da Redazione | Ott 17, 2024 | Diritto d'Impresa, Notizie e Aggiornamenti Legislativi
Il nuovo Regolamento DORA (Digital Operational Resilience Act) introduce sfide rilevanti in materia di compliance finanziaria aziendale, aprendo a nuove forme di responsabilità per gli organi societari. Comprendere le motivazioni e gli obiettivi di tale normativa richiede un’analisi preliminare delle ragioni che hanno spinto la Commissione Europea, seguita dal Parlamento, a intervenire in ambito di sicurezza informatica nel settore finanziario. Si sottolinea che, peraltro, molti enti destinatari del Regolamento DORA, rientrano anche tra i soggetti obbligati ai sensi della Direttiva NIS 2 e del Decreto Legislativo 138/2024; rinviamo sul punto al nostro precedente e specifico approfondimento.
Negli ultimi anni, si è assistito a un significativo aumento degli attacchi informatici diretti verso grandi aziende, in particolare nel settore bancario e finanziario, con esempi emblematici come Unicredit e Intesa SanPaolo, nonché verso amministrazioni pubbliche di rilievo, come l’Agenzia delle Entrate e la Regione Lazio. Tali attacchi causano incidenti di sicurezza con conseguenze non solo per l’impresa o l’ente colpito, ma anche per l’intera comunità e, in alcuni casi, per l’intero Paese.
Le violazioni dei sistemi informatici incidono infatti sulla riservatezza, integrità e disponibilità di dati e informazioni, generando effetti negativi immediati sia per i cittadini, sotto il profilo economico, sia in relazione ai diritti fondamentali garantiti dalla Costituzione, come il diritto alla salute, alla riservatezza e alla tutela del risparmio.
Nell’attuale contesto digitale, le tecnologie dell’informazione e della comunicazione (TIC) costituiscono il pilastro su cui si fondano i principali settori economici, tra cui quello finanziario, e sono essenziali per il buon funzionamento del mercato interno. Tuttavia, l’accresciuto livello di digitalizzazione e interconnessione amplifica i rischi informatici, rendendo la società, e in particolare il sistema finanziario, sempre più vulnerabile a minacce e perturbazioni legate alle TIC.
Questo articolo mira a esaminare i profili giuridici più rilevanti che il Regolamento DORA introduce, offrendo un quadro degli adempimenti che i soggetti obbligati dalla normativa dovranno tenere in considerazione.
Regolamento DORA: entrata in vigore, finalità e soggetti obbligati
Il Regolamento DORA (Digital Operational Resilience Act), entrato formalmente in vigore nel gennaio 2023, diverrà pienamente vincolante a partire dal 17 gennaio 2025. Tale Regolamento mira a rafforzare le misure di sicurezza informatica e la cosiddetta resilienza digitale all’interno del settore finanziario, il quale è particolarmente esposto a attacchi informatici.
L’Unione Europea, riconoscendo la natura strategica di questo settore per la stabilità economica e la libera circolazione di capitali, merci, servizi e persone, ha adottato il DORA come strumento per armonizzare la legislazione degli Stati membri, introducendo standard comuni e obbligatori in tema di sicurezza operativa.
La finalità primaria del DORA è quella di proteggere la competitività e la stabilità finanziaria dell’Unione Europea, uniformando le diverse normative nazionali sotto un insieme di regole condivise, specificamente concepite per la prevenzione e gestione degli attacchi informatici che colpiscono le imprese del settore finanziario. La consapevolezza che le minacce informatiche abbiano una dimensione intrinsecamente transnazionale ha spinto il legislatore europeo a perseguire una politica comune, idonea a contrastare i rischi che superano i confini nazionali.
Il Regolamento DORA si inserisce in un contesto di continuità con precedenti normative europee, come la Direttiva NIS 2, adottando misure rigorose per la gestione del rischio informatico e la protezione dei dati. Tra le disposizioni di maggior rilievo, vi è l’obbligo per gli operatori finanziari di adottare specifici standard per il monitoraggio continuo dell’efficacia dei modelli di resilienza operativa e per la realizzazione di test periodici. Questi test mirano a verificare la capacità delle imprese di rispondere prontamente a incidenti di sicurezza, prevedendo anche l’obbligo di segnalazione tempestiva degli incidenti stessi alle autorità competenti.
Un aspetto centrale del DORA riguarda la conformità dei contratti stipulati con fornitori terzi, soprattutto laddove questi ultimi siano coinvolti nell’utilizzo di tecnologie dell’informazione e della comunicazione (TIC). Questo obbligo di conformità sottolinea l’importanza di garantire che l’intera filiera di partner commerciali rispetti le medesime norme di sicurezza, minimizzando così il rischio di vulnerabilità derivanti da soggetti esterni all’impresa.
Il concetto di resilienza digitale trova piena applicazione all’interno del DORA, definendo la capacità delle aziende del settore finanziario di preservare e garantire la propria integrità operativa sotto il profilo tecnologico. Ciò comporta l’adozione di misure strutturali che assicurino la sicurezza delle reti, dei sistemi informatici e dei dati utilizzati, come stabilito dall’art. 3 del Regolamento.
Dal punto di vista soggettivo, il Regolamento si applica a un’ampia gamma di operatori del mercato finanziario, tra cui banche, imprese assicurative, intermediari finanziari, fondi di investimento, nonché fornitori di cripto-attività e soggetti terzi che forniscono servizi basati sull’uso delle TIC. In tal modo, il DORA copre una vasta pluralità di soggetti operanti nel sistema economico-finanziario, assicurando che ciascuno di essi sia tenuto ad adottare le misure necessarie per garantire la propria resilienza operativa e per proteggere l’intero ecosistema digitale dell’Unione Europea dalle crescenti minacce informatiche.
Regolamento DORA: obblighi di sicurezza e resilienza
Il Regolamento DORA introduce un complesso quadro di obblighi volti a garantire la sicurezza delle reti e dei sistemi informativi delle entità finanziarie, come delineato dall’art. 1. In particolare, il regolamento impone l’adozione di misure uniformi per salvaguardare la continuità operativa delle imprese e prevenire eventuali compromissioni legate alla cybersecurity. Gli obblighi possono essere distinti in due principali categorie: obblighi interni, relativi alla governance e alla gestione dei rischi informatici, e obblighi esterni, che riguardano la notifica di incidenti e minacce alle autorità competenti.
Tra gli obblighi interni, il DORA pone l’accento sulla gestione dei rischi connessi alle tecnologie dell’informazione e della comunicazione (TIC). Le entità finanziarie devono adottare un approccio strutturato alla resilienza operativa digitale, che include l’implementazione di test periodici per verificare la robustezza dei propri sistemi di sicurezza informatica. Questi test devono essere volti a identificare le vulnerabilità nei sistemi e a stabilire misure adeguate per mitigare i rischi, inclusi quelli derivanti da fornitori terzi. La vigilanza sulla sicurezza delle reti e dei dati è un aspetto cruciale, e il regolamento richiede la predisposizione di protocolli per monitorare costantemente la qualità della sicurezza, con particolare riguardo alla catena di fornitura.
Gli obblighi esterni imposti dal DORA riguardano principalmente la notifica alle autorità competenti di qualsiasi incidente grave o minaccia significativa che possa compromettere la sicurezza delle TIC. Questo include incidenti legati alla sicurezza dei sistemi di pagamento e alle infrastrutture finanziarie digitali. Le entità finanziarie devono, inoltre, condividere informazioni rilevanti riguardanti tali incidenti con le autorità designate, al fine di migliorare la resilienza complessiva del settore.
Un altro punto cruciale del Regolamento DORA è la gestione dei rischi legati ai fornitori esterni di servizi TIC. L’art. 25 del Regolamento specifica l’obbligo di garantire che i fornitori con i quali le entità finanziarie collaborano rispettino gli standard di sicurezza imposti dal DORA, minimizzando così il rischio di compromissioni derivanti da soggetti terzi. Le imprese devono inoltre adottare un modello di gestione del rischio che contempli procedure per affrontare le minacce informatiche in modo proattivo ed efficace.
Il regolamento introduce anche il concetto di resilienza operativa digitale, che si riferisce alla capacità dell’impresa di mantenere l’integrità dei propri sistemi tecnologici e operativi di fronte a incidenti di sicurezza informatica. Questa resilienza deve essere garantita attraverso un quadro di gestione globale che includa politiche, strategie, obiettivi e procedure di sicurezza. L’obiettivo è quello di consentire alle imprese di resistere e riprendersi rapidamente da qualsiasi minaccia o vulnerabilità, assicurando la continuità delle operazioni commerciali. In particolare, l’art. 9 del DORA disciplina la continuità operativa (business continuity), mentre gli articoli 10 e 11 trattano il disaster recovery, ossia la capacità di recupero delle imprese in seguito a incidenti gravi.
Le entità finanziarie sono inoltre obbligate a condurre attività di risk management e risk assessment, con lo scopo di individuare e valutare i rischi informatici legati alla gestione, utilizzo e trasferimento dei dati. Questo processo include l’adozione di soluzioni software e hardware adeguate alla natura e complessità dell’ente, che consentano di prevenire la perdita, alterazione, accesso non autorizzato o fuga di informazioni sensibili. Il DORA impone che tale gestione del rischio ricada sotto la responsabilità diretta dell’organo di gestione dell’impresa, il quale è incaricato di predisporre, applicare e monitorare periodicamente il quadro di gestione della sicurezza informatica.
Infine, il Regolamento richiede che tale quadro venga sottoposto a verifiche periodiche da parte di revisori esterni con comprovate competenze nel settore delle TIC, al fine di garantire che le misure adottate siano adeguate e aggiornate rispetto all’evoluzione delle tecnologie e delle minacce informatiche. Questo meccanismo di revisione continua differenzia il DORA da altri modelli normativi, come il Modello 231, conferendo una maggiore dinamicità e adattabilità alle specifiche esigenze del settore finanziario.
Misure di compliance al DORA: gli obblighi c.d. esterni
La seconda parte del Regolamento DORA, in particolare il Capo III, è dedicata agli obblighi esterni che gravano sugli enti finanziari, con particolare riferimento ai processi di segnalazione e reporting verso le autorità di vigilanza nazionali competenti. Tali obblighi mirano a garantire una gestione tempestiva e trasparente degli incidenti informatici, nonché delle criticità significative legate all’uso delle TIC all’interno del settore finanziario.
In primo luogo, il DORA richiede agli enti finanziari di predisporre piani dettagliati di comunicazione delle crisi e di gestione degli incidenti informatici che si verificano. Questi piani devono includere la classificazione delle perdite e degli impatti, tenendo conto della gravità dell’evento e della criticità dei servizi messi a rischio. In base a quanto previsto dagli artt. 15 e ss. del Regolamento, gli enti devono non solo registrare e classificare ogni incidente informatico, ma anche valutare l’impatto potenziale su terzi, come utenti o clienti, in conformità con l’art. 16.
Tale classificazione è essenziale per garantire una risposta adeguata e proporzionata all’entità del rischio e alla potenziale compromissione dei servizi finanziari.
Una volta classificato l’incidente, la comunicazione deve essere inoltrata all’autorità competente, individuata in modo specifico per ciascuna tipologia di ente finanziario dall’art. 41 del DORA. Le autorità di vigilanza, incaricate di monitorare la resilienza operativa degli istituti finanziari, svolgono un ruolo cruciale nel garantire che il sistema finanziario mantenga la propria integrità e continuità operativa. Il processo di segnalazione e reporting è dunque essenziale per identificare eventuali debolezze nel sistema e promuovere misure correttive che rafforzino la resilienza complessiva del mercato finanziario.
Un altro elemento fondamentale del Regolamento DORA è il ruolo attribuito alle Autorità di vigilanza, sia a livello nazionale che europeo. Queste autorità, tra cui spicca l’Autorità Bancaria Europea (EBA), sono incaricate di valutare la resilienza operativa delle entità finanziarie ricadenti sotto la propria giurisdizione. Tale valutazione si basa su un esame approfondito dei piani di resilienza degli enti, della mappatura dei servizi critici, dei sistemi informatici utilizzati e dei contratti stipulati con fornitori terzi che prevedono l’impiego di TIC.
Le autorità hanno il potere di eseguire ispezioni in loco per verificare la conformità degli enti ai requisiti del DORA e assicurarsi che siano state adottate le misure adeguate per prevenire e gestire incidenti informatici.
Le Autorità di vigilanza sono anche responsabili di fornire linee guida e raccomandazioni (best practices) volte ad assistere le entità finanziarie nell’implementazione dei requisiti normativi del DORA. Esse svolgono un ruolo centrale nel promuovere il coordinamento tra le varie autorità nazionali, europee e le forze dell’ordine, per garantire una risposta tempestiva e coordinata alle minacce informatiche. Questo sistema di collaborazione interistituzionale è volto a rafforzare la capacità di risposta del sistema finanziario alle sfide poste dalla crescente digitalizzazione e interconnessione globale.
