La Direttiva NIS2 segna un cambio di paradigma nella gestione della sicurezza informatica, ridefinendo in modo concreto le responsabilità dei vertici aziendali e i confini tra compliance e diritto penale.
Nel panorama giuridico contemporaneo, la Direttiva NIS2 si configura come un strumento estremamente sofisticato che 𝗿𝗶𝗱𝗶𝘀𝗲𝗴𝗻𝗮 𝗶 𝗰𝗼𝗻𝗳𝗶𝗻𝗶 𝗱𝗲𝗹𝗹𝗮 𝗿𝗲𝘀𝗽𝗼𝗻𝘀𝗮𝗯𝗶𝗹𝗶𝘁𝗮̀ 𝗱𝗶𝗴𝗶𝘁𝗮𝗹𝗲, senza tuttavia presentarsi come un martello penale. È importante comprendere immediatamente la sua natura: non si tratta di una normativa che introduce nuovi reati penali, né tantomeno che tipizza fattispecie criminose autonome. La sua essenza risiede piuttosto in un approccio amministrativo-regolatorio che 𝗶𝗻𝗻𝗮𝗹𝘇𝗮 𝗶𝗻 𝗺𝗼𝗱𝗼 𝘀𝗶𝗴𝗻𝗶𝗳𝗶𝗰𝗮𝘁𝗶𝘃𝗼 𝗹𝗼 𝘀𝘁𝗮𝗻𝗱𝗮𝗿𝗱 𝗱𝗶 𝗱𝗶𝗹𝗶𝗴𝗲𝗻𝘇𝗮 𝗴𝗶𝘂𝗿𝗶𝗱𝗶𝗰𝗮𝗺𝗲𝗻𝘁𝗲 𝗲𝘀𝗶𝗴𝗶𝗯𝗶𝗹𝗲.
Il cuore pulsante della direttiva risiede nella ridefinizione degli obblighi dei soggetti apicali. 𝗜 𝘃𝗲𝗿𝘁𝗶𝗰𝗶 𝗮𝘇𝗶𝗲𝗻𝗱𝗮𝗹𝗶 𝘃𝗲𝗻𝗴𝗼𝗻𝗼 𝘁𝗿𝗮𝘀𝗳𝗼𝗿𝗺𝗮𝘁𝗶 𝗶𝗻 𝘃𝗲𝗿𝗲 𝗲 𝗽𝗿𝗼𝗽𝗿𝗶𝗲 𝘀𝗲𝗻𝘁𝗶𝗻𝗲𝗹𝗹𝗲 𝗱𝗶𝗴𝗶𝘁𝗮𝗹𝗶, 𝗰𝗵𝗶𝗮𝗺𝗮𝘁𝗶 𝗮 𝘂𝗻𝗮 𝘀𝘂𝗽𝗲𝗿𝘃𝗶𝘀𝗶𝗼𝗻𝗲 𝗮𝘁𝘁𝗶𝘃𝗮 𝗲 𝗱𝗼𝗰𝘂𝗺𝗲𝗻𝘁𝗮𝗯𝗶𝗹𝗲 𝗱𝗲𝗹𝗹𝗮 𝘀𝗶𝗰𝘂𝗿𝗲𝘇𝘇𝗮 𝗶𝗻𝗳𝗼𝗿𝗺𝗮𝘁𝗶𝗰𝗮. Non si tratta più di un adempimento formale, ma di un impegno sostanziale che si collega direttamente al concetto giuridico fondamentale sancito dall’articolo 40, comma 2 del codice penale: “𝗡𝗼𝗻 𝗶𝗺𝗽𝗲𝗱𝗶𝗿𝗲 𝘂𝗻 𝗲𝘃𝗲𝗻𝘁𝗼 𝗰𝗵𝗲 𝘀𝗶 𝗵𝗮 𝗹’𝗼𝗯𝗯𝗹𝗶𝗴𝗼 𝗴𝗶𝘂𝗿𝗶𝗱𝗶𝗰𝗼 𝗱𝗶 𝗶𝗺𝗽𝗲𝗱𝗶𝗿𝗲 𝗲𝗾𝘂𝗶𝘃𝗮𝗹𝗲 𝗮 𝗰𝗮𝗴𝗶𝗼𝗻𝗮𝗿𝗹𝗼.”
