In vigore dal 17 ott 2024·Giorno 575·

Sanzioni28 mar. 20258 min

Come i regolatori nazionali calcoleranno la vostra sanzione NIS2

Fino a 10 M€ o il 2 % del fatturato mondiale. Il titolo è semplice. L’aritmetica dietro, no.

Come i regolatori nazionali calcoleranno la vostra sanzione NIS2Sanzioni

«Fino a 10 M€ o il 2 % del fatturato mondiale» è il titolo. Breve, drammatico, e quasi sempre citato male nelle presentazioni al consiglio. La regola reale sta nell'articolo 34 della direttiva (UE) 2022/2555 e si legge, in forma pienamente operativa, come una funzione di tre elementi: una categoria, una formula e una lista di fattori.

Ecco cosa la vostra funzione finanza deve modellare.

La formula: non «o», ma «applicandosi l'importo più elevato»

L'articolo 34, paragrafo 4, fissa il tetto per i soggetti essenziali: sanzioni amministrative pecuniarie «di importo massimo pari ad almeno 10 000 000 EUR o di importo massimo pari ad almeno il 2 % del fatturato annuo mondiale dell'esercizio finanziario precedente dell'impresa cui appartiene il soggetto essenziale, applicandosi l'importo più elevato».

L'articolo 34, paragrafo 5, fissa il tetto per i soggetti importanti: «di importo massimo pari ad almeno 7 000 000 EUR o di importo massimo pari ad almeno l'1,4 % del fatturato annuo mondiale (...), applicandosi l'importo più elevato».

Quel che sparisce nelle scorciatoie è «applicandosi l'importo più elevato». Per un soggetto essenziale in un gruppo con 1 miliardo € di fatturato mondiale, il tetto non è 10 M€ — è 2 % × 1 Md€ = 20 M€. Per 10 Md€ è 200 M€. La cifra fissa in euro si applica solo a soggetti abbastanza piccoli perché il 2 % del fatturato sia inferiore a 10 M€ — grosso modo, gruppi sotto i 500 M€ di ricavi.

Altrettanto importante: la percentuale si calcola sull'impresa (il gruppo), non sulla persona giuridica che ha commesso la violazione. Una controllata soggetto essenziale di una multinazionale viene sanzionata come percentuale del fatturato mondiale consolidato della capogruppo. Il testo è inequivocabile sul punto.

I fattori: nove modulatori tra zero e il tetto

L'articolo 34, paragrafo 3, elenca ciò che le autorità nazionali competenti devono considerare nel determinare l'importo effettivo dentro quel tetto. La lista è tassativa nella direttiva ma interpretata in modo ampio nei recepimenti nazionali. I nove fattori:

  1. Gravità e durata della violazione.
  2. Danni cagionati o perdite subite dal soggetto, inclusi danni economici, sociali o ambientali a terzi.
  3. Carattere doloso o colposo della violazione.
  4. Misure adottate per prevenire o attenuare il danno.
  5. Grado di responsabilità o eventuali violazioni precedenti.
  6. Grado di cooperazione con l'autorità competente.
  7. Modalità con cui la violazione è stata portata a conoscenza dell'autorità, in particolare se il soggetto stesso l'ha notificata e con quale tempestività.
  8. Adesione a codici di condotta approvati o a meccanismi di certificazione.
  9. Eventuali vantaggi finanziari conseguiti o perdite evitate in conseguenza della violazione.

L'implicazione aritmetica: un fattore favorevole (auto-notifica entro 72 ore, piena cooperazione, ISO 27001 in essere, mitigazione tempestiva) riduce la sanzione. Un fattore sfavorevole (occultamento, precedente, dolo, mancanza di certificazioni) la spinge verso il tetto. Le autorità nazionali competenti hanno iniziato a pubblicare griglie di ponderazione approssimative — vedi la metodologia pubblicata dal BSI in Germania e le linee guida sanzionatorie dell'ACN in Italia — e i modulatori coprono comunemente un ordine di grandezza.

Il peggior-caso per un soggetto essenziale con 1 Md€ di fatturato è 20 M€. Il miglior-caso per lo stesso soggetto, sulla stessa violazione, è più vicino a 1-2 M€. Il lavoro non è evitare la sanzione — è muoversi lungo la scala dei modulatori.

Aggravanti che spingono in modo significativo verso il tetto

Tre fattori producono in modo costante un aumento nelle linee guida pubblicate:

  • Mancata notifica di un incidente entro la finestra di 72 ore dell'articolo 23. L'aggravante più frequente perché è la più dimostrabile.
  • Recidiva — un precedente rilievo sull'articolo 21 negli ultimi tre anni (le regole nazionali variano sulla finestra retrospettiva).
  • Inosservanza dolosa documentata in verbali del consiglio o e-mail interne. La prova reperibile che l'organo di direzione era stato avvertito dell'assenza di una misura e ha scelto di non affrontarla è il modulatore peggiore.

