti di sicurezza ad hoc.
Requisiti per l’immissione sul mercato dei prodotti con elementi digitali
Il Cyber Resilience Act stabilisce requisiti precisi per l’immissione sul mercato dei prodotti con elementi digitali, al fine di garantire la sicurezza informatica lungo tutto il ciclo di vita del prodotto. Gli articoli 6, 7 e 8 del regolamento, insieme all’Annex I, definiscono in dettaglio le condizioni che i prodotti devono rispettare per essere considerati conformi e sicuri.
L’Articolo 6 dispone che i prodotti con elementi digitali possono essere immessi sul mercato solo se soddisfano i requisiti essenziali di sicurezza elencati nell’Annex I, Parte I, a condizione che siano correttamente installati, mantenuti e utilizzati per lo scopo previsto.
Tali requisiti includono la capacità del prodotto di affrontare in modo efficace le vulnerabilità conosciute e la necessità di poter installare aggiornamenti di sicurezza tempestivi. È inoltre previsto che i processi interni implementati dal produttore siano conformi ai requisiti specifici di sicurezza, garantendo la sicurezza dei dati e delle funzioni sensibili durante l’intero ciclo di vita del prodotto.
L’Articolo 7 introduce il concetto di prodotti importanti con elementi digitali. Questi prodotti, che svolgono funzioni critiche per la sicurezza informatica di altri sistemi, sono soggetti a procedure di valutazione della conformità più stringenti, come previsto dall’articolo 32 del Regolamento. La loro classificazione è basata sui rischi che essi rappresentano per la sicurezza informatica complessiva, e include prodotti utilizzati per la protezione di reti, la gestione di dati sensibili o la prevenzione delle intrusioni.
L’Articolo 8 del Cyber Resilience Act disciplina invece i prodotti critici con elementi digitali, che richiedono una certificazione di sicurezza informatica di livello “sostanziale” o superiore. Tali prodotti, come quelli utilizzati in contesti di infrastrutture essenziali o in settori particolarmente vulnerabili, devono dimostrare una conformità ai requisiti essenziali di sicurezza attraverso un iter di certificazione riconosciuto a livello europeo. Questo meccanismo di certificazione è volto a garantire che i prodotti critici possano offrire un elevato livello di protezione contro gli attacchi informatici.
Obblighi per produttori, importatori e distributori, e per i responsabili di software open source
Il Cyber Resilience Act impone obblighi stringenti a carico di tutti gli operatori economici coinvolti nella commercializzazione di prodotti con elementi digitali. Tali obblighi si applicano a produttori, importatori e distributori, ciascuno dei quali ha responsabilità precise per garantire che i prodotti immessi sul mercato dell’Unione Europea siano conformi ai requisiti di sicurezza previsti dal regolamento.
I produttori sono i principali responsabili della conformità del prodotto. Essi devono assicurare che i loro prodotti con elementi digitali siano progettati, sviluppati e prodotti nel rispetto dei requisiti essenziali di sicurezza informatica, come stabilito nell’Annex I del Cyber Resilience Act. I produttori devono inoltre mantenere una documentazione tecnica dettagliata che dimostri la conformità del prodotto ai requisiti normativi, inclusi i processi adottati per gestire le vulnerabilità.
Un aspetto fondamentale è l’obbligo di garantire la capacità del prodotto di ricevere aggiornamenti di sicurezza tempestivi, e di mantenere tali aggiornamenti disponibili per almeno cinque anni dall’immissione del prodotto sul mercato o per l’intera durata del supporto garantito dal produttore. La mancata gestione delle vulnerabilità sfruttate attivamente o il mancato aggiornamento del prodotto può comportare sanzioni significative.
Gli importatori devono verificare che i prodotti che intendono immettere sul mercato siano conformi ai requisiti del regolamento, assicurandosi che il produttore abbia eseguito correttamente le valutazioni di conformità e che sia disponibile la documentazione tecnica. Gli importatori sono inoltre tenuti a garantire che i prodotti siano accompagnati dalle informazioni necessarie, comprese le istruzioni per l’uso e le avvertenze relative alla sicurezza.
I distributori devono agire con la dovuta diligenza per garantire che i prodotti da loro distribuiti siano conformi ai requisiti essenziali di sicurezza informatica. Devono collaborare con i produttori e gli importatori per assicurarsi che le procedure di conformità siano state seguite e che i prodotti siano sicuri prima della loro commercializzazione.
Un altro aspetto rilevante del Cyber Resilience Act riguarda i responsabili del software open source. Generalmente, i software open source non commerciali, sviluppati da individui o comunità per scopi non economici, sono esclusi dal campo di applicazione del regolamento. Tuttavia, nel momento in cui il software open source è utilizzato nell’ambito di un’attività commerciale, o se è incluso in prodotti con elementi digitali immessi sul mercato, esso rientra nell’ambito di applicazione del regolamento e deve rispettare i requisiti di sicurezza.