Inoltre, il DORA conferisce alle Autorità di vigilanza il potere di applicare sanzioni agli enti finanziari che non rispettano i requisiti previsti dal regolamento. Le sanzioni possono variare a seconda della gravità della violazione e mirano a incentivare l’adozione di misure efficaci per garantire la sicurezza operativa e la protezione delle informazioni finanziarie e sensibili. L’imposizione di sanzioni rappresenta uno strumento fondamentale per assicurare il rispetto del quadro normativo e la corretta attuazione delle misure di resilienza operative da parte degli enti.
Le sanzioni del Regolamento DORA
Il Regolamento DORA introduce un articolato sistema sanzionatorio volto a garantire il rispetto delle misure di resilienza operativa e di sicurezza informatica imposte alle entità finanziarie. Gli artt. 50 e 51 del Regolamento delineano una serie di sanzioni amministrative che possono essere applicate in caso di violazione delle disposizioni normative. Tra le misure più rilevanti, figurano sanzioni pecuniarie che possono raggiungere fino a 10 milioni di euro o, alternativamente, fino al 5% del fatturato annuo complessivo dell’ente finanziario, a seconda di quale cifra risulti più elevata. Queste sanzioni sono accompagnate da una gamma di misure correttive, come richiami pubblici, la revoca delle autorizzazioni all’esercizio dell’attività e l’obbligo di risarcimento dei danni causati.
Tuttavia, il DORA lascia agli Stati membri la facoltà di adottare un approccio più severo, prevedendo anche sanzioni penali per determinate violazioni. Questo margine di discrezionalità consente agli ordinamenti nazionali di stabilire un regime sanzionatorio che possa comprendere misure di carattere penale, qualora la gravità della violazione lo giustifichi. In particolare, l’art. 52 del Regolamento specifica che gli Stati membri possono scegliere di non adottare sanzioni amministrative per violazioni che, nel diritto interno, sono già passibili di sanzioni penali.
Questa scelta mira ad evitare il cumulo di sanzioni per lo stesso fatto, scongiurando così il rischio di violazioni del principio del ne bis in idem, principio cardine del diritto sanzionatorio europeo che vieta la punizione di un individuo per lo stesso reato più di una volta.
Il secondo paragrafo dell’art. 52 sottolinea che, qualora uno Stato membro opti per l’imposizione di sanzioni penali in caso di violazioni del Regolamento DORA, le autorità di vigilanza nazionali devono essere dotate di tutti i poteri e le competenze necessari per collaborare efficacemente con le autorità giudiziarie competenti. Questo aspetto evidenzia l’importanza di una cooperazione stretta e coordinata tra le autorità di vigilanza finanziaria e gli organi giudiziari, al fine di garantire l’effettiva applicazione delle norme del DORA e assicurare che le violazioni siano trattate con la massima serietà.
In sostanza, il sistema sanzionatorio previsto dal DORA riflette l’intento del legislatore europeo di garantire che le entità finanziarie rispettino rigorosamente le misure di sicurezza e resilienza digitale. La possibilità di combinare sanzioni amministrative e penali dimostra la gravità con cui vengono trattate le violazioni nel settore finanziario, rafforzando la necessità di un’adeguata compliance da parte delle imprese e promuovendo una maggiore responsabilizzazione degli organi aziendali.
Conclusioni
L’entrata in vigore delle disposizioni del Regolamento DORA il 17 gennaio 2025 rappresenta una scadenza fondamentale per tutte le entità finanziarie soggette a questa normativa. A partire da tale data, le misure di resilienza digitale e sicurezza informatica diventeranno pienamente applicabili, rendendo imprescindibile un adeguamento tempestivo e rigoroso da parte degli operatori del settore.
Le misure di compliance previste dal Regolamento includono l’adozione di un quadro di gestione dei rischi informatici, l’attuazione di test periodici per verificare la resilienza operativa e la conformità dei contratti con fornitori terzi alle norme di sicurezza informatica. Le imprese devono inoltre predisporre piani di comunicazione per la gestione degli incidenti, monitorare costantemente la sicurezza delle TIC utilizzate e garantire la segnalazione tempestiva alle autorità competenti in caso di incidenti gravi. Il rispetto di queste misure non solo consentirà alle entità finanziarie di migliorare la loro capacità di affrontare le minacce informatiche, ma anche di garantire la continuità dei servizi e la protezione dei dati sensibili.
È essenziale, inoltre, che anche i fornitori delle entità soggette al DORA comprendano la portata degli obblighi imposti dal Regolamento. Pur non essendo direttamente obbligati, i fornitori che offrono servizi critici basati sull’uso delle TIC saranno comunque gravati da responsabilità indirette per garantire che le entità finanziarie rispettino gli standard di sicurezza e resilienza imposti dal DORA.
In questo contesto, l’assistenza di una consulenza legale esperta diventa cruciale non solo per i soggetti direttamente obbligati dal Regolamento DORA, ma anche per i loro fornitori. Un supporto legale qualificato può garantire che tutti i processi di adeguamento siano conformi alle disposizioni del Regolamento, prevenendo così potenziali violazioni e contribuendo a creare un sistema sicuro e resiliente, capace di affrontare le sfide del panorama digitale e finanziario attuale.
da Redazione | Ott 16, 2024 | Diritto civile, Diritto d'Impresa, Diritto Penale, Notizie e Aggiornamenti Legislativi
La sostenibilità rappresenta ormai un pilastro fondamentale per le imprese, in particolare alla luce delle nuove normative dell’Unione Europea volte a regolare l’impatto delle attività aziendali sui diritti umani e sull’ambiente. Ne abbiamo già discusso in un precedente articolo.
In questo contesto, la Direttiva (UE) 2024/1760, meglio nota come Corporate Sustainability Due Diligence Directive (CSDDD), impone un dovere di diligenza alle imprese di grandi dimensioni per garantire che le loro attività e quelle dei loro partner commerciali siano in linea con gli obiettivi di sostenibilità ambientale e sociale.
La Direttiva introduce obblighi chiari e vincolanti, che richiedono alle società di identificare, prevenire e mitigare i potenziali impatti negativi lungo l’intera catena di valore. La sostenibilità diventa così non solo un obiettivo etico e strategico, ma anche un imperativo normativo, la cui non osservanza può comportare significative sanzioni e responsabilità civili. L’Unione Europea, con questa direttiva, intende promuovere una trasformazione profonda delle pratiche aziendali, allineandole agli accordi internazionali come l’Accordo di Parigi, con l’obiettivo di ridurre le emissioni di gas a effetto serra e di tutelare i diritti umani nelle operazioni globali delle imprese.
