Il procedimento sanzionatorio NIS 2 passo dopo passo
L'articolo 34 NIS 2 fissa il massimale. L'Ordnungswidrigkeitengesetz tedesco fissa il procedimento. Il §65 BSIG li lega insieme.
Cosa descrive questo articolo
La NIS 2 obbliga gli Stati membri a prevedere sanzioni amministrative contro i soggetti che violano i loro obblighi di gestione del rischio di cybersicurezza o di segnalazione. L'articolo 34 NIS 2 fissa gli importi massimi e i criteri di calcolo. Ciascuno Stato membro inserisce quel massimale nella propria legge sulle violazioni amministrative.
In Germania, la legge sul BSI attua il catalogo sanzionatorio nel §65 BSIG. I binari procedurali si trovano nell'Ordnungswidrigkeitengesetz (OWiG): audizione ai sensi del §55 OWiG, atto sanzionatorio ai sensi del §41 OWiG, opposizione entro due settimane ai sensi del §67 OWiG. Le regole sostanziali di calcolo nel §17 OWiG operano insieme ai fattori specifici della NIS 2 di cui all'articolo 34(7).
Questa pagina descrive come appare il procedimento dall'esterno. Non fornisce consigli su come rispondere. Una difesa concreta in un procedimento ai sensi del §65 BSIG richiede consulenza legale penale e regolamentare.
Livello UE: articolo 34 NIS 2
Gli Stati membri provvedono affinché le sanzioni amministrative pecuniarie irrogate ai soggetti essenziali e importanti a norma del presente articolo in relazione alle violazioni della presente direttiva siano, in ogni singolo caso, effettive, proporzionate e dissuasive.
L'articolo 34(4) fissa il massimo a 10 milioni di EUR o al 2 per cento del fatturato mondiale annuo totale dell'esercizio precedente per i soggetti essenziali. L'articolo 34(5) fissa 7 milioni di EUR o l'1,4 per cento per i soggetti importanti, applicandosi in ciascun caso l'importo più elevato.
Livello nazionale: §65 BSIG (Germania)
Eine Ordnungswidrigkeit kann bei einer besonders wichtigen Einrichtung mit einer Geldbuße bis zu zehn Millionen Euro oder bis zu zwei Prozent des im vorangegangenen Geschäftsjahr weltweit erzielten Gesamtumsatzes des Unternehmens, dem die Einrichtung angehört, geahndet werden, je nachdem, welcher Betrag höher ist. Bei einer wichtigen Einrichtung beträgt die Geldbuße bis zu sieben Millionen Euro oder bis zu 1,4 Prozent des Gesamtumsatzes.
Il §65 BSIG rispecchia il massimale dell'articolo 34 NIS 2. L'elenco delle condotte sanzionabili nel §65(1) BSIG copre, tra le altre, le violazioni delle misure di gestione del rischio del §30 BSIG, la mancata segnalazione di incidenti del §32 BSIG e la mancata registrazione del §33 BSIG.
Codice procedurale: OWiG
Vor Erlass eines Bußgeldbescheids ist dem Betroffenen Gelegenheit zu geben, sich zu der Beschuldigung zu äußern. (§55 OWiG)
L'OWiG disciplina il procedimento. Il §55 OWiG richiede un'audizione prima dell'atto sanzionatorio. Il §41 OWiG specifica la forma del Bußgeldbescheid. Il §67 OWiG concede al destinatario due settimane dalla notifica per proporre un Einspruch. Il §17 OWiG disciplina il calcolo sostanziale, applicato insieme ai criteri dell'articolo 34(7) NIS 2.
Avvio
Un procedimento ai sensi del §65 BSIG inizia tipicamente dopo che l'autorità di vigilanza accerta un evento scatenante: violazione delle misure di cybersicurezza del §30 BSIG scoperta in un audit o in un'autosegnalazione, una notifica di incidente del §32 BSIG mancata o tardiva (preallarme di 24 ore, aggiornamento di 72 ore, relazione finale di un mese), o una registrazione del §33 BSIG mancata. L'autorità apre un Ordnungswidrigkeitenverfahren e ne dà notifica all'entità.
Anhörungsschreiben
Prima che possa essere emesso qualsiasi atto sanzionatorio, l'autorità invia un Anhörungsschreiben che elenca la condotta contestata, la base giuridica ai sensi del §65 BSIG e un termine per presentare osservazioni. La lettera di audizione è procedurale, non un verdetto. Il silenzio non arresta il procedimento. Il quadro del §65 BSIG prevede che la questione sia decisa sugli atti se l'entità non risponde.
Bußgeldbescheid
Se l'autorità conclude che la violazione è accertata, emette un Bußgeldbescheid ai sensi del §41 OWiG. L'importo è calcolato sulla base dei criteri dell'articolo 34(7) NIS 2 (gravità, durata, dolo o negligenza, violazioni precedenti, vantaggio finanziario, cooperazione, misure precedenti) insieme al §17 OWiG. L'atto reca un'istruzione del §67 OWiG: due settimane per proporre un Einspruch.
Effettive, proporzionate, dissuasive
L'articolo 34(1) NIS 2 vincola l'autorità alla proporzionalità. Il massimale di 10 milioni di EUR o del 2 per cento è un massimo, non una tariffa. Il §17 OWiG richiede all'autorità di ponderare la rilevanza della violazione e le condizioni economiche dell'entità. Nella pratica, il calcolo si muove in entrambe le direzioni: in alto per gravità e recidiva, in basso per cooperazione genuina e misure precedenti dimostrabili.
