Capo V
Art. 38
38 / 44Sanzioni amministrative
In vigore dal 16 ott 2024
1. L'Autorità nazionale competente NIS, ai fini dell'esercizio dei suoi poteri sanzionatori, tiene anche conto degli esiti delle attività di monitoraggio, supporto e analisi di cui all', delle risultanze dell'esercizio dei poteri di verifica e ispettivi di cui all', nonché dell'esercizio dei poteri di esecuzione di cui all'.
2. Fermi restando i criteri di cui all', comma 6, l'Agenzia per la cybersicurezza nazionale con una o più determinazioni, adottate secondo le modalità dell', comma 5, può specificare laddove necessario i criteri per la determinazione dell'importo delle sanzioni per le violazioni di cui ai commi 8 e 10 del presente articolo, adottando tutte le misure necessarie per assicurarne l'effettività, la proporzionalità, la dissuasività e l'applicazione.
3. L'esercizio dei poteri di cui all' non impedisce la contestazione delle violazioni di cui ai commi 8 e 10 del presente articolo, nonché la relativa irrogazione di sanzioni amministrative di cui al presente articolo.
4. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all', commi 6 e 7, l'Autorità nazionale competente NIS può sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, ai sensi della normativa vigente, di sospendere temporaneamente un certificato o un'autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale. Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all', commi 6 e 7. Le disposizioni di cui al presente comma non si applicano alle pubbliche amministrazioni di cui all'allegato III, nonché ai soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all', comma 4.
5. Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l'autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell'inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza.
6. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all', commi 6 e 7, l'Autorità nazionale competente NIS può disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all' dei soggetti essenziali e dei soggetti importanti, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l'applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all'interno del medesimo soggetto. Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all', commi 6 e 7.
7. Ai dipendenti pubblici che esercitano i poteri di cui al comma 5, si applicano le norme in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati. In particolare, la violazione degli obblighi di cui al presente decreto può costituire causa di responsabilità dirigenziale, disciplinare e amministrativo-contabile.
8. Con le sanzioni amministrative pecuniarie di cui al comma 9 sono punite le seguenti violazioni:
a) mancata osservanza degli obblighi imposti dall' agli organi di amministrazione e agli organi direttivi, nonché degli obblighi relativi alla gestione del rischio per la sicurezza informatica e alla notifica di incidente, di cui agli , così come disciplinati ai sensi dell';
b) inottemperanza alle disposizioni adottate dall'Autorità nazionale competente NIS ai sensi dell', commi 3 e 4, e alle relative diffide.
9. Le violazioni di cui al comma 8 sono punite:
a) per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l'esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, se tale importo è superiore, il cui minimo è fissato nella misura di un ventesimo del massimo edittale;
b) per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell'1,4% del totale del fatturato annuo su scala mondiale per l'esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE, se tale importo è superiore, il cui minimo è fissato nella misura di un trentesimo del massimo edittale;
c) per le pubbliche amministrazioni di cui all'allegato III, nonché per i soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all', comma 4, che sono soggetti essenziali, con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000;
d) per le pubbliche amministrazioni di cui all'allegato III, nonché per i soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all', comma 4, che sono soggetti importanti, le sanzioni amministrative pecuniarie di cui alla lettera c) sono ridotte di un terzo.
10. Con le sanzioni amministrative pecuniarie di cui al comma 11 sono punite le seguenti violazioni:
a) mancata registrazione, comunicazione o aggiornamento delle informazioni ai sensi dell', commi 1, 3, 4, 5 e 7;
b) inosservanza delle modalità stabilite dall'Autorità nazionale competente NIS ai sensi dell';
c) mancata comunicazione o aggiornamento dell'elenco delle attività e dei servizi nonché della loro categorizzazione ai sensi dell', comma 1;
d) mancata implementazione o attuazione degli obblighi relativi all'uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio nonché alle previsioni settoriali specifiche di cui agli , così come disciplinati ai sensi dell'.
e) mancata collaborazione con l'Autorità nazionale competente NIS nello svolgimento delle attività e nell'esercizio dei poteri di cui al presente capo;
f) mancata collaborazione con il CSIRT Italia.
11. Le violazioni di cui al comma 10, fermi restando i minimi edittali di cui al comma 9, sono punite:
a) per i soggetti essenziali, con sanzioni amministrative pecuniarie fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l'esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE;
b) per i soggetti importanti, con sanzioni amministrative pecuniarie fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l'esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE;
c) per le pubbliche amministrazioni di cui all'allegato III, nonché per i soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all', comma 4, che sono soggetti essenziali, con sanzioni amministrative pecuniarie da euro 10.000 a euro 50.000;
d) per le pubbliche amministrazioni di cui all'allegato III, nonché per i soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all', comma 4, che sono soggetti importanti, le sanzioni amministrative pecuniarie di cui alla lettera c) sono ridotte di un terzo.
12. Si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall'articolo 8-bis della legge 24 novembre del 1981, n. 689. Nei casi di reiterazione specifica, la sanzione prevista per la violazione è aumentata fino al doppio. Nei casi di reiterazione non specifica si applica la sanzione prevista per la violazione più grave aumentata fino al triplo.
13. In caso di mancata o tardiva registrazione di cui all', sono comunque contestate tutte le violazioni previste dai commi 8 e 10 del presente articolo, e si applica la sanzione prevista per la violazione più grave aumentata fino al triplo.
14. In caso di mancata osservanza degli obblighi relativi alla notifica di incidente di cui all', da parte delle pubbliche amministrazioni di cui all'allegato III, nonché dei soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all', comma 4, le disposizioni di cui al comma 9 del presente articolo si applicano solo in caso di reiterazione specifica nell'arco di cinque anni e l'Autorità nazionale competente NIS può esercitare, durante i dodici mesi successivi all'accertamento della violazione, i poteri di verifica e ispettivi di cui all'.
15. Ai fini dell'attuazione del presente articolo, sono individuate, ai sensi dell', comma 1, lettera c), le modalità di applicazione, nell'ambito del procedimento sanzionatorio, dei seguenti strumenti deflattivi del contenzioso:
a) l'invito a conformarsi che l'Autorità nazionale competente NIS, ove accerti la sussistenza delle violazioni, e fatto salvo il caso di reiterazione delle stesse, invia al trasgressore, assegnando un congruo termine perentorio, proporzionato al tipo e alla gravità della violazione, per conformare la condotta agli obblighi previsti dalla normativa vigente. Ove il trasgressore ottemperi all'obbligo di conformare la condotta nei termini previsti, il procedimento sanzionatorio non prosegue. La disposizione di cui alla presente lettera non si applica al soggetto che sia stato già destinatario della diffida di cui all', comma 6, ovvero ai soggetti e nei casi previsti dal comma 14 del presente articolo;
b) la facoltà di estinguere il procedimento attraverso il pagamento in misura ridotta pari alla terza parte del massimo della sanzione o se più favorevole, e qualora sia stabilito, al doppio del minimo della sanzione edittale, nel termine perentorio di sessanta giorni dalla data di notifica della contestazione. In caso di reiterazione si applica l'articolo 8-bis della legge 24 novembre 1981, n. 689;
c) le fattispecie in cui non è prevista pubblicità dell'irrogazione di sanzioni amministrative.
16. I proventi delle sanzioni amministrative pecuniarie irrogate dall'Autorità nazionale competente NIS ai sensi di quanto previsto dal presente decreto sono versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, di cui all' del decreto legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Prourn:nir:stato:decreto.legislativo:2024-09-04;138#art-38