Attraverso un quadro giuridico armonizzato, la CSDDD segna un passo decisivo verso un’economia più sostenibile e responsabile, dove la trasparenza e la conformità rappresentano strumenti chiave per favorire una gestione aziendale attenta agli impatti sociali e ambientali. Tale normativa richiede un adeguamento significativo delle politiche interne delle imprese e l’adozione di piani di transizione verso una sostenibilità integrale.
Chi sono i destinatari della Direttiva sulla sostenibilità?
La Corporate Sustainability Due Diligence Directive trova applicazione su un’ampia gamma di imprese, sia costituite all’interno dell’Unione Europea sia operanti nel mercato europeo pur avendo sede legale in paesi terzi. In particolare, la direttiva è vincolante per tutte le società che, nel corso dell’ultimo esercizio finanziario, hanno avuto più di 1.000 dipendenti e un fatturato netto globale superiore a 450 milioni di euro.
Questo parametro tiene conto non solo delle attività svolte direttamente dalla società, ma anche di quelle delle sue filiazioni e dei suoi partner commerciali lungo l’intera catena di valore. Ciò implica che le imprese devono monitorare non solo le loro operazioni interne, ma anche le pratiche adottate dai soggetti con cui collaborano, estendendo così l’obbligo di sostenibilità in modo capillare.
Le disposizioni della direttiva si applicano anche alle società capogruppo che esercitano un controllo su altre entità e che rientrano nei requisiti di dimensione previsti. È altresì importante sottolineare che l’applicazione si estende alle imprese costituite in paesi terzi, a condizione che esse generino un fatturato netto significativo nell’Unione Europea. In particolare, la soglia stabilita per le imprese extra-europee è di 450 milioni di euro di fatturato nell’ultimo esercizio finanziario. Questo aspetto è cruciale, poiché garantisce che le imprese non possano eludere gli obblighi di sostenibilità semplicemente trasferendo la loro sede legale al di fuori dell’Unione, pur continuando a operare nel mercato europeo.
L’obiettivo principale della direttiva è creare un quadro normativo uniforme, assicurando che tutte le imprese con una presenza economica significativa nel mercato europeo, indipendentemente dalla loro sede legale, siano tenute a rispettare gli stessi standard in materia di sostenibilità e responsabilità sociale. Questo favorisce una concorrenza leale tra le imprese e promuove una cultura aziendale orientata alla tutela dell’ambiente e dei diritti umani.
Quando entrerà in vigore la Direttiva sulla sostenibilità?
L’entrata in vigore della CSDDD è scaglionata in diverse fasi, a seconda della dimensione e della tipologia delle imprese coinvolte. Gli Stati membri sono tenuti a recepire la direttiva entro il 26 luglio 2026, data entro la quale dovranno adottare le misure legislative necessarie. Tuttavia, gli obblighi per le imprese entreranno in vigore in maniera progressiva.
Le società con più di 5.000 dipendenti e un fatturato netto superiore a 1,5 miliardi di euro a livello mondiale saranno soggette alla normativa a partire dal 26 luglio 2027. Per le imprese con più di 3.000 dipendenti e un fatturato superiore a 900 milioni di euro, gli obblighi scatteranno dal 26 luglio 2028. Le società di paesi terzi che generano un fatturato significativo nell’Unione, pari a oltre 1,5 miliardi di euro, dovranno conformarsi anch’esse dal 26 luglio 2027, mentre quelle con un fatturato superiore a 900 milioni di euro avranno tempo fino al 26 luglio 2028.
Infine, tutte le altre imprese non rientranti nelle precedenti categorie, inclusi i gruppi più piccoli che operano con modalità di franchising o licenza, dovranno conformarsi agli obblighi previsti dalla direttiva a partire dal 26 luglio 2029. Questo approccio graduale consente alle imprese di adattarsi progressivamente alle nuove norme, in base alla loro dimensione e alla complessità delle loro operazioni.
Obblighi Principali per le Imprese: la due diligence per la sostenibilità
Il cuore della Corporate Sustainability Due Diligence Directive risiede nell’obbligo imposto alle imprese di esercitare un dovere di diligenza accurato e continuo, volto a prevenire, mitigare e, se necessario, porre rimedio agli impatti negativi delle loro attività sui diritti umani e sull’ambiente. Questo dovere si estende non solo alle attività dirette dell’impresa, ma anche a quelle delle sue filiazioni e dei partner commerciali, lungo l’intera catena di valore. La sostenibilità, quindi, diventa un principio guida per tutte le fasi delle operazioni aziendali.
Le imprese sono chiamate a implementare una serie di misure volte a integrare il dovere di diligenza all’interno delle loro politiche e sistemi di gestione. In particolare, devono adottare politiche di sostenibilità ben definite, che prevedano l’individuazione e la valutazione di potenziali impatti negativi legati ai diritti umani o all’ambiente. L’individuazione degli impatti non può essere limitata alla sola attività dell’impresa, ma deve estendersi a tutte le entità collegate, incluse le filiazioni e i partner lungo la catena di fornitura.
In base agli articoli centrali della direttiva, le imprese devono adottare tutte le misure necessarie per prevenire o, laddove non sia possibile, attenuare tali impatti. Questo può includere l’adozione di piani d’azione correttivi, investimenti finanziari per migliorare i processi produttivi, la richiesta di garanzie contrattuali ai partner commerciali e, nei casi più gravi, la cessazione dei rapporti d’affari con i soggetti che contribuiscono agli impatti negativi.
Inoltre, la direttiva impone alle imprese di stabilire e mantenere un dialogo significativo con le parti interessate, compresi i lavoratori, le comunità locali e le organizzazioni non governative, al fine di garantire che gli impatti negativi siano affrontati in maniera partecipata e trasparente. Parte integrante di questo processo è la creazione di un meccanismo di reclamo che consenta a chiunque subisca danni causati dalle attività dell’impresa di presentare una denuncia.
Le imprese devono, infine, monitorare e comunicare pubblicamente l’efficacia delle loro politiche di sostenibilità. L’obbligo di trasparenza impone la pubblicazione di rapporti regolari che documentino i progressi compiuti nel prevenire e mitigare gli impatti negativi, rafforzando così la fiducia degli stakeholder e contribuendo al raggiungimento degli obiettivi di sostenibilità fissati dalla direttiva.
