La Direttiva NIS2 segna un cambio di paradigma nella gestione della sicurezza informatica, ridefinendo in modo concreto le responsabilità dei vertici aziendali e i confini tra compliance e diritto penale.
Nel panorama giuridico contemporaneo, la Direttiva NIS2 si configura come uno strumento estremamente sofisticato che ridisegna i confini della responsabilità digitale, senza tuttavia presentarsi come un martello penale.
È importante comprendere immediatamente la sua natura: non si tratta di una normativa che introduce nuovi reati penali, né tantomeno che tipizza fattispecie criminose autonome. La sua essenza risiede piuttosto in un approccio amministrativo-regolatorio che innalza in modo significativo lo standard di diligenza giuridicamente esigibile.
Il cuore pulsante della direttiva risiede nella ridefinizione degli obblighi dei soggetti apicali. I vertici aziendali vengono trasformati in vere e proprie sentinelle digitali, chiamati a una supervisione attiva e documentabile della sicurezza informatica.
Non si tratta più di un adempimento formale, ma di un impegno sostanziale che si collega direttamente a un concetto giuridico fondamentale sancito dall’articolo 40, comma 2 del codice penale:
“Non impedire un evento che si ha l’obbligo giuridico di impedire equivale a cagionarlo.”
La vera innovazione della NIS2 sta nella sua capacità di trasformare l’inadempimento da una generica mancanza a una violazione di uno standard normativo qualificato. Questo significa che l’omissione non è più un concetto sfumato, ma un parametro misurabile e sanzionabile.
Se da tale omissione derivano conseguenze come l’interruzione di servizi essenziali, danni rilevanti a terzi o impatti sulla sicurezza pubblica, si apre concretamente la strada a una responsabilità penale omissiva.
Anche i profili di colpa vengono significativamente ridefiniti. Non si parla più solo di negligenza, ma di una colpa articolata che abbraccia l’imperizia tecnologica e la mancata vigilanza.
Elemento cruciale: non è necessario dimostrare il dolo. È sufficiente dimostrare che l’evento fosse prevedibile ed evitabile secondo gli standard definiti dalla NIS2.
Questa evoluzione normativa si intreccia in modo particolarmente complesso con il decreto legislativo 231/2001. Un modello organizzativo assente, obsoleto o non aggiornato al rischio cyber espone l’organizzazione a un ventaglio di conseguenze che vanno dalle sanzioni amministrative fino a potenziali riflessi penali a carico dei vertici aziendali.
La direzione è chiara: la NIS2 rappresenta un ponte tra compliance e diritto penale, prefigurando un futuro in cui gli standard di responsabilità digitale saranno sempre più stringenti. Non si tratta di creare nuovi reati, ma di rendere estremamente più agevole dimostrare l’omissione penalmente rilevante.
Per affrontare la NIS2 in modo concreto e strutturato, ONXD supporta le organizzazioni nella valutazione del rischio cyber, nell’adeguamento dei modelli organizzativi e nella costruzione di una compliance realmente difendibile.
