Segnalazioni di whistleblowing sui fallimenti NIS 2
La direttiva (UE) 2019/1937 tutela le segnalazioni di violazioni della sicurezza delle reti e dei sistemi informativi. La Hinweisgeberschutzgesetz tedesca (HinSchG) è il recepimento nazionale. Questa pagina descrive il quadro, non è consulenza legale per un caso specifico.
Cos'è questa pagina
Il whistleblowing è un binario giuridico distinto dalla notifica di incidente NIS 2. Un dipendente, collaboratore o candidato che segnala un fallimento di conformità NIS 2 è tutelato dalla direttiva (UE) 2019/1937. La direttiva elenca esplicitamente la sicurezza delle reti e dei sistemi informativi nel suo allegato, parte I.B, come ambito di segnalazione tutelato.
In Germania la Hinweisgeberschutzgesetz (HinSchG, in vigore dal 2 luglio 2023) recepisce la direttiva. Il Bundesamt fuer Justiz ospita il canale esterno centrale. Le entità con 50 o più dipendenti sono tenute a mantenere un canale di segnalazione interno ai sensi della Sezione 12 HinSchG.
Una divulgazione di whistleblowing a un'autorità esterna non sostituisce la notifica di incidente propria dell'entità ai sensi dell'articolo 23 NIS 2 (Sezione 32 BSIG in Germania). Entrambi gli obblighi possono essere innescati dallo stesso evento ed entrambi scorrono sui propri tempi.
Direttiva (UE) 2019/1937, allegato parte I.B
Sicurezza delle reti e dei sistemi informativi, quale definita all'articolo 4, punto 1), della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio.
L'allegato enumera gli ambiti di intervento in cui una segnalazione è tutelata. La sicurezza delle reti e dei sistemi informativi si colloca nella parte I.B accanto alla sicurezza dei trasporti e alla tutela dell'ambiente. La NIS 2 (direttiva 2022/2555) sostituisce la direttiva 2016/1148, quindi le segnalazioni sui fallimenti di conformità NIS 2 rientrano in questo ambito.
Direttiva (UE) 2019/1937, articolo 4 (ambito di applicazione personale)
La presente direttiva si applica alle persone segnalanti che lavorano nel settore privato o pubblico e che hanno acquisito informazioni sulle violazioni in un contesto lavorativo.
L'ambito di applicazione personale copre dipendenti, lavoratori autonomi, azionisti, membri di organi di amministrazione, volontari, tirocinanti retribuiti o non retribuiti, appaltatori, subappaltatori e fornitori. Sono tutelati anche i candidati e gli ex lavoratori. Le segnalazioni anonime sono ammesse dalla Sezione 16(1) HinSchG, ma il seguito può essere limitato.
HinSchG Sezione 12 (canali di segnalazione interni)
Beschaeftigungsgeber mit in der Regel mindestens 50 Beschaeftigten sind verpflichtet, eine Stelle einzurichten und zu betreiben, an die sich Beschaeftigte zur Abgabe von Meldungen nach diesem Gesetz wenden koennen.
La soglia dei 50 dipendenti è un dato di organico di norma, non una cifra giornaliera precisa. Le entità al di sotto dei 50 dipendenti possono istituire un canale interno su base volontaria; le entità pari o superiori a 50 devono farlo. Il Bundesamt fuer Justiz gestisce il canale esterno.
Cosa può essere segnalato
La Sezione 2 HinSchG elenca gli oggetti di segnalazione tutelati. Tra questi: le violazioni del diritto dell'UE, inclusa la sicurezza delle reti e dei sistemi informativi. Una segnalazione relativa a un obbligo NIS 2, ad esempio la mancata attuazione delle misure dell'articolo 21 o la mancata presentazione di una notifica di incidente ai sensi dell'articolo 23, rientra nell'ambito.
Prima interno, esterno in parallelo
Canale interno ai sensi della Sezione 12 HinSchG (50+ dipendenti). Canali esterni ai sensi della Sezione 19 HinSchG: il Bundesamt fuer Justiz come ufficio esterno centrale, oltre alle autorità settoriali. La persona segnalante può scegliere l'uno o l'altro; il considerando 33 della direttiva esprime una preferenza per il canale interno per primo, ma non ne fa una precondizione.
Obbligo di documentazione
Sezione 11 HinSchG: le segnalazioni sono documentate in forma durevole e recuperabile. La documentazione è cancellata tre anni dopo la chiusura della procedura; una conservazione più lunga è consentita ove necessaria per procedimenti giudiziari. I dati personali seguono i principi del GDPR.
Riservatezza dell'identità
Sezione 8 HinSchG: l'identità della persona segnalante, delle persone nominate nella segnalazione e dei terzi menzionati è mantenuta riservata. La divulgazione è consentita solo in eccezioni ristrette, ad esempio una richiesta scritta di un'autorità di procedimento penale. Gli addetti alla gestione dei casi devono essere indipendenti e privi di conflitti di interesse.