Lotta ai Cambiamenti Climatici e Piano di Transizione
Uno degli aspetti più innovativi della Corporate Sustainability Due Diligence Directive riguarda l’obbligo per le imprese di adottare un piano di transizione volto alla mitigazione dei cambiamenti climatici. La direttiva stabilisce che le società di grandi dimensioni, oltre a integrare la sostenibilità nelle loro politiche aziendali, devono impegnarsi attivamente nella lotta al cambiamento climatico, in linea con l’Accordo di Parigi e gli obiettivi di neutralità climatica dell’Unione Europea.
Il piano di transizione deve garantire che le strategie aziendali siano compatibili con l’obiettivo di limitare l’aumento della temperatura globale a 1,5 °C e di raggiungere la neutralità climatica entro il 2050, come stabilito dal regolamento (UE) 2021/1119.
Le imprese devono fissare obiettivi chiari e temporalmente definiti per la riduzione delle emissioni di gas a effetto serra, con tappe intermedie da raggiungere entro il 2030. Tali obiettivi non riguardano soltanto le emissioni dirette dell’impresa (ambiti 1 e 2), ma anche le emissioni indirette lungo la catena di fornitura (ambito 3). La direttiva richiede, inoltre, che le imprese identifichino le principali leve di decarbonizzazione, compresa la revisione dei loro portafogli di prodotti e servizi e l’adozione di nuove tecnologie più sostenibili.
Un aspetto cruciale è la trasparenza degli investimenti e dei finanziamenti destinati a sostenere l’attuazione del piano di transizione. Le imprese devono, infatti, fornire una chiara spiegazione e quantificazione delle risorse allocate per garantire il raggiungimento degli obiettivi climatici. Inoltre, il piano di transizione deve prevedere un ruolo attivo degli organi di amministrazione, gestione e controllo, i quali sono chiamati a supervisionare e guidare il processo di decarbonizzazione.
In questo modo, la sostenibilità climatica diventa non solo un obiettivo strategico, ma un obbligo normativo che richiede alle imprese di operare in maniera responsabile, allineandosi agli obiettivi globali per il clima.
Sostenibilità, ruolo delle Autorità e obblighi di reporting
La Corporate Sustainability Due Diligence Directive attribuisce un ruolo centrale alle autorità di controllo, incaricate di vigilare sull’attuazione e sul rispetto degli obblighi imposti alle imprese dalla normativa. Gli Stati membri dell’Unione Europea sono tenuti a designare una o più autorità di controllo nazionali, le quali devono monitorare con attenzione le attività delle imprese che rientrano nell’ambito di applicazione della direttiva, assicurandosi che esse rispettino i principi di sostenibilità e responsabilità sociale.
Le autorità di controllo hanno il compito di valutare l’efficacia delle misure adottate dalle imprese per identificare e mitigare gli impatti negativi su diritti umani e ambiente. Tra i loro poteri rientrano l’ispezione, la richiesta di informazioni e la possibilità di imporre sanzioni in caso di violazioni. Le sanzioni possono includere multe significative, fino al 5% del fatturato netto globale dell’impresa, a seconda della gravità della violazione, nonché la pubblicazione di dichiarazioni che identificano le imprese non conformi.
Un altro aspetto cruciale della direttiva riguarda gli obblighi di reporting. Le imprese sono tenute a redigere rapporti periodici che documentino le azioni intraprese per prevenire, attenuare e riparare gli impatti negativi identificati. Tali rapporti devono essere resi pubblici e accessibili, garantendo così la trasparenza nei confronti degli stakeholder e delle autorità di controllo. Il rispetto degli obblighi di reporting è essenziale per assicurare che le imprese operino in modo conforme e responsabile, mantenendo un dialogo costante con le parti interessate e dimostrando il loro impegno verso la sostenibilità.
Il sistema di controllo e monitoraggio previsto dalla direttiva mira quindi a rafforzare la fiducia nel mercato europeo, creando un quadro regolatorio trasparente che incentivi le imprese a migliorare continuamente le proprie performance in materia di sostenibilità e responsabilità sociale.
Obblighi di sostenibilità: sanzioni e responsabilità civile per le imprese
La Corporate Sustainability Due Diligence Directive introduce un quadro di sanzioni rigorose per garantire che le imprese rispettino gli obblighi derivanti dalla normativa. Le sanzioni previste dalla direttiva, che devono essere adottate dagli Stati membri, hanno l’obiettivo di essere effettive, proporzionate e dissuasive. Le autorità di controllo nazionali hanno il potere di imporre sanzioni pecuniarie significative, calcolate sulla base del fatturato netto globale dell’impresa. Le multe possono raggiungere fino al 5% del fatturato netto globale dell’esercizio precedente, una cifra che mira a dissuadere in maniera efficace le imprese dal violare gli obblighi di diligenza in materia di sostenibilità.
Le violazioni che possono comportare l’applicazione di sanzioni riguardano principalmente la mancata identificazione, prevenzione e mitigazione degli impatti negativi sui diritti umani e sull’ambiente. Le imprese che non ottemperano alle disposizioni relative alla redazione di rapporti di sostenibilità o che non rispettano i termini dei piani di transizione verso la mitigazione dei cambiamenti climatici sono soggette a sanzioni. Oltre alle multe, le autorità di controllo possono adottare misure aggiuntive, come la pubblicazione di dichiarazioni ufficiali che identificano pubblicamente le imprese responsabili delle violazioni, contribuendo così a danneggiare la reputazione aziendale a livello globale.
Un aspetto centrale della direttiva è l’introduzione della responsabilità civile per le imprese, che permette a persone fisiche o giuridiche di richiedere il risarcimento dei danni subiti a causa di una violazione degli obblighi di diligenza da parte dell’impresa. Le imprese possono essere ritenute responsabili per i danni causati da omissioni o atti intenzionali o negligenti relativi alla mancata adozione di misure preventive o correttive, in particolare se tali violazioni sono correlate a diritti protetti dalla legislazione nazionale o europea.
La responsabilità civile è particolarmente rilevante nel contesto delle catene di valore, dove le imprese possono essere chiamate a rispondere anche per i danni causati dai loro partner commerciali. Tuttavia, la direttiva prevede che le imprese non siano responsabili se dimostrano di aver adottato tutte le misure adeguate per prevenire tali impatti, inclusa la richiesta di garanzie contrattuali ai partner commerciali, la supervisione delle loro attività e l’attuazione di meccanismi di controllo efficaci. In questi casi, la responsabilità può essere condivisa con i partner commerciali, in una logica di corresponsabilità lungo la catena di fornitura.
