L’ACN dal 4 settembre potrà comminare sanzioni fino a un massimo di 5 milioni di euro in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza.
Trova conferma l’articolo di Cybersecurity Italia del 5 maggio scorso dal titolo: “L’Agenzia cyber può multare fino a 5 milioni di euro. Ecco a chi”.
È ora legge dello Stato quella bozza del Decreto legislativo del MiSe sulle norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cybersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione.
Il regolamento europeo mira ad introdurre regole armonizzate in tutta l’Unione Europea per la certificazione di cibersicurezza di prodotti TIC (Tecnologie dell’Informazione e delle Comunicazioni), servizi TIC e processi TIC.
Sanzioni fino a 5 milioni di euro
Come messo da noi in evidenza, sin da titolo, dal 4 settembre prossimo, da quando il decreto legislativo sarà in vigore, l’Agenzia per la cybersicurezza nazionale (ACN) potrà comminare sanzioni fino a un massimo di 5 milioni di euro in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza e dell’articolo 65 del Regolamento sulla cybersicurezza.
ACN designata Autorità Nazionale di certificazione della Cybersicurezza
Questo perché il decreto legislativo del 3 agosto 2022, n. 123, pubblicato in Gazzetta Ufficiale sabato 20 agosto, designa l’ACN quale Autorità Nazionale di certificazione della Cybersicurezza.
Le sanzioni
L’Agenzia può impartire ordini o intimare diffide ai soggetti che operano in contrasto al quadro europeo di certificazione. Ai soggetti che non ottemperano nel termine indicato nell’ordine o nella diffida l’Agenzia commina la sanzione del pagamento di una somma da 200.000 euro ad 1.000.000 di euro.
Se le violazioni riguardano provvedimenti adottati dall’Agenzia nei confronti di soggetti con fatturato pari almeno a 200.000.000 euro, si applica a ciascun soggetto interessato una sanzione amministrativa pecuniaria non inferiore allo 0,3 per cento e non superiore all’1,5 per cento del fatturato, restando comunque fermo il limite massimo di 5.000.000 di euro. Come riferimento per il fatturato si assume il valore realizzato dallo stesso soggetto nell’esercizio precedente a quello in cui sia stato impartito l’ordine o sia stata intimata la diffida.
L’Agenzia rilascia i certificati di cybersicurezza con livello di affidabilità elevato tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI).
A chi i soldi delle sanzioni?
Gli introiti derivanti dalle sanzioni pecuniarie, si legge del testo, sono versati ad apposito capitolo dell’entrata del bilancio dello Stato per essere successivamente riassegnati con decreto del Ministro dell’economia e delle finanze sul pertinente capitolo dello stato di previsione della spesa del Ministero dell’economia e delle finanze, per incrementare la dotazione dei capitoli del bilancio dell’Agenzia destinati alle attività di ricerca e formazione concernenti la certificazione della cybersicurezza di prodotti TIC, servizi TIC e processi TIC.
Come svolgere questa nuova funzione
L’organizzazione e le procedure per lo svolgimento dei compiti in questione, che andranno separati dalle attività di sorveglianza proprie dell’Agenzia, saranno regolati da un successivo provvedimento da emanare a cura dell’Agenzia stessa sulla base delle norme attualmente vigenti che ne regolano il suo funzionamento.
Per lo svolgimento dei compiti in questione il decreto legislativo stanzia per il triennio 2022-2024 la somma complessiva di euro 1.887.500 ripartita in tre diversi stanziamenti per ogni anno del triennio.
Per approfondire: