L’Autorit? nazionale competente NIS detiene poteri sanzionatori che esercita considerando gli esiti delle sue attivit? di monitoraggio, supporto e analisi. Le modalit?, cosi come l’importo, vengono determinate affinch? l’effetto sanzionatorio sia effettivo e proporzionato. La sanzione amministrativa pu? sostanziarsi nella sospensione temporanea del certificato o dell’autorizzazione dei servizi totali o parziali fintanto che il soggetto interessato non adotti misure necessarie ad eliminare quanto evidenziato dall’autorit? nazionale competente NIS.
Per quanto concerne le sanzioni pecuniarie il decreto commina sanzioni di diversa entit? in ragione del soggetto destinatario (se soggetto importante o soggetto essenziale) e in ragione dela gravit? della violazione. La mancata notifica degli incidenti o la mancata implementazione di un sistema di misure di gestione dei rischi per la sicurezza informatica, ovvero l’inottemperanza alle disposizioni adottate dall’Autorit? nazionale competente NIS, vengono punite con una sanzione fino ad un massimo di 10 milioni di euro e del 2% del totale del fatturato annuo su scala mondiale, se si tratta di un soggetto essenziale. Diversamente, laddove il soggetto inadempiente sia un soggetto importante la sanzione raggiunge un massimo di 7 milioni di euro o l’1,4% del fatturato annuo su scala mondiale. Nel caso di violazioni legate alla mancata registrazione o aggiornamento di informazioni o attivit? dell’elenco dei servizi e attivit?, ovvero la mancata collaborazione con organi competenti in materia di sicurezza informatica le sanzioni pecuniarie si riducono.
Inoltre, il decreto introduce una disciplina apposita nel caso di violazioni reiterate, per le quali ? previsto, a seconda che la reiterazione della violazione sia specifica o non specifica, un aumento rispettivamente fino a un doppio e fino a un triplo della sanzione normalmente stabilita.