Art. 38
Sanzioni amministrative
1. L'Autorita' nazionale competente NIS, ai fini dell'esercizio dei
suoi poteri sanzionatori, tiene anche conto degli esiti delle
attivita' di monitoraggio, supporto e analisi di cui all'articolo 35,
delle risultanze dell'esercizio dei poteri di verifica e ispettivi di
cui all'articolo 36, nonche' dell'esercizio dei poteri di esecuzione
di cui all'articolo 37.
2. Fermi restando i criteri di cui all'articolo 34, comma 6,
l'Agenzia per la cybersicurezza nazionale con una o piu'
determinazioni, adottate secondo le modalita' dell'articolo 40, comma
5, puo' specificare laddove necessario i criteri per la
determinazione dell'importo delle sanzioni per le violazioni di cui
ai commi 8 e 10 del presente articolo, adottando tutte le misure
necessarie per assicurarne l'effettivita', la proporzionalita', la
dissuasivita' e l'applicazione.
3. L'esercizio dei poteri di cui all'articolo 37 non impedisce la
contestazione delle violazioni di cui ai commi 8 e 10 del presente
articolo, nonche' la relativa irrogazione di sanzioni amministrative
di cui al presente articolo.
4. Qualora il soggetto non adempia nei termini stabiliti dalla
diffida di cui all'articolo 37, commi 6 e 7, l'Autorita' nazionale
competente NIS puo' sospendere temporaneamente o chiedere a un
organismo di certificazione o autorizzazione, oppure a un organo
giurisdizionale, ai sensi della normativa vigente, di sospendere
temporaneamente un certificato o un'autorizzazione relativi a una
parte o alla totalita' dei servizi o delle attivita' pertinenti
svolti dal soggetto essenziale. Tale sospensione temporanea e'
applicata finche' il soggetto interessato non adotta le misure
necessarie a porre rimedio alle carenze o a conformarsi alle diffide
di cui all'articolo 37, commi 6 e 7. Le disposizioni di cui al
presente comma non si applicano alle pubbliche amministrazioni di cui
all'allegato III, nonche' ai soggetti rientranti fra le tipologie di
cui all'allegato IV, punto 1, partecipati o sottoposti a controllo
pubblico, e punto 4, laddove individuati secondo le modalita' di cui
all'articolo 40, comma 4.
5. Qualsiasi persona fisica responsabile di un soggetto essenziale
o che agisca in qualita' di suo rappresentante legale con l'autorita'
di rappresentarlo, di prendere decisioni per suo conto o di
esercitare un controllo sul soggetto stesso, assicura il rispetto
delle disposizioni di cui al presente decreto. Tali persone fisiche
possono essere ritenute responsabili dell'inadempimento in caso di
violazione del presente decreto da parte del soggetto di cui hanno
rappresentanza.
6. Qualora il soggetto non adempia nei termini stabiliti dalla
diffida di cui all'articolo 37, commi 6 e 7, l'Autorita' nazionale
competente NIS puo' disporre nei confronti delle persone fisiche di
cui al comma 5 del presente articolo, ivi inclusi gli organi di
amministrazione e gli organi direttivi di cui all'articolo 23 dei
soggetti essenziali e dei soggetti importanti, nonche' di quelle che
svolgono funzioni dirigenziali a livello di amministratore delegato o
rappresentante legale di un soggetto essenziale o importante,
l'applicazione della sanzione amministrativa accessoria della
incapacita' a svolgere funzioni dirigenziali all'interno del medesimo
soggetto. Tale sospensione temporanea e' applicata finche' il
soggetto interessato non adotta le misure necessarie a porre rimedio
alle carenze o a conformarsi alle diffide di cui all'articolo 37,
commi 6 e 7.
7. Ai dipendenti pubblici che esercitano i poteri di cui al comma
5, si applicano le norme in materia di responsabilita' dei dipendenti
pubblici e dei funzionari eletti o nominati. In particolare, la
violazione degli obblighi di cui al presente decreto puo' costituire
causa di responsabilita' dirigenziale, disciplinare e
amministrativo-contabile.
