Il regime sanzionatorio della NIS2 italiana è quello che ha fatto più rumore: fino a 10 milioni di euro o al 2% del fatturato annuo mondiale per i soggetti essenziali, fino a 7 milioni o all'1,4% per i soggetti importanti, più la responsabilità personale degli amministratori. Questa guida spiega cosa dice davvero l'Art. 38 del D.Lgs. 138/2024, su quali condotte si concentrano le sanzioni, quali sono le attenuanti e perché un piano di compliance documentato è la migliore polizza assicurativa contro le sanzioni.
L'architettura sanzionatoria del D.Lgs. 138/2024
L'Art. 38 del D.Lgs. 138/2024 disegna un sistema sanzionatorio articolato su tre livelli: sanzioni amministrative pecuniarie sull'organizzazione, sanzioni accessorie (misure interdittive) e responsabilità personale del Management. Il legislatore ha scelto di calibrare l'entità della sanzione su due variabili: la natura del soggetto (essenziale o importante) e la gravità della condotta (omissione vs. violazione sostanziale, primo episodio vs. recidiva, cooperazione vs. ostruzionismo).
Sanzioni essenziali vs sanzioni importanti: la tabella di confronto
La differenza tra soggetti essenziali e soggetti importanti non è solo sostanziale: incide direttamente sull'entità delle sanzioni applicabili.
| Profilo | Soggetto essenziale | Soggetto importante |
|---|---|---|
| Massimo edittale | 10 milioni di euro o 2% del fatturato annuo mondiale (la misura più alta) | 7 milioni di euro o 1,4% del fatturato annuo mondiale (la misura più alta) |
| Regime di vigilanza | Preventivo: ispezioni, audit di sicurezza, richiesta di evidenze anche in assenza di incidente | Ex post: verifica solo a seguito di segnalazione, incidente o evidenza di non conformità |
| Misure interdittive | Possibili (sospensione di certificazioni, divieto temporaneo di esercitare funzioni dirigenziali) | Possibili nei casi gravi o di recidiva |
| Responsabilità del Management | Personale e non delegabile (Art. 20 + 38) | Personale e non delegabile (Art. 20 + 38) |
Quali condotte espongono alle sanzioni
Le condotte sanzionate dall'Art. 38 si raggruppano in quattro famiglie principali:
- Mancata adozione delle misure dell'Art. 21: assenza o inadeguatezza delle policy di analisi del rischio, dell'incident response, della continuità operativa, della sicurezza della supply chain, della crittografia, dell'autenticazione a più fattori e delle altre misure tecniche minime.
- Omessa o tardiva notifica degli incidenti significativi (Art. 25): il mancato rispetto delle finestre 24h / 72h / 1 mese o l'incompletezza sostanziale dei contenuti minimi delle notifiche.
- Carenze di governance e di formazione (Art. 20): assenza di approvazione formale delle misure da parte dell'organo di gestione, mancanza di evidenza della formazione del Management e del personale, mancato aggiornamento periodico del piano formativo.
- Ostruzionismo verso ACN: rifiuto o ritardo nel fornire informazioni richieste, omesso aggiornamento dei dati di registrazione, mancato adeguamento alle misure correttive imposte da ACN.
La responsabilità personale degli amministratori
Il punto più discusso dell'Art. 38 è la responsabilità personale del Management. Non si tratta di una responsabilità penale (la NIS2 è materia amministrativa), ma di una responsabilità che colpisce direttamente il singolo amministratore, dirigente o componente del CdA che ha violato i propri doveri di approvazione e supervisione. Le conseguenze possibili includono sanzioni pecuniarie individuali, sospensione temporanea dall'incarico, divieto temporaneo di esercitare funzioni dirigenziali in soggetti NIS2 e segnalazione agli organi societari.
La responsabilità accompagna il ruolo: non si estingue con le dimissioni per i fatti avvenuti durante il mandato. È questa caratteristica a rendere la formazione NIS2 del Management non un nice-to-have ma un'esigenza diretta di tutela personale.
Attenuanti e aggravanti
L'Art. 38 prevede esplicitamente attenuanti e aggravanti che possono spostare significativamente l'entità della sanzione concretamente irrogata. Le principali attenuanti sono:
- Cooperazione attiva con ACN: trasparenza nelle informazioni fornite, accesso ai sistemi, collaborazione nell'istruttoria;
- Tempestività della notifica: rispetto rigoroso delle finestre 24h / 72h / 1 mese, anche in presenza di un incidente grave;
- Adozione di misure correttive concrete e documentate dopo l'incidente, prima dell'irrogazione della sanzione;
- Documentazione completa della formazione erogata (Art. 20) e delle misure dell'Art. 21 in essere al momento dell'incidente;
- Assenza di precedenti sanzioni o di non conformità rilevate da ACN.
Le principali aggravanti:
- Recidiva: violazioni ripetute della stessa natura;
- Dolo o colpa grave: violazioni intenzionali o derivanti da grave negligenza;
- Impatto transfrontaliero o sistemico dell'incidente;
- Ostruzione alle attività di vigilanza di ACN;
- Mancata adozione delle misure correttive imposte.
Perché la documentazione è la migliore polizza assicurativa
La differenza, in concreto, tra una sanzione massima e una sanzione minima si gioca quasi sempre sulla qualità della documentazione disponibile. ACN, in sede di istruttoria, valuta non solo se le misure dell'Art. 21 sono state adottate, ma anche se ne esiste evidenza documentale ricostruibile nel tempo: policy approvate dal CdA, registrazioni della formazione, log dei sistemi, report di vulnerability assessment, procedure di incident response, contratti con i fornitori critici.
La conformità documentata è ciò che trasforma una possibile sanzione massima in una sanzione minima — e in alcuni casi può evitarla del tutto se l'organizzazione dimostra di aver fatto tutto il ragionevole e l'incidente è stato comunque inevitabile.
Come Easy Health supporta le organizzazioni in perimetro
In Easy Health affianchiamo le organizzazioni soggette alla NIS2 in tre direzioni: gap analysis e remediation per le misure dell'Art. 21, formazione documentata per Management, CISO, tecnici IT e collaboratori (Art. 20) e supporto operativo nell'interlocuzione con ACN, in particolare in caso di incidente. Per approfondire il quadro generale del D.Lgs. 138/2024 leggi la nostra guida completa alla NIS2; per i percorsi e-learning Art. 20 visita la pagina Formazione NIS2.