Responsabilità della direzione NIS2
Il §38 BSIG rende gli amministratori delegati personalmente responsabili dei fallimenti di cybersecurity, una novità assoluta nel diritto tedesco.
Il recepimento tedesco della NIS2 attua l'art. 20 NIS-2 con una responsabilità personale esplicita dell'organo di gestione nel §38 BSIG. I membri dell'organo di gestione (Geschäftsführung, Vorstand) di ogni società soggetta alla NIS2, che si tratti di GmbH, AG o KG, sono personalmente responsabili di garantire che le misure di cybersecurity siano attuate, vigilate e mantenute. Questo non è delegabile al reparto IT.
Si tratta di una novità assoluta. Nel quadro originario della NIS1 (la precedente IT-Sicherheitsgesetz), la responsabilità ricadeva sulla società in quanto persona giuridica. Il §38 BSIG cambia le regole del gioco: i singoli amministratori delegati possono ora essere ritenuti responsabili con il proprio patrimonio personale se non adempiono ai loro obblighi di cybersecurity. La legge fa esplicito riferimento ai Geschäftsleiter, le persone che firmano per conto della società.
La legge definisce tre obblighi fondamentali per la direzione: approvazione (Billigung) delle misure di cybersecurity, vigilanza (Überwachung) sulla loro attuazione e formazione personale (Schulung) in materia di cybersecurity. La mancata osservanza anche di uno solo di questi obblighi genera un'esposizione a responsabilità personale, anche se la società stessa ha attuato misure ragionevoli.
Approvazione (Billigung)
La direzione deve approvare formalmente le misure di gestione del rischio di cybersecurity richieste ai sensi del §30 BSIG. Ciò significa esaminare e sottoscrivere le politiche di sicurezza delle informazioni, le valutazioni del rischio e i piani di trattamento della società. Un 'via libera' verbale non è sufficiente. È necessaria un'approvazione documentata e tracciabile, con marche temporali e firme.
Vigilanza (Überwachung)
La direzione deve vigilare attivamente sull'attuazione delle misure approvate. Ciò significa riesami periodici dello stato, monitoraggio dell'avanzamento e gestione delle escalation. Si deve poter dimostrare di aver verificato se le misure sono state effettivamente attuate, non solo di averle approvate per poi disinteressarsene. I riesami trimestrali da parte della direzione sono la frequenza minima difendibile.
Formazione (Schulung)
La direzione deve completare personalmente una formazione in materia di cybersecurity per sviluppare conoscenze sufficienti a valutare rischi e misure. Non si tratta della formazione generale di sensibilizzazione dei dipendenti di cui al §30(2)(7) BSIG. È un obbligo distinto specifico per l'organo di gestione (§38(3) BSIG). La formazione deve essere adeguata a comprendere il profilo di rischio della società, le misure in atto e i rischi residui accettati.
Nessuna misura di cybersecurity attuata
Sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale (il valore più elevato tra i due) ai sensi del §65 BSIG per le entità essenziali. Per le wichtige Einrichtungen: fino a 7 milioni di euro o all'1,4% del fatturato. La direzione si espone a richieste di risarcimento per responsabilità personale da parte della società per i danni derivanti dalla violazione.
Incidente non notificato al BSI
Il §32 BSIG richiede una notifica iniziale entro 24 ore, un aggiornamento entro 72 ore e una relazione finale entro un mese. Il mancato rispetto di questi termini fa scattare l'azione di enforcement. Se la direzione era a conoscenza di un incidente e non ha garantito la notifica, si applica la responsabilità personale ai sensi del §38 per inadempimento dell'obbligo di vigilanza.
La direzione non ha completato la formazione
Violazione diretta del §38(3) BSIG. È la violazione più facile da provare per il BSI: o si dispone dei registri della formazione o non se ne dispone. Mina inoltre la difesa su tutti gli altri punti. Come si può rivendicare una vigilanza adeguata se manca la formazione necessaria a valutare ciò che si sta vigilando?
Nessuna vigilanza attiva sull'attuazione
Se le misure sono state approvate ma la direzione non può dimostrare una vigilanza continuativa (riunioni di riesame, rapporti sullo stato, registri delle escalation), la sola approvazione è insufficiente. La legge richiede tutti e tre gli obblighi. Approvare senza vigilare è come firmare un contratto senza leggerlo. La responsabilità rimane in capo a chi firma.
Posso delegare questo al reparto IT
Si può delegare l'esecuzione, ma non la responsabilità. Il §38 BSIG nomina esplicitamente la Geschäftsleitung (tutti i membri dell'organo di gestione). Non i responsabili IT, non i CISO, non i consulenti esterni. Si deve approvare, vigilare ed essere formati personalmente. Il team IT attua; chi dirige approva e monitora. La distinzione conta in tribunale.
