Sanzioni NIS2: cosa rischi davvero
Quattro livelli sanzionatori, esempi di calcolo concreti per tre dimensioni d'impresa, scenari di applicazione realistici e la responsabilità personale della direzione che l'assicurazione D&O probabilmente non copre.
Il quadro sanzionatorio è reale, ma proporzionato
Le sanzioni NIS2 sono modellate sulla struttura sanzionatoria del GDPR, concepite per essere abbastanza elevate da impedire alle imprese di trattare le sanzioni come un costo dell'attività. Gli importi massimi (fino a 10 milioni di euro o 2% del fatturato mondiale) fanno notizia, ma la realtà per la maggior parte delle imprese di media dimensione è più articolata. Le sanzioni sono determinate in base alla gravità della violazione, alle dimensioni dell'impresa, alla buona fede dimostrata e alle misure correttive adottate.
Detto questo, il quadro sanzionatorio non è teorico. Il BSI dispone di poteri di applicazione, le sanzioni sono codificate nel §65 BSIG e la responsabilità personale della direzione ai sensi del §38 è un meccanismo giuridico distinto. Ignorare la NIS2 non è una strategia di gestione del rischio sostenibile. Comprendere l'effettiva struttura sanzionatoria aiuta a prendere decisioni proporzionate sull'investimento in conformità, senza né farsi prendere dal panico né sottovalutare i rischi.
Fino a 10.000.000 EUR o 2% del fatturato annuo mondiale
Soggetti essenziali - violazioni delle misure di cibersicurezza
Si applica ai soggetti essenziali (settori di cui all'Allegato I) che non attuano misure di cibersicurezza adeguate ai sensi del §30 BSIG, non segnalano incidenti significativi ai sensi del §32, o violano in altro modo obblighi sostanziali della NIS2. La sanzione è il MAGGIORE tra 10 milioni di euro o il 2% del fatturato mondiale dell'esercizio finanziario precedente.
Fino a 7.000.000 EUR o 1,4% del fatturato annuo mondiale
Soggetti importanti - violazioni delle misure di cibersicurezza
Si applica alle wichtige Einrichtungen (soggetti importanti, settori di cui all'Allegato II) per le stesse violazioni sostanziali. Il massimale più basso riflette il principio di proporzionalità della Direttiva NIS2: i soggetti importanti operano in settori a criticità inferiore. La sanzione è il MAGGIORE tra 7 milioni di euro o l'1,4% del fatturato mondiale dell'esercizio finanziario precedente.
Fino a 500.000 EUR
Violazioni in materia di registrazione
Sanzione specifica per la mancata registrazione presso il BSI ai sensi del §33 BSIG o per la comunicazione di informazioni di registrazione errate. Si tratta di una violazione autonoma: si può essere sanzionati per la mancata registrazione anche se le misure di cibersicurezza effettivamente adottate sono adeguate. La sanzione in materia di registrazione si applica sia ai soggetti essenziali sia ai soggetti importanti.
Fino a 500.000 EUR
Violazioni in materia di segnalazione
Sanzione specifica per la mancata segnalazione di incidenti significativi entro i termini richiesti (preallarme entro 24h, notifica entro 72h, relazione finale entro 1 mese) o per la mancata fornitura delle informazioni richieste nel corso delle indagini del BSI. Ogni omissione di segnalazione costituisce una potenziale violazione distinta.
| Tipo di impresa | Fatturato annuo | Sanzione max (essenziale) | Sanzione max (importante) |
|---|---|---|---|
| Piccola media impresa | 15.000.000 EUR | 10.000.000 EUR (si applica il massimale fisso - il 2% sarebbe solo 300.000 EUR) | 7.000.000 EUR (si applica il massimale fisso - l'1,4% sarebbe solo 210.000 EUR) |
| Media impresa | 50.000.000 EUR | 10.000.000 EUR (si applica il massimale fisso - il 2% sarebbe solo 1.000.000 EUR) | 7.000.000 EUR (si applica il massimale fisso - l'1,4% sarebbe solo 700.000 EUR) |
| Grande impresa | 200.000.000 EUR | 10.000.000 EUR (si applica il massimale fisso - il 2% sarebbe 4.000.000 EUR) | 7.000.000 EUR (si applica il massimale fisso - l'1,4% sarebbe 2.800.000 EUR) |
Quattro scenari di applicazione realistici
Cosa innesca effettivamente l'azione del BSI e quali sono le conseguenze nella pratica.