8. Con le sanzioni amministrative pecuniarie di cui al comma 9 sono
punite le seguenti violazioni:
a) mancata osservanza degli obblighi imposti dall'articolo 23
agli organi di amministrazione e agli organi direttivi, nonche' degli
obblighi relativi alla gestione del rischio per la sicurezza
informatica e alla notifica di incidente, di cui agli articoli 24 e
25, cosi' come disciplinati ai sensi dell'articolo 31;
b) inottemperanza alle disposizioni adottate dall'Autorita'
nazionale competente NIS ai sensi dell'articolo 37, commi 3 e 4, e
alle relative diffide.
9. Le violazioni di cui al comma 8 sono punite:
a) per i soggetti essenziali, escluse le pubbliche
amministrazioni, con sanzioni amministrative pecuniarie fino a un
massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su
scala mondiale per l'esercizio precedente del soggetto, calcolato
secondo le modalita' previste della raccomandazione 2003/361/CE della
Commissione, del 6 maggio 2003, se tale importo e' superiore, il cui
minimo e' fissato nella misura di un ventesimo del massimo edittale;
b) per i soggetti importanti, escluse le pubbliche
amministrazioni, con sanzioni amministrative pecuniarie fino a un
massimo di euro 7.000.000 o dell'1,4% del totale del fatturato annuo
su scala mondiale per l'esercizio precedente del soggetto, calcolato
secondo le modalita' previste della raccomandazione 2003/361/CE, se
tale importo e' superiore, il cui minimo e' fissato nella misura di
un trentesimo del massimo edittale;
c) per le pubbliche amministrazioni di cui all'allegato III,
nonche' per i soggetti rientranti fra le tipologie di cui
all'allegato IV, punto 1, partecipati o sottoposti a controllo
pubblico, e punto 4, laddove individuati secondo le modalita' di cui
all'articolo 40, comma 4, che sono soggetti essenziali, con sanzioni
amministrative pecuniarie da euro 25.000 a euro 125.000;
d) per le pubbliche amministrazioni di cui all'allegato III,
nonche' per i soggetti rientranti fra le tipologie di cui
all'allegato IV, punto 1, partecipati o sottoposti a controllo
pubblico, e punto 4, laddove individuati secondo le modalita' di cui
all'articolo 40, comma 4, che sono soggetti importanti, le sanzioni
amministrative pecuniarie di cui alla lettera c) sono ridotte di un
terzo.
10. Con le sanzioni amministrative pecuniarie di cui al comma 11
sono punite le seguenti violazioni:
a) mancata registrazione, comunicazione o aggiornamento delle
informazioni ai sensi dell'articolo 7, commi 1, 3, 4, 5 e 7;
b) inosservanza delle modalita' stabilite dall'Autorita'
nazionale competente NIS ai sensi dell'articolo 7;
c) mancata comunicazione o aggiornamento dell'elenco delle
attivita' e dei servizi nonche' della loro categorizzazione ai sensi
dell'articolo 30, comma 1;
d) mancata implementazione o attuazione degli obblighi relativi
all'uso di schemi di certificazione, alla banca dei dati di
registrazione dei nomi di dominio nonche' alle previsioni settoriali
specifiche di cui agli articoli 27, 29 e 32, cosi' come disciplinati
ai sensi dell'articolo 31.
e) mancata collaborazione con l'Autorita' nazionale competente
NIS nello svolgimento delle attivita' e nell'esercizio dei poteri di
cui al presente capo;
f) mancata collaborazione con il CSIRT Italia.
11. Le violazioni di cui al comma 10, fermi restando i minimi
edittali di cui al comma 9, sono punite:
a) per i soggetti essenziali, con sanzioni amministrative
pecuniarie fino a un massimo dello 0,1% del totale del fatturato
annuo su scala mondiale per l'esercizio precedente del soggetto,
calcolato secondo le modalita' previste della raccomandazione
2003/361/CE;
b) per i soggetti importanti, con sanzioni amministrative
pecuniarie fino a un massimo dello 0,07% del totale del fatturato
annuo su scala mondiale per l'esercizio precedente del soggetto,
calcolato secondo le modalita' previste della raccomandazione
2003/361/CE;
c) per le pubbliche amministrazioni di cui all'allegato III,
nonche' per i soggetti rientranti fra le tipologie di cui
all'allegato IV, punto 1, partecipati o sottoposti a controllo
pubblico, e punto 4, laddove individuati secondo le modalita' di cui
all'articolo 40, comma 4, che sono soggetti essenziali, con sanzioni
amministrative pecuniarie da euro 10.000 a euro 50.000;
d) per le pubbliche amministrazioni di cui all'allegato III,
nonche' per i soggetti rientranti fra le tipologie di cui
all'allegato IV, punto 1, partecipati o sottoposti a controllo
pubblico, e punto 4, laddove individuati secondo le modalita' di cui
all'articolo 40, comma 4, che sono soggetti importanti, le sanzioni
amministrative pecuniarie di cui alla lettera c) sono ridotte di un
terzo.
12. Si ha reiterazione delle violazioni di cui al presente articolo
nei casi regolati dall'articolo 8-bis della legge 24 novembre del
1981, n. 689. Nei casi di reiterazione specifica, la sanzione
prevista per la violazione e' aumentata fino al doppio. Nei casi di
reiterazione non specifica si applica la sanzione prevista per la
violazione piu' grave aumentata fino al triplo.
13. In caso di mancata o tardiva registrazione di cui all'articolo
7, sono comunque contestate tutte le violazioni previste dai commi 8
e 10 del presente articolo, e si applica la sanzione prevista per la
violazione piu' grave aumentata fino al triplo.
14. In caso di mancata osservanza degli obblighi relativi alla
notifica di incidente di cui all'articolo 25, da parte delle
pubbliche amministrazioni di cui all'allegato III, nonche' dei
soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1,
partecipati o sottoposti a controllo pubblico, e punto 4, laddove
individuati secondo le modalita' di cui all'articolo 40, comma 4, le
disposizioni di cui al comma 9 del presente articolo si applicano
solo in caso di reiterazione specifica nell'arco di cinque anni e
l'Autorita' nazionale competente NIS puo' esercitare, durante i
dodici mesi successivi all'accertamento della violazione, i poteri di
verifica e ispettivi di cui all'articolo 36.
15. Ai fini dell'attuazione del presente articolo, sono
individuate, ai sensi dell'articolo 40, comma 1, lettera c), le
modalita' di applicazione, nell'ambito del procedimento
sanzionatorio, dei seguenti strumenti deflattivi del contenzioso:
a) l'invito a conformarsi che l'Autorita' nazionale competente
NIS, ove accerti la sussistenza delle violazioni, e fatto salvo il
caso di reiterazione delle stesse, invia al trasgressore, assegnando
un congruo termine perentorio, proporzionato al tipo e alla gravita'
della violazione, per conformare la condotta agli obblighi previsti
dalla normativa vigente. Ove il trasgressore ottemperi all'obbligo di
conformare la condotta nei termini previsti, il procedimento
sanzionatorio non prosegue. La disposizione di cui alla presente
lettera non si applica al soggetto che sia stato gia' destinatario
della diffida di cui all'articolo 37, comma 6, ovvero ai soggetti e
nei casi previsti dal comma 14 del presente articolo;
b) la facolta' di estinguere il procedimento attraverso il
pagamento in misura ridotta pari alla terza parte del massimo della
sanzione o se piu' favorevole, e qualora sia stabilito, al doppio del
minimo della sanzione edittale, nel termine perentorio di sessanta
giorni dalla data di notifica della contestazione. In caso di
reiterazione si applica l'articolo 8-bis della legge 24 novembre
1981, n. 689;
c) le fattispecie in cui non e' prevista pubblicita'
dell'irrogazione di sanzioni amministrative.
16. I proventi delle sanzioni amministrative pecuniarie irrogate
dall'Autorita' nazionale competente NIS ai sensi di quanto previsto
dal presente decreto sono versati all'entrata del bilancio dello
Stato per essere riassegnati all'apposito capitolo dello stato di
previsione della spesa del Ministero dell'economia e delle finanze,
di cui all'articolo 18 del decreto legge 14 giugno 2021, n. 82,
convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, per
incrementare la dotazione del bilancio dell'Agenzia per la
cybersicurezza nazionale.