Attenuanti che riducono in modo significativo la sanzione

Allo stesso modo costanti:

  • Auto-notifica della violazione all'autorità competente prima dell'azione del regolatore.
  • Una certificazione ISO/IEC 27001 in corso di validità o certificazione nazionale equivalente (Grundschutz del BSI, Esquema Nacional dell'INCIBE-CERT, schema dell'ACN, percorso di certificazione del NCSC-IE).
  • Vigilanza del consiglio documentata ai sensi dell'articolo 20 — gli stessi documenti coperti dalla nostra analisi dell'articolo 20 (verbali del consiglio, registri di formazione, registro dei rischi datato) mappano direttamente su questo fattore.
  • Rimedio tempestivo con date di chiusura misurabili comunicate al regolatore.

Interazione con sanzioni GDPR e DORA

L'articolo 32, paragrafo 2 della NIS2 contiene una clausola di coordinamento: se la stessa condotta attiva sia NIS2 sia GDPR o DORA, le autorità competenti devono coordinarsi per evitare la doppia sanzione sui medesimi fatti. In pratica, ciò raramente annulla una sanzione — sposta piuttosto quale regolatore guida e quale è informato. L'esposizione aggregata su un incidente di violazione di dati personali che costituisce anche un incidente significativo NIS2 è il più elevato dei due tetti, non la loro somma.

Per i soggetti del settore finanziario rientranti anche nell'ambito di DORA, il tetto combinato è ancora più stratificato. Una decisione a livello di consiglio di investire nella conformità al più severo dei due (tipicamente DORA per i servizi finanziari interessati) è la postura difendibile.

Variazione nazionale

La direttiva fissa tetti minimi («almeno»). Gli Stati membri possono fissare tetti più alti, e diversi hanno usato l'opzione:

  • Germania: il NIS2UmsuCG mantiene i minimi della direttiva ma aggiunge una responsabilità civile esplicita degli amministratori al §32.
  • Francia: il quadro applicativo dell'ANSSI segue i minimi della direttiva; il Conseil d'État ha competenza di vigilanza sui contenziosi.
  • Spagna, Italia, Irlanda: minimi della direttiva confermati, con specificità procedurali nazionali su diritti di opposizione e ricorso.
  • Belgio: il recepimento si è spinto oltre, con responsabilità civile esplicita delle persone fisiche che esercitano funzioni dirigenziali.

L'aritmetica è quella della direttiva. La procedura e la via di ricorso sono nazionali. I consigli che modellano l'esposizione devono applicare la formula con le cifre della direttiva e aggiungere uno strato di costi procedurali specifico per ciascuno Stato membro di operatività.

Cosa significa per il budget

La postura di budget razionale non è «accantonare la sanzione massima per ogni evenienza». È:

  • Modellare il tetto sul fatturato di gruppo.
  • Tracciare il valore atteso reale in base al profilo di fattori attuale del soggetto (certificazioni, governance del consiglio, prontezza di notifica, precedenti).
  • Trattare la distanza tra i due come un business case di investimento in controlli. Ogni euro speso su un controllo che sposta un fattore da aggravante ad attenuante si ripaga in valore atteso più volte rispetto al tetto sanzionatorio.

È esattamente la conversazione che l'articolo 34 invita. La cifra del titolo è l'inizio, non la risposta.

Fonti

  1. Direttiva (UE) 2022/2555, articolo 34 («Condizioni generali per l'imposizione di sanzioni amministrative pecuniarie»).
  2. Direttiva (UE) 2022/2555, articolo 34, paragrafi 4 e 5 (tetti per soggetti essenziali e importanti).
  3. Direttiva (UE) 2022/2555, articolo 34, paragrafo 3 (fattori da considerare nella determinazione della sanzione).
  4. Direttiva (UE) 2022/2555, articolo 32, paragrafo 2 (coordinamento con GDPR e altre sanzioni di diritto dell'Unione).
  5. Direttiva (UE) 2022/2555, articolo 23 (obblighi di segnalazione degli incidenti — citato come fattore sanzionatorio).
  6. Direttiva (UE) 2022/2555, considerando da 130 a 135 (sanzioni ed esecuzione).
  7. Linee guida applicative delle autorità nazionali competenti: BSI (DE), ANSSI (FR), INCIBE (ES), ACN (IT), NCSC-IE (IE), e analisi comparate dell'ENISA.

Altri articoli

Autenticazione multifattore NIS2: 5 classi di accesso obbligateMisure tecniche

Autenticazione multifattore NIS2: 5 classi di accesso obbligate

11 mag. 2026·Leggere · 7 min
Decreto attuazione NIS2: dove stanno oggi i quattro mercatiEsecuzione nazionale

Decreto attuazione NIS2: dove stanno oggi i quattro mercati

6 mag. 2026·Leggere · 7 min
Incidente significativo NIS2: l’albero decisionale per la reperibilità delle 3 di notteGestione incidenti

Incidente significativo NIS2: l’albero decisionale per la reperibilità delle 3 di notte

6 mag. 2026·Leggere · 7 min