Un altro punto di rilievo riguarda i termini di prescrizione. La direttiva prevede che i termini per l’avvio di procedimenti per il risarcimento dei danni non siano eccessivamente restrittivi e che, in ogni caso, non siano inferiori a cinque anni. Questo mira a garantire che le vittime di violazioni, siano esse comunità locali, lavoratori o altre parti interessate, abbiano il tempo sufficiente per raccogliere prove e presentare le loro richieste di risarcimento. Inoltre, la direttiva stabilisce che, in caso di controversie, i tribunali nazionali abbiano il potere di ordinare la divulgazione di prove rilevanti da parte delle imprese, purché tali richieste siano proporzionate e non ledano eccessivamente gli interessi legittimi delle parti.
La combinazione di sanzioni pecuniarie, pubbliche e di responsabilità civile mira a creare un sistema di enforcement robusto, capace di incentivare le imprese ad aderire ai principi di sostenibilità e a gestire in modo responsabile gli impatti delle loro attività. Questo approccio rafforza il quadro normativo europeo in materia di diritti umani e ambiente, offrendo alle imprese un chiaro incentivo a migliorare la loro governance e a ridurre i rischi legati alla sostenibilità.
Conclusioni
La CSDDD rappresenta un passaggio fondamentale nel rafforzamento della sostenibilità aziendale e nella promozione di una gestione responsabile delle attività economiche all’interno dell’Unione Europea. Con l’introduzione di obblighi stringenti in materia di diritti umani e ambiente, la direttiva mira a garantire che le imprese, sia europee sia extraeuropee, operino nel rispetto di standard elevati, contribuendo così a costruire un’economia più sostenibile e inclusiva. La normativa richiede alle imprese di adottare misure concrete per individuare e mitigare gli impatti negativi delle loro attività, promuovendo una trasformazione radicale delle loro operazioni lungo l’intera catena di valore.
Il complesso quadro regolatorio introdotto dalla direttiva pone sfide significative per le imprese, che devono adattarsi rapidamente e garantire una piena conformità agli obblighi di diligenza. La mancata osservanza di tali obblighi può comportare sanzioni rilevanti e rischi di responsabilità civile, rendendo indispensabile una gestione attenta e consapevole dei rischi legati alla sostenibilità. In questo contesto, è cruciale che le imprese si dotino di strumenti adeguati per affrontare tali sfide, non solo nel breve termine, ma anche con una visione di medio-lungo periodo.
In particolare, per assicurare una piena conformità normativa e una gestione efficace dei rischi, risulta fondamentale affidarsi a una consulenza legale esperta, capace di guidare le imprese nella costruzione di una strategia di conformità solida e sostenibile. Lo Studio Legale D’Agostino, con la sua vasta esperienza nei processi aziendali, offre un supporto essenziale per le imprese che desiderano allinearsi agli obblighi imposti dalla direttiva, riducendo al minimo i rischi legali e migliorando le proprie performance in materia di sostenibilità. Grazie a un approccio integrato e su misura, lo studio è in grado di assistere le aziende nella creazione di politiche di sostenibilità che non solo rispettino le normative, ma che rappresentino anche un vantaggio competitivo nel contesto globale.
da Redazione | Ott 15, 2024 | Diritto d'Impresa, Notizie e Aggiornamenti Legislativi
Il Cyber Resilience Act rappresenta una delle normative più rilevanti nell’ambito della sicurezza informatica dell’Unione Europea, destinata a incidere profondamente su tutti gli operatori economici che immettono sul mercato prodotti con elementi digitali. La proposta di Regolamento, passata al Parlamento Europeo, è stata approvata definitivamente dal Consiglio lo scorso 10 ottobre (vedi Comunicato stampa). L’atto sarà pubblicato ufficialmente in Gazzetta nelle prossime settimane, dopo la firma congiunta da parte dei Presidenti del Parlamento e del Consiglio. Scarica qui il testo approvato: Cyber Resilience Act_text_EN
Questa normativa avrà un impatto considerevole sul mercato unico europeo, interessando un numero stimato di circa 4 milioni di imprese. Tali imprese, appartenenti a diversi settori della filiera di commercializzazione, dovranno conformarsi ai requisiti di sicurezza imposti dal regolamento.
L’obiettivo centrale del Cyber Resilience Act è quello di introdurre requisiti essenziali di sicurezza informatica per garantire la protezione delle infrastrutture digitali e la resilienza delle tecnologie utilizzate in tutta l’Unione Europea.
Questo regolamento, concepito per rispondere alle crescenti minacce cyber, si inserisce in un contesto normativo che mira a rafforzare la sicurezza informatica su vasta scala, estendendo i suoi effetti a un’ampia gamma di settori economici, compresi quelli che utilizzano software open source. Attraverso l’introduzione di obblighi specifici per i diversi operatori della filiera, il Cyber Resilience Act intende garantire che tutti i prodotti digitali commercializzati siano conformi a standard elevati di sicurezza.
Il presente articolo si propone di esaminare in modo approfondito la struttura del Cyber Resilience Act, analizzando i destinatari della normativa, gli obblighi posti in capo agli operatori economici, le procedure di sorveglianza del mercato e le sanzioni previste per la mancata conformità. Particolare attenzione sarà dedicata alla descrizione delle disposizioni normative che regolano l’immissione sul mercato dei prodotti digitali, nonché agli obblighi di conformità che gli operatori dovranno rispettare per evitare onerose sanzioni pecuniarie.
Perché il Cyber Resilience Act? Quando entrerà in vigore?
Il Cyber Resilience Act rappresenta una risposta necessaria e proporzionata alle sfide poste dal panorama digitale attuale, caratterizzato da una crescente interconnessione dei dispositivi e da una vulnerabilità strutturale dei prodotti con elementi digitali.
L’Unione Europea ha ritenuto che le normative esistenti, come il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Direttiva NIS, non fossero sufficienti a fronteggiare le minacce emergenti legate alla sicurezza dei prodotti digitali. Sebbene queste normative abbiano posto le basi per la protezione dei dati e la sicurezza delle reti, mancava una regolamentazione dedicata a garantire che i prodotti immessi sul mercato fossero sicuri, resilienti e in grado di fronteggiare le vulnerabilità informatiche.
In questo contesto, il Cyber Resilience Act si propone di colmare questa lacuna normativa, stabilendo requisiti minimi di sicurezza informatica per tutti i prodotti con elementi digitali, lungo l’intera filiera di produzione e commercializzazione. La proposta risponde all’evidente necessità di un quadro giuridico che imponga obblighi precisi agli operatori economici, garantendo che i prodotti non solo siano sicuri al momento dell’immissione sul mercato, ma che vengano mantenuti tali attraverso aggiornamenti e gestione delle vulnerabilità.