Registrazione presso il BSI tardiva o mancante
La tua impresa soddisfa i criteri di applicazione della NIS2 ma non si è registrata presso il BSI ai sensi del §33 BSIG. Il BSI ti individua tramite banche dati settoriali, elenchi di iscritti ad associazioni di categoria o registri delle imprese.
Il BSI emette un'ingiunzione di conformità che impone la registrazione entro un termine prestabilito. Se ti conformi, la questione può chiudersi lì, soprattutto se riesci a dimostrare di esserne stato genuinamente all'oscuro. Se ignori l'ingiunzione, possono essere comminate sanzioni fino a 500.000 EUR. Il vuoto di registrazione produce inoltre documentazione del fatto che eri non conforme fin dall'inizio, il che indebolisce la tua posizione su qualsiasi altra violazione NIS2.
Mancata segnalazione di un incidente significativo
La tua impresa subisce un attacco ransomware che interrompe i servizi per 48 ore. Gestisci la risposta tecnica ma non effettui la segnalazione al BSI. L'incidente diventa pubblico attraverso la copertura mediatica o i reclami dei clienti.
La mancata trasmissione del preallarme iniziale entro 24 ore costituisce una violazione distinta rispetto alla mancata trasmissione della notifica a 72 ore e della relazione finale: ciascuna è un autonomo presupposto sanzionatorio. Il BSI indaga e accerta che non è stata presentata alcuna segnalazione. Oltre alla sanzione (fino a 500.000 EUR per ogni omissione di segnalazione), la mancata segnalazione solleva interrogativi sull'intero assetto di conformità, potenzialmente innescando un audit più ampio.
Assenza di un processo di gestione del rischio
Nel corso di un audit del BSI (per i soggetti essenziali) o a seguito di un incidente (per i soggetti importanti), il BSI accerta che la tua impresa non dispone di alcuna valutazione del rischio documentata, di alcun inventario degli asset e di alcuna misura di cibersicurezza oltre alle operazioni IT di base.
Questa è la violazione sostanziale più grave: una completa assenza di conformità al §30 BSIG. Si applicano le sanzioni massime (10M/2% per gli essenziali, 7M/1,4% per gli importanti). Nella pratica, il BSI emetterebbe probabilmente dapprima istruzioni vincolanti e comminerebbe sanzioni per l'inosservanza di tali istruzioni. Ma l'assenza di qualsiasi processo di gestione del rischio non lascia margine alla difesa basata sull'"abbiamo agito in buona fede".
Lacune nella sicurezza della catena di approvvigionamento
La tua impresa esternalizza le operazioni IT a un fornitore di servizi gestiti. Il fornitore subisce una violazione dei dati che espone i dati dei tuoi clienti. Il BSI indaga e accerta l'assenza di valutazione della sicurezza del fornitore, di requisiti contrattuali di cibersicurezza e di monitoraggio dell'assetto di sicurezza del fornitore.
Sei responsabile della sicurezza della tua catena di approvvigionamento ai sensi del §30(2)(4) BSIG, indipendentemente da dove si sia verificata la violazione. L'assenza di due diligence sul fornitore significa che non hai attuato le misure richieste. Ciò può innescare sanzioni nell'ambito del quadro delle misure di cibersicurezza (fino a 10M/7M EUR a seconda del tipo di soggetto), oltre al fatto che l'incidente stesso fa scattare obblighi di segnalazione. Se ometti anche la segnalazione, le sanzioni si cumulano.
Il §38 BSIG istituisce un meccanismo di responsabilità personale per la direzione dell'impresa, distinto dalle sanzioni amministrative pecuniarie a carico dell'impresa. La Geschäftsführung deve approvare le misure di gestione del rischio di cibersicurezza, vigilare sulla loro attuazione e completare la formazione in materia di cibersicurezza. Se tali obblighi vengono trascurati e l'impresa subisce di conseguenza un danno, la direzione può essere chiamata a rispondere personalmente di tale danno. Si tratta di una responsabilità civile: la richiesta di risarcimento proviene dall'impresa (o dal suo curatore fallimentare) nei confronti dei singoli dirigenti.