L'assicurazione D&O copre la responsabilità NIS2
La maggior parte delle polizze D&O esclude le sanzioni e le ammende regolamentari. Anche dove le richieste di responsabilità civile sono coperte, gli assicuratori possono respingere i sinistri se la direzione ha consapevolmente omesso di rispettare obblighi di legge. Verificare le clausole di esclusione della polizza: 'mancato rispetto delle normative obbligatorie' è un'esclusione standard nelle polizze D&O tedesche.
Non sono un tecnico, non posso essere ritenuto responsabile
Il §38(3) BSIG impone l'obbligo di formazione proprio per eliminare questa difesa. La legge presume che, dopo aver completato una formazione adeguata in materia di cybersecurity, la direzione disponga di conoscenze sufficienti ad adempiere ai propri obblighi. 'Non capisco la tecnologia' non è una difesa. È la prova di una violazione dell'obbligo di formazione.
I soci possono rinunciare alla mia responsabilità
Il §38(2) BSIG stabilisce la responsabilità personale dei membri dell'organo di gestione per i danni causati per negligenza. Le restrizioni alla rinuncia e alla transazione di tali pretese derivano dal diritto societario (§93(4) AktG, §43(3) GmbHG): le rinunce sono possibili solo a condizioni ristrette (di norma solo tre anni dopo l'insorgere della pretesa, mediante delibera della maggioranza dei soci e solo se nessun creditore è leso). L'assemblea dei soci non può liberarvi in blocco dalla responsabilità NIS2.
Siamo troppo piccoli perché qualcuno se ne occupi
La soglia di applicazione della NIS2 parte da 50 o più dipendenti OPPURE (oltre 10 mln di euro di fatturato E oltre 10 mln di euro di totale di bilancio), la definizione di PMI dell'UE ai sensi della raccomandazione 2003/361/CE della Commissione. Se si raggiunge questa soglia in un settore rientrante nell'ambito, si è soggetti all'intero regime, inclusa la responsabilità della direzione di cui al §38. Il BSI ha già iniziato a richiedere la registrazione alle aziende di questa fascia dimensionale. La dimensione non è una difesa; è un criterio di delimitazione dell'ambito, e ci si rientra.
Ecco ciò che coglie di sorpresa la maggior parte degli amministratori delegati: ai sensi del §38 BSIG, si è responsabili nei confronti della propria stessa società. Se la società subisce un danno perché non avete attuato, vigilato o ricevuto formazione sulle misure di cybersecurity, la società (o il suo amministratore dell'insolvenza, o i suoi soci) può chiedervi personalmente il risarcimento dei danni. Si tratta di una responsabilità interna: la vostra stessa organizzazione può citarvi in giudizio.
Il §38(2) BSIG stabilisce la responsabilità personale dell'organo di gestione per i danni causati per negligenza. I limiti di diritto societario alla rinuncia e alla transazione (§93(4) AktG, §43(3) GmbHG) si applicano in parallelo. In termini pratici, se la società fallisce a causa di un incidente cibernetico, l'amministratore dell'insolvenza può far valere pretese sul vostro patrimonio personale, e una rinuncia preventiva in blocco da parte dei soci sarebbe generalmente inefficace.
L'obbligo di formazione di cui al §38(3) BSIG non è uno sviluppo professionale facoltativo. È un presupposto giuridico che elimina l'ignoranza come difesa. Una volta che la legge impone di essere formati, la mancata acquisizione di tale formazione è essa stessa una violazione. Non si può sostenere di non aver compreso i rischi quando la legge imponeva di apprenderli.
Approvare formalmente le misure di cybersecurity
Esaminate la valutazione del rischio, le politiche di sicurezza e i piani di trattamento predisposti ai sensi del §30 BSIG. Sottoscrivete con il vostro nome, la data e il ruolo. Conservate l'approvazione in un sistema verificabile, non in una casella di posta elettronica. Questo crea la prova documentale dell'adempimento del vostro obbligo di Billigung. Ripetete ogni volta che le misure subiscono modifiche sostanziali.
Istituire processi di vigilanza
Pianificate riesami trimestrali della direzione sullo stato della cybersecurity. Esaminate l'avanzamento dell'attuazione, i rischi aperti, i rapporti sugli incidenti e gli indicatori di efficacia. Documentate le presenze, le decisioni e le azioni da intraprendere. Questo crea la traccia continuativa che prova il vostro obbligo di Überwachung: non una semplice approvazione una tantum, ma un coinvolgimento continuo.
Completare la formazione in cybersecurity
Completate un programma di formazione che copra il panorama delle minacce della vostra azienda, le misure di cui al §30 BSIG, gli obblighi di notifica degli incidenti e i vostri obblighi personali ai sensi del §38. Documentate la formazione: erogatore, data, contenuti trattati, certificato se disponibile. Aggiornatela annualmente. Questo elimina la lacuna della difesa basata sull'ignoranza e adempie al vostro obbligo di Schulung.