Divieto di ritorsioni
La Sezione 36 HinSchG vieta le ritorsioni nei confronti della persona segnalante. Ciò comprende il licenziamento, la retrocessione, la negazione di formazione, una valutazione negativa delle prestazioni e misure analoghe. La Sezione 36(2) inverte l'onere della prova: se una persona subisce uno svantaggio dopo una segnalazione, lo svantaggio si presume essere una ritorsione, salvo prova contraria del datore di lavoro.
BSI come autorità settoriale
Il Bundesamt fuer Sicherheit in der Informationstechnik (BSI) è l'autorità competente per la vigilanza NIS 2 ai sensi della Sezione 61 BSIG. Una segnalazione di whistleblowing che lamenta che un'entità non soddisfa le misure dell'articolo 21 o non si è registrata ai sensi dell'articolo 27 finirà tipicamente al BSI attraverso l'instradamento del canale esterno, anche se è presentata in primo luogo al Bundesamt fuer Justiz.
Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit
Il BfDI è il canale esterno settoriale per le violazioni della protezione dei dati a livello federale. NIS 2 e GDPR si sovrappongono quando un incidente coinvolge dati personali. Una segnalazione di whistleblowing può citare entrambe le basi giuridiche; l'autorità ricevente instrada le parti all'organo competente.
Bundesamt fuer Justiz come canale esterno centrale
Il Bundesamt fuer Justiz gestisce l'ufficio di segnalazione esterno centrale ai sensi della Sezione 19 HinSchG. È l'indirizzo esterno predefinito se non si applica alcun canale settoriale, e instrada le segnalazioni all'autorità di vigilanza competente (BSI, BNetzA, BAFin, BfDI) quando l'oggetto vi ricade.
Una segnalazione di whistleblowing al BSI sostituisce la nostra notifica di incidente ai sensi dell'articolo 23.
Non la sostituisce. L'articolo 23 NIS 2 e la Sezione 32 BSIG pongono l'obbligo di notifica in capo all'entità. Una segnalazione di terzi apre un fascicolo di vigilanza distinto. Le notifiche proprie dell'entità (preallarme, 24 ore e 72 ore) scorrono in modo indipendente.
Abbiamo 60 dipendenti, ma nessuno ha mai segnalato nulla, quindi non ci serve un canale.
La Sezione 12 HinSchG lega l'obbligo all'organico, non al fatto che siano state presentate segnalazioni. La Sezione 40 HinSchG prevede una sanzione amministrativa fino a 20.000 EUR per la mancata gestione di un canale interno. La sanzione decorre dal 1° dicembre 2023 per le entità con 50-249 dipendenti.
Possiamo licenziare la persona che ha presentato la segnalazione perché le prestazioni sono calate.
La Sezione 36 HinSchG presume che la misura sia una ritorsione una volta presentata una segnalazione. L'onere della prova grava sul datore di lavoro, che deve dimostrare un motivo estraneo e documentato. Le decisioni sulla persona segnalante adottate dopo una segnalazione sono soggette a un controllo rafforzato.
Due orologi scorrono in parallelo dopo una segnalazione su un fallimento NIS 2. L'orologio uno è la tempistica di risposta della HinSchG: conferma di ricezione entro sette giorni ai sensi della Sezione 17(1)(1), riscontro alla persona segnalante entro tre mesi ai sensi della Sezione 17(1)(4). L'orologio due è qualunque obbligo di incidente NIS 2 sia innescato dalla sostanza della segnalazione, ossia l'obbligo proprio dell'entità ai sensi dell'articolo 23 e non quello del whistleblower.
Lo schema più pulito nelle entità di medie dimensioni: un addetto al caso nominato in compliance o nelle risorse umane, un secondo supplente nominato, un modulo di ricezione scritto che raccoglie la sostanza senza forzare la divulgazione dell'identità, e un registro scritto che annota ogni passaggio con una marca temporale. Il registro è l'unica evidenza che esiste in seguito se un giudice chiede come è stata gestita la segnalazione.
Le segnalazioni di whistleblowing non fanno parte del registro degli obblighi NIS 2 in sé. Sono un obbligo di governance parallelo ai sensi della HinSchG, con un proprio canale, una propria conservazione e una propria regola di non ritorsione.
Il registro degli obblighi risponde alla domanda su quali misure NIS 2 l'entità abbia attuato e su come ciò sia documentato. Il canale di whistleblowing risponde alla domanda su come l'entità riceva ed elabori le segnalazioni relative alle lacune in quelle misure. Entrambi sono registri indipendenti ed entrambi possono essere richiesti da un'autorità di vigilanza.
- Direttiva (UE) 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione (GU L 305 del 26.11.2019, pag. 17). Allegato parte I.B e articolo 4.
- Hinweisgeberschutzgesetz (HinSchG) del 31 maggio 2023, BGBl. 2023 I Nr. 140. Sezioni 2, 8, 11, 12, 16, 17, 19, 36, 40.
- Direttiva (UE) 2022/2555 (NIS 2) del 14 dicembre 2022, articoli 21, 23, 27.
- BSI-Gesetz (BSIG), Sezioni 32, 33, 61, 65.
- Bundesamt fuer Justiz, ufficio di segnalazione esterno ai sensi della Sezione 19 HinSchG.