Articolo 38 – Sanzioni amministrative

Home »  CAPO V – Monitoraggio, vigilanza ed esecuzione (art. 34-39) » Articolo 38 – Sanzioni amministrative

Sintesi Articolo 38

L’Autorità nazionale competente NIS detiene poteri sanzionatori che esercita considerando gli esiti delle sue attività di monitoraggio, supporto e analisi. Le modalità, cosi come l’importo, vengono determinate affinché l’effetto sanzionatorio sia effettivo e proporzionato. La sanzione amministrativa può sostanziarsi nella sospensione temporanea del certificato o dell’autorizzazione dei servizi totali o parziali fintanto che il soggetto interessato non adotti misure necessarie ad eliminare quanto evidenziato dall’autorità nazionale competente NIS.
Per quanto concerne le sanzioni pecuniarie il decreto commina sanzioni di diversa entità in ragione del soggetto destinatario (se soggetto importante o soggetto essenziale) e in ragione dela gravità della violazione. La mancata notifica degli incidenti o la mancata implementazione di un sistema di misure di gestione dei rischi per la sicurezza informatica, ovvero l’inottemperanza alle disposizioni adottate dall’Autorità nazionale competente NIS, vengono punite con una sanzione fino ad un massimo di 10 milioni di euro e del 2% del totale del fatturato annuo su scala mondiale, se si tratta di un soggetto essenziale. Diversamente, laddove il soggetto inadempiente sia un soggetto importante la sanzione raggiunge un massimo di 7 milioni di euro o l’1,4% del fatturato annuo su scala mondiale. Nel caso di violazioni legate alla mancata registrazione o aggiornamento di informazioni o attività dell’elenco dei servizi e attività, ovvero la mancata collaborazione con organi competenti in materia di sicurezza informatica le sanzioni pecuniarie si riducono.
Inoltre, il decreto introduce una disciplina apposita nel caso di violazioni reiterate, per le quali è previsto, a seconda che la reiterazione della violazione sia specifica o non specifica, un aumento rispettivamente fino a un doppio e fino a un triplo della sanzione normalmente stabilita.