Il meccanismo di entrata in vigore del Cyber Resilience Act è strutturato in modo progressivo per consentire alle imprese di adeguarsi senza subire eccessivi disagi operativi. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, ma le disposizioni diverranno operative in fasi diverse. I principali obblighi, come la conformità alle misure di sicurezza di base, saranno pienamente applicabili dopo 36 mesi.
Altre disposizioni chiave, come quelle relative agli obblighi di notifica delle vulnerabilità e agli incidenti di sicurezza, entreranno in vigore entro 21 mesi. Infine, le regole più specifiche, che riguardano la sorveglianza del mercato saranno applicabili entro 18 mesi.
Questo meccanismo a tappe risponde alla necessità di dare alle imprese il tempo necessario per adeguarsi alle nuove disposizioni del Cyber Resilience Act e implementare processi e tecnologie in grado di rispettare gli standard di sicurezza informatica imposti dalla normativa.
Oggetto del Regolamento, ambito di applicazione ed esclusioni
Il Cyber Resilience Act ha come obiettivo principale quello di garantire la sicurezza informatica dei prodotti con elementi digitali immessi sul mercato dell’Unione Europea. Il regolamento stabilisce i requisiti essenziali che tali prodotti devono soddisfare per assicurare la protezione contro attacchi informatici e la resilienza dei sistemi informatici coinvolti. L’ambito di applicazione del regolamento è ampio e include qualsiasi prodotto con elementi digitali che venga messo a disposizione sul mercato, sia che si tratti di hardware, software o di componenti di software o hardware, forniti separatamente.
L’articolo 2 del Cyber Resilience Act stabilisce, inoltre, alcune eccezioni significative. In particolare, i prodotti sviluppati o modificati specificamente per la sicurezza nazionale o per la difesa non rientrano nell’ambito di applicazione del Cyber Resilience Act. Tale esclusione è giustificata dalla necessità di rispondere a esigenze particolari di sicurezza che non possono essere adeguatamente coperte dalla normativa generale in materia di prodotti digitali. Altri prodotti esclusi sono quelli progettati per gestire informazioni classificate e quelli sviluppati per scopi personali e non commerciali.
Una distinzione fondamentale riguarda i prodotti che, pur rientrando nella definizione generale di “prodotto con elementi digitali“, sono già soggetti ad altre normative dell’Unione Europea che disciplinano la sicurezza informatica in modo specifico. Tra questi si possono citare, a titolo d’esempio, i dispositivi medici, e i veicoli a motore. In questi casi, il Regolamento non si applicherà direttamente, poiché tali prodotti devono già conformarsi a normative settoriali più specifiche, che stabiliscono requisiti di sicurezza ad hoc.
Requisiti per l’immissione sul mercato dei prodotti con elementi digitali
Il Cyber Resilience Act stabilisce requisiti precisi per l’immissione sul mercato dei prodotti con elementi digitali, al fine di garantire la sicurezza informatica lungo tutto il ciclo di vita del prodotto. Gli articoli 6, 7 e 8 del regolamento, insieme all’Annex I, definiscono in dettaglio le condizioni che i prodotti devono rispettare per essere considerati conformi e sicuri.
L’Articolo 6 dispone che i prodotti con elementi digitali possono essere immessi sul mercato solo se soddisfano i requisiti essenziali di sicurezza elencati nell’Annex I, Parte I, a condizione che siano correttamente installati, mantenuti e utilizzati per lo scopo previsto.
Tali requisiti includono la capacità del prodotto di affrontare in modo efficace le vulnerabilità conosciute e la necessità di poter installare aggiornamenti di sicurezza tempestivi. È inoltre previsto che i processi interni implementati dal produttore siano conformi ai requisiti specifici di sicurezza, garantendo la sicurezza dei dati e delle funzioni sensibili durante l’intero ciclo di vita del prodotto.
L’Articolo 7 introduce il concetto di prodotti importanti con elementi digitali. Questi prodotti, che svolgono funzioni critiche per la sicurezza informatica di altri sistemi, sono soggetti a procedure di valutazione della conformità più stringenti, come previsto dall’articolo 32 del Regolamento. La loro classificazione è basata sui rischi che essi rappresentano per la sicurezza informatica complessiva, e include prodotti utilizzati per la protezione di reti, la gestione di dati sensibili o la prevenzione delle intrusioni.
L’Articolo 8 del Cyber Resilience Act disciplina invece i prodotti critici con elementi digitali, che richiedono una certificazione di sicurezza informatica di livello “sostanziale” o superiore. Tali prodotti, come quelli utilizzati in contesti di infrastrutture essenziali o in settori particolarmente vulnerabili, devono dimostrare una conformità ai requisiti essenziali di sicurezza attraverso un iter di certificazione riconosciuto a livello europeo. Questo meccanismo di certificazione è volto a garantire che i prodotti critici possano offrire un elevato livello di protezione contro gli attacchi informatici.
Obblighi per produttori, importatori e distributori, e per i responsabili di software open source
Il Cyber Resilience Act impone obblighi stringenti a carico di tutti gli operatori economici coinvolti nella commercializzazione di prodotti con elementi digitali. Tali obblighi si applicano a produttori, importatori e distributori, ciascuno dei quali ha responsabilità precise per garantire che i prodotti immessi sul mercato dell’Unione Europea siano conformi ai requisiti di sicurezza previsti dal regolamento.
I produttori sono i principali responsabili della conformità del prodotto. Essi devono assicurare che i loro prodotti con elementi digitali siano progettati, sviluppati e prodotti nel rispetto dei requisiti essenziali di sicurezza informatica, come stabilito nell’Annex I del Cyber Resilience Act. I produttori devono inoltre mantenere una documentazione tecnica dettagliata che dimostri la conformità del prodotto ai requisiti normativi, inclusi i processi adottati per gestire le vulnerabilità.
Un aspetto fondamentale è l’obbligo di garantire la capacità del prodotto di ricevere aggiornamenti di sicurezza tempestivi, e di mantenere tali aggiornamenti disponibili per almeno cinque anni dall’immissione del prodotto sul mercato o per l’intera durata del supporto garantito dal produttore. La mancata gestione delle vulnerabilità sfruttate attivamente o il mancato aggiornamento del prodotto può comportare sanzioni significative.