Note all'art. 38:
- Per la raccomandazione 2003/361/CE della Commissione,
del 6 maggio 2003, relativa alla definizione delle
microimprese, piccole e medie imprese si veda nelle note
alle premesse.
- Si riporta il testo dell'articolo 8-bis della legge
24 novembre del 1981, n. 689 (Modifiche al sistema penale),
pubblicata nella Gazzetta Ufficiale del 30 novembre 1981,
n. 329:
«Art. 8-bis (Reiterazioni delle violazioni). - Salvo
quanto previsto da speciali disposizioni di legge, si ha
reiterazione quando, nei cinque anni successivi alla
commissione di una violazione amministrativa, accertata con
provvedimento esecutivo, lo stesso soggetto commette
un'altra violazione della stessa indole. Si ha reiterazione
anche quando piu' violazioni della stessa indole commesse
nel quinquennio sono accertate con unico provvedimento
esecutivo.
Si considerano della stessa indole le violazioni
della medesima disposizione e quelle di disposizioni
diverse che, per la natura dei fatti che le costituiscono o
per le modalita' della condotta, presentano una sostanziale
omogeneita' o caratteri fondamentali comuni.
La reiterazione e' specifica se e' violata la
medesima disposizione.
Le violazioni amministrative successive alla prima
non sono valutate, ai fini della reiterazione, quando sono
commesse in tempi ravvicinati e riconducibili ad una
programmazione unitaria.
La reiterazione determina gli effetti che la legge
espressamente stabilisce. Essa non opera nel caso di
pagamento in misura ridotta.
Gli effetti conseguenti alla reiterazione possono
essere sospesi fino a quando il provvedimento che accerta
la violazione precedentemente commessa sia divenuto
definitivo. La sospensione e' disposta dall'autorita'
amministrativa competente, o in caso di opposizione dal
giudice, quando possa derivare grave danno.
Gli effetti della reiterazione cessano di diritto, in
ogni caso, se il provvedimento che accerta la precedente
violazione e' annullato.».
- Si riporta il testo dell'articolo 18 del citato
decreto-legge 14 giugno 2021, n. 82:
«Art. 18 (Disposizioni finanziarie). - 1. Per
l'attuazione degli articoli da 5 a 7 e' istituito, nello
stato di previsione del Ministero dell'economia e delle
finanze, un apposito capitolo con una dotazione di
2.000.000 di euro per l'anno 2021, 41.000.000 di euro per
l'anno 2022, 70.000.000 di euro per l'anno 2023, 84.000.000
di euro per l'anno 2024, 100.000.000 di euro per l'anno
2025, 110.000.000 di euro per l'anno 2026 e 122.000.000 di
euro annui a decorrere dall'anno 2027.
2. Agli oneri di cui al comma 1, si provvede mediante
corrispondente riduzione del Fondo di cui all'articolo 1,
comma 200, della legge 23 dicembre 2014, n. 190.
3. Le risorse iscritte sui bilanci delle
amministrazioni interessate, correlate alle funzioni
ridefinite ai sensi del presente decreto a decorrere
dall'inizio del funzionamento dell'Agenzia di cui
all'articolo 5, sono accertate, anche in conto residui, con
decreto del Ministro dell'economia e delle finanze, di
concerto con i Ministri responsabili, e portate ad
incremento del Fondo di cui all'articolo 1, comma 200,
della legge 23 dicembre 2014, n. 190, anche mediante
versamento all'entrata del bilancio dello Stato e
successiva riassegnazione alla spesa.
4. I proventi di cui all'articolo 11, comma 2, sono
versati all'entrata del bilancio dello Stato, per essere
riassegnati al capitolo di cui al comma 1 del presente
articolo.
5. Ai fini dell'immediata attuazione delle
disposizioni del presente decreto il Ministro dell'economia
e delle finanze e' autorizzato ad apportare, con propri
decreti, anche in conto residui, le occorrenti variazioni
di bilancio.».