La vera innovazione della NIS2 sta nella sua capacità di trasformare l’inadempimento da una generica mancanza a una violazione di uno standard normativo qualificato. 𝗤𝘂𝗲𝘀𝘁𝗼 𝘀𝗶𝗴𝗻𝗶𝗳𝗶𝗰𝗮 𝗰𝗵𝗲 𝗹’𝗼𝗺𝗶𝘀𝘀𝗶𝗼𝗻𝗲 𝗻𝗼𝗻 𝗲̀ 𝗽𝗶𝘂̀ 𝘂𝗻 𝗰𝗼𝗻𝗰𝗲𝘁𝘁𝗼 𝘀𝗳𝘂𝗺𝗮𝘁𝗼, 𝗺𝗮 𝘂𝗻 𝗽𝗮𝗿𝗮𝗺𝗲𝘁𝗿𝗼 𝗺𝗶𝘀𝘂𝗿𝗮𝗯𝗶𝗹𝗲 𝗲 𝘀𝗮𝗻𝘇𝗶𝗼𝗻𝗮𝗯𝗶𝗹𝗲. Se da tale omissione derivano conseguenze come l’interruzione di servizi essenziali, danni rilevanti a terzi o impatti sulla sicurezza pubblica, si apre concretamente la strada a una responsabilità penale omissiva.
I profili di colpa vengono significativamente ridefiniti. Non si parla più solo di negligenza, ma di una colpa articolata che abbraccia l’imperizia tecnologica e la mancata vigilanza. 𝗘𝗹𝗲𝗺𝗲𝗻𝘁𝗼 𝗰𝗿𝘂𝗰𝗶𝗮𝗹𝗲: 𝗻𝗼𝗻 𝗲̀ 𝗻𝗲𝗰𝗲𝘀𝘀𝗮𝗿𝗶𝗼 𝗱𝗶𝗺𝗼𝘀𝘁𝗿𝗮𝗿𝗲 𝗶𝗹 𝗱𝗼𝗹𝗼. 𝗘̀ 𝘀𝘂𝗳𝗳𝗶𝗰𝗶𝗲𝗻𝘁𝗲 𝗱𝗶𝗺𝗼𝘀𝘁𝗿𝗮𝗿𝗲 𝗰𝗵𝗲 𝗹’𝗲𝘃𝗲𝗻𝘁𝗼 𝗳𝗼𝘀𝘀𝗲 𝗽𝗿𝗲𝘃𝗲𝗱𝗶𝗯𝗶𝗹𝗲 𝗲𝗱 𝗲𝘃𝗶𝘁𝗮𝗯𝗶𝗹𝗲 𝘀𝗲𝗰𝗼𝗻𝗱𝗼 𝗴𝗹𝗶 𝘀𝘁𝗮𝗻𝗱𝗮𝗿𝗱 𝗱𝗲𝗳𝗶𝗻𝗶𝘁𝗶 𝗱𝗮𝗹𝗹𝗮 𝗡𝗜𝗦𝟮.
Questa evoluzione normativa si intreccia in modo particolarmente complesso con il decreto legislativo 231/2001. Un modello organizzativo assente, obsoleto o non aggiornato al rischio cyber espone l’organizzazione a un ventaglio di conseguenze: dalle sanzioni amministrative fino a potenziali riflessi penali che coinvolgono i vertici aziendali.
La direzione è chiara: 𝗹𝗮 𝗡𝗜𝗦𝟮 𝗿𝗮𝗽𝗽𝗿𝗲𝘀𝗲𝗻𝘁𝗮 𝘂𝗻 𝗽𝗼𝗻𝘁𝗲 𝘁𝗿𝗮 𝗰𝗼𝗺𝗽𝗹𝗶𝗮𝗻𝗰𝗲 𝗲 𝗱𝗶𝗿𝗶𝘁𝘁𝗼 𝗽𝗲𝗻𝗮𝗹𝗲, 𝗽𝗿𝗲𝗳𝗶𝗴𝘂𝗿𝗮𝗻𝗱𝗼 𝘂𝗻 𝗳𝘂𝘁𝘂𝗿𝗼 𝗱𝗼𝘃𝗲 𝗴𝗹𝗶 𝘀𝘁𝗮𝗻𝗱𝗮𝗿𝗱 𝗱𝗶 𝗿𝗲𝘀𝗽𝗼𝗻𝘀𝗮𝗯𝗶𝗹𝗶𝘁𝗮̀ 𝗱𝗶𝗴𝗶𝘁𝗮𝗹𝗲 𝘀𝗮𝗿𝗮𝗻𝗻𝗼 𝘀𝗲𝗺𝗽𝗿𝗲 𝗽𝗶𝘂̀ 𝘀𝘁𝗿𝗶𝗻𝗴𝗲𝗻𝘁𝗶. Non si tratta di creare nuovi reati, ma di rendere estremamente più agevole 𝗱𝗶𝗺𝗼𝘀𝘁𝗿𝗮𝗿𝗲 𝗹’𝗼𝗺𝗶𝘀𝘀𝗶𝗼𝗻𝗲 𝗽𝗲𝗻𝗮𝗹𝗺𝗲𝗻𝘁𝗲 𝗿𝗶𝗹𝗲𝘃𝗮𝗻𝘁𝗲.
Per affrontare la NIS2 in modo concreto e strutturato, ONXD supporta le organizzazioni nella valutazione del rischio cyber, nell’adeguamento dei modelli organizzativi e nella costruzione di una compliance realmente difendibile.
👉 Scopri di più su onxd.it