Il regolamento introduce inoltre un obbligo di notifica per le vulnerabilità sfruttate attivamente e per gli incidenti gravi che potrebbero compromettere la sicurezza. La notifica è obbligatoria per i produttori in caso di vulnerabilità attivamente sfruttate, e deve essere effettuata entro 24 ore dall’accertamento del fatto. Al contrario, la notifica delle vulnerabilità non sfruttate attivamente è facoltativa, ma fortemente raccomandata per favorire una gestione tempestiva dei rischi informatici.
Procedure di conformità e organismi notificati
I Capitoli III e IV del Cyber Resilience Act disciplinano le procedure di conformità dei prodotti con elementi digitali e le disposizioni relative agli organismi notificati di valutazione della conformità. In particolare, il Capitolo III stabilisce che i produttori devono garantire che i loro prodotti soddisfino i requisiti essenziali di sicurezza previsti dal regolamento prima dell’immissione sul mercato.
Questo processo include la preparazione di una documentazione tecnica che dimostri la conformità del prodotto e la redazione di una dichiarazione di conformità UE. Inoltre, il marchio CE deve essere apposto in modo visibile e leggibile, indicando che il prodotto è conforme agli standard europei.
Il Capitolo IV del Cyber Resilience Act regola la notifica degli organismi di valutazione della conformità, stabilendo che tali organismi devono essere designati dagli Stati membri e soddisfare requisiti specifici di competenza e imparzialità. Gli organismi notificati sono responsabili della verifica della conformità dei prodotti più critici attraverso procedure di controllo approfondite, garantendo che essi rispettino gli standard di sicurezza informatica richiesti. Queste disposizioni mirano a creare un sistema armonizzato a livello europeo per garantire la sicurezza dei prodotti digitali.
Sorveglianza del mercato e sanzioni
Il Capitolo V del Cyber Resilience Act stabilisce il quadro per la sorveglianza del mercato, affidata alle autorità nazionali degli Stati membri, che devono vigilare affinché i prodotti con elementi digitali immessi sul mercato rispettino i requisiti di sicurezza previsti dal regolamento. Le autorità di sorveglianza del mercato hanno il potere di accedere ai dati e alla documentazione dei prodotti, e possono adottare misure correttive, come il ritiro dei prodotti non conformi o pericolosi. Inoltre, le autorità collaborano a livello europeo per assicurare un’applicazione uniforme del regolamento su tutto il territorio dell’Unione.
Quanto al regime sanzionatorio, gli Stati membri dovranno stabilire norme sulle sanzioni applicabili in caso di violazioni del Regolamento, assicurando che le sanzioni siano efficaci, proporzionate e dissuasive. Le sanzioni amministrative previste per la mancata conformità ai requisiti essenziali di sicurezza informatica (Annex I) e agli obblighi di gestione delle vulnerabilità (Articoli 13 e 14 del Cyber Resilience Act ) possono arrivare fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo dell’impresa, a seconda di quale sia maggiore.
Inoltre, per la violazione di altri obblighi, come quelli relativi alla conformità tecnica o alla mancata cooperazione con le autorità di sorveglianza del mercato, le sanzioni possono raggiungere fino a 10 milioni di euro o il 2% del fatturato mondiale annuo. Infine, la fornitura di informazioni errate o incomplete alle autorità può comportare multe fino a 5 milioni di euro o all’1% del fatturato.
Le autorità di sorveglianza possono applicare queste sanzioni in aggiunta ad altre misure correttive, come il ritiro o il divieto di commercializzazione dei prodotti. Questo sistema di sanzioni è stato progettato per garantire che gli operatori economici rispettino rigorosamente i requisiti di sicurezza imposti dal regolamento.
Conclusioni
Il Cyber Resilience Act si pone come una delle normative più incisive per il futuro della sicurezza informatica nell’Unione Europea, con un impatto significativo su circa 4 milioni di imprese che operano nel mercato unico. Questa nuova regolamentazione non solo rafforzerà la resilienza dei prodotti con elementi digitali, ma imporrà standard di sicurezza elevati e uniformi in tutto il territorio dell’UE. La sua portata si estende non solo alle piccole e medie imprese, ma anche alle grandi multinazionali che intendono commercializzare prodotti, o sub-componenti di prodotti, nel mercato europeo.
La normativa avrà un impatto profondo non solo sui produttori, ma anche su importatori e distributori, imponendo loro la responsabilità di assicurare la conformità dei prodotti con le nuove regole di sicurezza informatica.
In questo contesto, ottenere un vantaggio competitivo richiede alle imprese di agire tempestivamente, iniziando fin da ora a comprendere le dinamiche sottese al Cyber Resilience Act e preparandosi ad adeguarsi alle nuove regole.
Una consulenza legale esperta rappresenta un fattore chiave per navigare con successo le complessità della normativa e garantire che l’adeguamento avvenga in modo tempestivo ed efficace. Affrontare per tempo le nuove sfide imposte dal regolamento non solo ridurrà i rischi di sanzioni (assai elevate), ma permetterà alle imprese di distinguersi sul mercato come operatori affidabili e sicuri, migliorando la propria competitività in un contesto sempre più interconnesso e globalizzato.
Lo Studio Legale Avv. Luca D’Agostino a Roma offre servizi di consulenza e assistenza legale in cybersicurezza e sicurezza delle informazioni. Prepara la tua impresa alle disposizioni del Cyber Resilience Act