Gli importatori devono verificare che i prodotti che intendono immettere sul mercato siano conformi ai requisiti del regolamento, assicurandosi che il produttore abbia eseguito correttamente le valutazioni di conformità e che sia disponibile la documentazione tecnica. Gli importatori sono inoltre tenuti a garantire che i prodotti siano accompagnati dalle informazioni necessarie, comprese le istruzioni per l’uso e le avvertenze relative alla sicurezza.
I distributori devono agire con la dovuta diligenza per garantire che i prodotti da loro distribuiti siano conformi ai requisiti essenziali di sicurezza informatica. Devono collaborare con i produttori e gli importatori per assicurarsi che le procedure di conformità siano state seguite e che i prodotti siano sicuri prima della loro commercializzazione.
Un altro aspetto rilevante del Cyber Resilience Act riguarda i responsabili del software open source. Generalmente, i software open source non commerciali, sviluppati da individui o comunità per scopi non economici, sono esclusi dal campo di applicazione del regolamento. Tuttavia, nel momento in cui il software open source è utilizzato nell’ambito di un’attività commerciale, o se è incluso in prodotti con elementi digitali immessi sul mercato, esso rientra nell’ambito di applicazione del regolamento e deve rispettare i requisiti di sicurezza.
Il regolamento introduce inoltre un obbligo di notifica per le vulnerabilità sfruttate attivamente e per gli incidenti gravi che potrebbero compromettere la sicurezza. La notifica è obbligatoria per i produttori in caso di vulnerabilità attivamente sfruttate, e deve essere effettuata entro 24 ore dall’accertamento del fatto. Al contrario, la notifica delle vulnerabilità non sfruttate attivamente è facoltativa, ma fortemente raccomandata per favorire una gestione tempestiva dei rischi informatici.
Procedure di conformità e organismi notificati
I Capitoli III e IV del Cyber Resilience Act disciplinano le procedure di conformità dei prodotti con elementi digitali e le disposizioni relative agli organismi notificati di valutazione della conformità. In particolare, il Capitolo III stabilisce che i produttori devono garantire che i loro prodotti soddisfino i requisiti essenziali di sicurezza previsti dal regolamento prima dell’immissione sul mercato.
Questo processo include la preparazione di una documentazione tecnica che dimostri la conformità del prodotto e la redazione di una dichiarazione di conformità UE. Inoltre, il marchio CE deve essere apposto in modo visibile e leggibile, indicando che il prodotto è conforme agli standard europei.
Il Capitolo IV del Cyber Resilience Act regola la notifica degli organismi di valutazione della conformità, stabilendo che tali organismi devono essere designati dagli Stati membri e soddisfare requisiti specifici di competenza e imparzialità. Gli organismi notificati sono responsabili della verifica della conformità dei prodotti più critici attraverso procedure di controllo approfondite, garantendo che essi rispettino gli standard di sicurezza informatica richiesti. Queste disposizioni mirano a creare un sistema armonizzato a livello europeo per garantire la sicurezza dei prodotti digitali.
Sorveglianza del mercato e sanzioni
Il Capitolo V del Cyber Resilience Act stabilisce il quadro per la sorveglianza del mercato, affidata alle autorità nazionali degli Stati membri, che devono vigilare affinché i prodotti con elementi digitali immessi sul mercato rispettino i requisiti di sicurezza previsti dal regolamento. Le autorità di sorveglianza del mercato hanno il potere di accedere ai dati e alla documentazione dei prodotti, e possono adottare misure correttive, come il ritiro dei prodotti non conformi o pericolosi. Inoltre, le autorità collaborano a livello europeo per assicurare un’applicazione uniforme del regolamento su tutto il territorio dell’Unione.
Quanto al regime sanzionatorio, gli Stati membri dovranno stabilire norme sulle sanzioni applicabili in caso di violazioni del Regolamento, assicurando che le sanzioni siano efficaci, proporzionate e dissuasive. Le sanzioni amministrative previste per la mancata conformità ai requisiti essenziali di sicurezza informatica (Annex I) e agli obblighi di gestione delle vulnerabilità (Articoli 13 e 14 del Cyber Resilience Act ) possono arrivare fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo dell’impresa, a seconda di quale sia maggiore.
Inoltre, per la violazione di altri obblighi, come quelli relativi alla conformità tecnica o alla mancata cooperazione con le autorità di sorveglianza del mercato, le sanzioni possono raggiungere fino a 10 milioni di euro o il 2% del fatturato mondiale annuo. Infine, la fornitura di informazioni errate o incomplete alle autorità può comportare multe fino a 5 milioni di euro o all’1% del fatturato.
Le autorità di sorveglianza possono applicare queste sanzioni in aggiunta ad altre misure correttive, come il ritiro o il divieto di commercializzazione dei prodotti. Questo sistema di sanzioni è stato progettato per garantire che gli operatori economici rispettino rigorosamente i requisiti di sicurezza imposti dal regolamento.
Conclusioni
Il Cyber Resilience Act si pone come una delle normative più incisive per il futuro della sicurezza informatica nell’Unione Europea, con un impatto significativo su circa 4 milioni di imprese che operano nel mercato unico. Questa nuova regolamentazione non solo rafforzerà la resilienza dei prodotti con elementi digitali, ma imporrà standard di sicurezza elevati e uniformi in tutto il territorio dell’UE. La sua portata si estende non solo alle piccole e medie imprese, ma anche alle grandi multinazionali che intendono commercializzare prodotti, o sub-componenti di prodotti, nel mercato europeo.
La normativa avrà un impatto profondo non solo sui produttori, ma anche su importatori e distributori, imponendo loro la responsabilità di assicurare la conformità dei prodotti con le nuove regole di sicurezza informatica.
In questo contesto, ottenere un vantaggio competitivo richiede alle imprese di agire tempestivamente, iniziando fin da ora a comprendere le dinamiche sottese al Cyber Resilience Act e preparandosi ad adeguarsi alle nuove regole.
Una consulenza legale esperta rappresenta un fattore chiave per navigare con successo le complessità della normativa e garantire che l’adeguamento avvenga in modo tempestivo ed efficace. Affrontare per tempo le nuove sfide imposte dal regolamento non solo ridurrà i rischi di sanzioni (assai elevate), ma permetterà alle imprese di distinguersi sul mercato come operatori affidabili e sicuri, migliorando la propria competitività in un contesto sempre più interconnesso e globalizzato.
Lo Studio Legale Avv. Luca D’Agostino a Roma offre servizi di consulenza e assistenza legale in cybersicurezza e sicurezza delle informazioni. Prepara la tua impresa alle disposizioni del Cyber Resilience Act