La cooperazione è un fattore di calcolo
L'articolo 34(7)(f) NIS 2 elenca il grado di cooperazione con le autorità competenti come fattore attenuante. La divulgazione volontaria della violazione, la prova delle misure correttive e il pieno accesso agli atti contano tutti nel calcolo. Le misure precedenti dell'entità ai sensi del §30 BSIG (articolo 34(7)(d) NIS 2) sono valutate sulla stessa base di riferimento.
Bundesamt für Sicherheit in der Informationstechnik
Il BSI è l'autorità di vigilanza competente per la maggior parte dei settori NIS 2 in Germania ai sensi del §1 BSIG. Apre e gestisce il procedimento sanzionatorio del §65 BSIG. Gli operatori di installazioni critiche (KRITIS) rientrano sotto la stessa autorità. I Bußgeldbescheide e la corrispondenza relativa all'Einspruch passano attraverso il BSI.
ENISA e Gruppo di cooperazione
ENISA non irroga sanzioni. Produce orientamenti e coordina il gruppo di cooperazione NIS ai sensi dell'articolo 14 NIS 2. I prodotti di ENISA (tassonomia degli incidenti, orientamenti settoriali) informano ciò che conta come stato dell'arte ai sensi dell'articolo 21(2) NIS 2 e quindi alimentano il calcolo dell'articolo 34(7).
Autorità di vigilanza settoriali
Per finanza, energia, trasporti e sanità, le autorità di regolamentazione settoriali conservano un ruolo parallelo ai sensi del §61 BSIG e della normativa settoriale. Il massimale del §65 BSIG si applica comunque. Laddove DORA copre un soggetto finanziario, il regime sanzionatorio di DORA prevale sulle misure di cybersicurezza, ma l'obbligo di registrazione dell'articolo 27 NIS 2 continua a valere.
Il massimale del 2 per cento è calcolato sul fatturato dell'entità tedesca.
L'articolo 34(4) NIS 2 e il §65 BSIG calcolano la percentuale sul fatturato mondiale annuo totale dell'impresa a cui appartiene l'entità nell'esercizio precedente. Per le controllate all'interno di un gruppo più ampio, ciò può innalzare il massimale di ordini di grandezza al di sopra del fatturato locale.
Se ignoriamo l'Anhörung, la questione svanisce.
Il §55 OWiG richiede soltanto che l'autorità conceda all'entità l'opportunità di presentare osservazioni. Non richiede una risposta. Il quadro del §65 BSIG prevede che la questione proceda a un Bußgeldbescheid sugli atti se non arriva alcuna osservazione. Il codice procedurale non rallenta di fronte al silenzio.
La divulgazione completa di ogni dettaglio operativo ridurrà al minimo la sanzione.
L'articolo 34(7)(f) NIS 2 premia la cooperazione con l'autorità competente. Non richiede all'entità di costruire il caso dell'autorità al posto suo. La linea tra cooperazione e autoincriminazione è il punto in cui interviene il consulente legale. Le ammissioni procedurali fatte senza consulente legale sono difficili da ritrattare.
Il termine di due settimane per l'Einspruch nel §67 OWiG decorre dalla notifica del Bußgeldbescheid. È un termine di legge, non negoziabile. Il suo mancato rispetto rende l'atto definitivo ai sensi del §66 OWiG, dopodiché rimangono solo ristrette vie di rimedio. La lettera di audizione ai sensi del §55 OWiG non reca un termine equivalente proprio, ma l'autorità ne fissa uno nella lettera.
Una difesa concreta in un procedimento ai sensi del §65 BSIG richiede consulenza legale penale e regolamentare. Questo articolo descrive il procedimento e gli ancoraggi giuridici. Non affronta come rispondere a una specifica lettera di audizione o atto sanzionatorio. Qualsiasi cosa che tocchi la sostanza della gestione del rischio dell'entità (§30 BSIG), la sua cronologia di segnalazioni (§32 BSIG), o le sue misure precedenti ai sensi dell'articolo 21 NIS 2 dovrebbe essere discussa con un consulente legale prima che lasci l'entità.
Un procedimento ai sensi del §65 BSIG è deciso sugli atti. Il calcolo dell'articolo 34(7) NIS 2 premia le misure precedenti, la cooperazione e una cronologia documentata. Quella cronologia si costruisce prima che arrivi qualsiasi lettera: chi ha approvato quale controllo, quando un incidente è stato segnalato, quali prove stavano dietro le misure di gestione del rischio del §30 BSIG.
La piattaforma registra quella cronologia in modo continuo. Approvazioni, tracce di assegnazione, notifiche di incidenti e approvazioni delle policy recano marche temporali e identità. Nulla di questo decide un procedimento. Tutto questo è il tipo di atto a cui guarda il calcolo del §17 OWiG e dell'articolo 34(7) NIS 2.
- Direttiva (UE) 2022/2555 (NIS 2), articolo 34: Condizioni generali per l'irrogazione di sanzioni amministrative pecuniarie ai soggetti essenziali e importanti.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §65: Bußgeldvorschriften.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (Risikomanagement), §32 (Meldepflichten), §33 (Registrierung).
- Gesetz über Ordnungswidrigkeiten (OWiG), §17 (Bemessung), §41 (Bußgeldbescheid), §55 (Anhörung), §66 (Rechtskraft), §67 (Einspruch).
- ENISA, prodotti del gruppo di cooperazione NIS 2 e guida tecnica di attuazione.