Aspetto cruciale, il §38 BSIG stabilisce che a tale responsabilità non si può rinunciare mediante delibera dei soci. Anche in una GmbH a gestione proprietaria in cui il Geschäftsführer è anche l'unico socio, la responsabilità sussiste. Le polizze assicurative D&O escludono di norma le sanzioni e le ammende regolamentari, e la copertura della responsabilità specifica della NIS2 è un ambito in evoluzione: verifica la tua specifica polizza anziché presumere la copertura. L'implicazione pratica: la conformità alla NIS2 è ora una questione di gestione del rischio personale per ogni Geschäftsführer, non una semplice casella di governance societaria da spuntare.
Domande frequenti
Qual è la sanzione massima per la mia impresa?
Dipende dalla classificazione del tuo soggetto. Soggetti essenziali (settori dell'Allegato I): il maggiore tra 10 milioni di euro o il 2% del fatturato annuo mondiale. Soggetti importanti (settori dell'Allegato II): il maggiore tra 7 milioni di euro o l'1,4% del fatturato annuo mondiale. Per la maggior parte delle imprese di media dimensione (fatturato inferiore a 500M EUR), si applica l'importo fisso perché il 2% del fatturato è inferiore a 10M EUR. Si applicano sanzioni distinte fino a 500.000 EUR per le violazioni in materia di registrazione e segnalazione.
Posso essere sanzionato personalmente in quanto Geschäftsführer?
Le sanzioni amministrative pecuniarie ai sensi del §65 BSIG sono comminate all'impresa, non al singolo. Tuttavia, il §38 BSIG istituisce una responsabilità civile personale per i danni derivanti dalla mancata approvazione e vigilanza delle misure di cibersicurezza. Ciò significa che sei esposto a una responsabilità personale per le perdite dell'impresa: non una sanzione statale, ma potenzialmente una richiesta di risarcimento danni. In uno scenario di insolvenza, il curatore fallimentare può far valere tale pretesa nei tuoi confronti personalmente.
L'assicurazione D&O copre le sanzioni NIS2?
La maggior parte delle polizze D&O esclude le sanzioni e le ammende amministrative regolamentari: queste sono di norma non assicurabili secondo il diritto tedesco. La responsabilità civile ai sensi del §38 BSIG (richieste di risarcimento danni) può essere coperta dall'assicurazione D&O, a seconda delle condizioni della tua polizza. Esamina la tua specifica polizza e discuti l'esposizione alla NIS2 con il tuo broker. Non presumere che la copertura esista: chiedi conferma scritta di ciò che è coperto e di ciò che non lo è.
Cosa innesca l'azione del BSI?
Per i soggetti essenziali: il BSI può condurre audit e ispezioni proattivi senza un innesco specifico. Per i soggetti importanti: l'azione è di norma reattiva, innescata da un incidente segnalato, dal reclamo di un terzo, dalla copertura mediatica di una violazione o dalla mancata registrazione. Il BSI incrocia inoltre i dati del registro delle imprese e delle banche dati settoriali per individuare i soggetti che dovrebbero essere registrati ma non lo sono.
Le sanzioni sono proporzionali alle dimensioni dell'impresa?
Sì, per impostazione. Il calcolo della percentuale sul fatturato garantisce che le sanzioni siano commisurate alle dimensioni dell'impresa. Per un'impresa con 15M EUR di fatturato, la sanzione massima per soggetto essenziale è di 10M EUR (il massimale fisso, poiché il 2% è solo 300.000 EUR). Per un'impresa da 600M EUR, il massimo è 12M EUR (il 2% del fatturato supera la soglia di 10M EUR). Inoltre, il BSI è tenuto a considerare la proporzionalità nella determinazione delle sanzioni: le dimensioni dell'impresa, la gravità della violazione, la durata e gli sforzi in buona fede concorrono tutti all'importo effettivo della sanzione.
- BSIG - §38 (Responsabilità della direzione), §65 (Sanzioni amministrative e quadro sanzionatorio)
- Direttiva NIS2 (UE) 2022/2555 - Articolo 34 (Misure di vigilanza per i soggetti essenziali), Articolo 35 (Misure di vigilanza per i soggetti importanti), Articolo 36 (Sanzioni)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI - Documentazione parlamentare sulla configurazione del quadro sanzionatorio e considerazioni di proporzionalità
- GDV (Gesamtverband der Deutschen Versicherungswirtschaft) - Analisi della copertura assicurativa D&O per la responsabilità regolamentare (2025)