  1. L’Autorità nazionale competente NIS, ai fini dell’esercizio dei suoi poteri sanzionatori, tiene anche conto degli esiti delle attività di monitoraggio, supporto e analisi di cui all’articolo 35, delle risultanze dell’esercizio dei poteri di verifica e ispettivi di cui all’articolo 36, nonché dell’esercizio dei poteri di esecuzione di cui all’articolo 37.
  2. Fermi restando i criteri di cui all’articolo 34, comma 6, l’Agenzia per la cybersicurezza nazionale con una o più determinazioni, adottate secondo le modalità dell’articolo 40, comma 5, può specificare laddove necessario i criteri per la determinazione dell’importo delle sanzioni per le violazioni di cui ai commi 8 e 10 del presente articolo, adottando tutte le misure necessarie per assicurarne l’effettività, la proporzionalità, la dissuasività e l’applicazione.
  3. L’esercizio dei poteri di cui all’articolo 37 non impedisce la contestazione delle violazioni di cui ai commi 8 e 10 del presente articolo, nonché la relativa irrogazione di sanzioni amministrative di cui al presente articolo.
  4. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS può sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, ai sensi della normativa vigente, di sospendere temporaneamente un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale. Tale sospensione temporanea è applicata finchè il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7. Le disposizioni di cui al presente comma non si applicano alle pubbliche amministrazioni di cui all’allegato III, nonché ai soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4.
  5. Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza.
  6. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS può disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all’articolo 23 dei soggetti essenziali e dei soggetti importanti, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Tale sospensione temporanea è applicata finchè il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7.
  7. Ai dipendenti pubblici che esercitano i poteri di cui al comma 5, si applicano le norme in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati. In particolare, la violazione degli obblighi di cui al presente decreto può costituire causa di responsabilità dirigenziale, disciplinare e amministrativo-contabile.
  8. Con le sanzioni amministrative pecuniarie di cui al comma 9 sono punite le seguenti violazioni:
    • a) mancata osservanza degli obblighi imposti dall’articolo 23 agli organi di amministrazione e agli organi direttivi, nonché degli obblighi relativi alla gestione del rischio per la sicurezza informatica e alla notifica di incidente, di cui agli articoli 24 e 25, così come disciplinati ai sensi dell’articolo 31;
    • b) inottemperanza alle disposizioni adottate dall’Autorità nazionale competente NIS ai sensi dell’articolo 37, commi 3 e 4, e alle relative diffide.
  9. Le violazioni di cui al comma 8 sono punite:
    • a) per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, se tale importo è superiore, il cui minimo è fissato nella misura di un ventesimo del massimo edittale;
    • b) per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE, se tale importo è superiore, il cui minimo è fissato nella misura di un trentesimo del massimo edittale;
    • c) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti essenziali, con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000;
    • d) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti importanti, le sanzioni amministrative pecuniarie di cui alla lettera c) sono ridotte di un terzo.
  10. Con le sanzioni amministrative pecuniarie di cui al comma 11 sono punite le seguenti violazioni:
    • a) mancata registrazione, comunicazione o aggiornamento delle informazioni ai sensi dell’articolo 7, commi 1, 3, 4, 5 e 7;
    • b) inosservanza delle modalità stabilite dall’Autorità nazionale competente NIS ai sensi dell’articolo 7;
    • c) mancata comunicazione o aggiornamento dell’elenco delle attività e dei servizi nonché della loro categorizzazione ai sensi dell’articolo 30, comma 1;
    • d) mancata implementazione o attuazione degli obblighi relativi all’uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio nonché alle previsioni settoriali specifiche di cui agli articoli 27, 29 e 32, così come disciplinati ai sensi dell’articolo 31.
    • e) mancata collaborazione con l’Autorità nazionale competente NIS nello svolgimento delle attività e nell’esercizio dei poteri di cui al presente capo;
    • f) mancata collaborazione con il CSIRT Italia.
  11. Le violazioni di cui al comma 10, fermi restando i minimi edittali di cui al comma 9, sono punite:
    • a) per i soggetti essenziali, con sanzioni amministrative pecuniarie fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE;
    • b) per i soggetti importanti, con sanzioni amministrative pecuniarie fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE;
    • c) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti essenziali, con sanzioni amministrative pecuniarie da euro 10.000 a euro 50.000;
    • d) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti importanti, le sanzioni amministrative pecuniarie di cui alla lettera c) sono ridotte di un terzo.
  12. Si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall’articolo 8-bis della legge 24 novembre del 1981, n. 689. Nei casi di reiterazione specifica, la sanzione prevista per la violazione è aumentata fino al doppio. Nei casi di reiterazione non specifica si applica la sanzione prevista per la violazione più grave aumentata fino al triplo.
  13. In caso di mancata o tardiva registrazione di cui all’articolo 7, sono comunque contestate tutte le violazioni previste dai commi 8 e 10 del presente articolo, e si applica la sanzione prevista per la violazione più grave aumentata fino al triplo.
  14. In caso di mancata osservanza degli obblighi relativi alla notifica di incidente di cui all’articolo 25, da parte delle pubbliche amministrazioni di cui all’allegato III, nonché dei soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, le disposizioni di cui al comma 9 del presente articolo si applicano solo in caso di reiterazione specifica nell’arco di cinque anni e l’Autorità nazionale competente NIS può esercitare, durante i dodici mesi successivi all’accertamento della violazione, i poteri di verifica e ispettivi di cui all’articolo 36.
  15. Ai fini dell’attuazione del presente articolo, sono individuate, ai sensi dell’articolo 40, comma 1, lettera c), le modalità di applicazione, nell’ambito del procedimento sanzionatorio, dei seguenti strumenti deflattivi del contenzioso:
    • a) l’invito a conformarsi che l’Autorità nazionale competente NIS, ove accerti la sussistenza delle violazioni, e fatto salvo il caso di reiterazione delle stesse, invia al trasgressore, assegnando un congruo termine perentorio, proporzionato al tipo e alla gravità della violazione, per conformare la condotta agli obblighi previsti dalla normativa vigente. Ove il trasgressore ottemperi all’obbligo di conformare la condotta nei termini previsti, il procedimento sanzionatorio non prosegue. La disposizione di cui alla presente lettera non si applica al soggetto che sia stato già destinatario della diffida di cui all’articolo 37, comma 6, ovvero ai soggetti e nei casi previsti dal comma 14 del presente articolo;
    • b) la facoltà di estinguere il procedimento attraverso il pagamento in misura ridotta pari alla terza parte del massimo della sanzione o se più favorevole, e qualora sia stabilito, al doppio del minimo della sanzione edittale, nel termine perentorio di sessanta giorni dalla data di notifica della contestazione. In caso di reiterazione si applica l’articolo 8-bis della legge 24 novembre 1981, n. 689;
    • c) le fattispecie in cui non è prevista pubblicità dell’irrogazione di sanzioni amministrative.
  16. I proventi delle sanzioni amministrative pecuniarie irrogate dall’Autorità nazionale competente NIS ai sensi di quanto previsto dal presente decreto sono versati all’entrata del bilancio dello Stato per essere riassegnati all’apposito capitolo dello stato di previsione della spesa del Ministero dell’economia e delle finanze, di cui all’articolo 18 del decreto legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, per incrementare la dotazione del bilancio dell’Agenzia per la cybersicurezza nazionale.

Articolo precedente

Articolo successivo

Tutti gli articoli