NIS2, la responsabilità diretta dei vertici nella cybersicurezza: è svolta

Responsabilità diretta degli organi direttivi: perché è importante

Per chi ha seguito le attività consultive svolte in Europa, l’esigenza di cristallizzare la responsabilità diretta dei soggetti di vertice delle organizzazioni definite essenziali o importanti, a fronte di un’inarrestabile crescita della minaccia e della ormai irreversibile dipendenza globale dal mondo digitale, rappresentava una chiara necessità, che nasceva da alcune considerazioni tutt’altro che banali.

La prima, fondamentale, è che i soggetti che, con diverse etichette usate dal legislatore, possono definirsi “infrastrutture critiche”, “operatori di servizi essenziali” e rispettive varianti, ancorché operatori privati, sono affidatari della tutela di interessi non solo individuali, ma di beni giuridici collettivi di rilevanza primaria nell’ordinamento e che attengono a valori di rango costituzionale: si pensi alla tutela della vita e della pubblica incolumità nei settori della salute pubblica, del trasporto; agli impatti della gestione energetica per un Paese; alla gestione delle infrastrutture finanziarie e a tutti quei settori che sono stati individuati come cruciali per il funzionamento della società, dell’economia, delle istituzioni.

Evidenza tutt’altro che marginale, quando si consideri che tali funzioni essenziali sono prevalentemente nelle mani di soggetti privati, in molti casi neppure nazionali, con possibili impatti di natura strategica e conseguenze inimmaginabili sulle collettività di riferimento.

Evoluzione della sicurezza come responsabilità d’impresa

Un secondo aspetto da valutare è che l’evoluzione della nozione di sicurezza esce dall’ambito tradizionale della protezione delle capacità produttive ma si profila sempre di più come “responsabilità d’impresa”, azionabile in via giudiziaria dagli utenti, dai clienti del prodotto finale, dagli investitori, sempre più solleciti nelle legittime pretese di tutela di interessi individuali e collettivi.

Elaborazione, questa, tutt’altro che recente, che si inquadra nella necessità, di una compiuta rappresentazione del rischio e una gestione sistematica nella quale il fattore “security”, nelle sue diverse varianti, diventa parte integrante del business e non può essere più considerata “un costo”, una voce improduttiva e passiva di bilancio e magari da tagliare per ampliare i margini di redditività aziendale.

Da una attribuzione di responsabilità definita a livello interpretativo all’affermazione espressa ed inequivoca di una serie specifica di doveri che gravano sui vertici organizzativi del soggetto, tuttavia, il peso è ben diverso.

La responsabilità, un principio cardine nei moderni quadri normativi, garantisce che le entità non solo siano conformi alle leggi, ma siano anche proattive nell’apprestare quelle misure e quei controlli che la diligenza professionale richiede per mitigare i fattori di rischio specificamente connessi all’attività esercitata, in funzione di una “posizione di garanzia” che il legislatore disegna, con precisione, in capo a quelle organizzazioni caratterizzate da una “funzione pubblica allargata”.

Il meccanismo di responsabilità cumulativa nel D. Lgs. 138/2024

Questo modello è ben noto nella cultura giuridica occidentale ed in particolare se ne rinviene una chiara espressione nell’articolo 40 comma 2 del codice penale italiano, dove si definisce la figura del “reato commissivo mediante omissione” secondo la chiara formula “non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo”.

L’equivalenza causale del “non impedire” e “cagionare” un evento dannoso o pericoloso, con impatti oggi certamente rilevanti nel “mondo reale digitalizzato” è fatta propria dal legislatore italiano nel combinato disposto degli articoli 23 e 38 del D. Lgs. 138/2024: da un lato si definiscono gli obblighi che gravano sull’operatore di servizi essenziali e importanti; dall’altra si sancisce non solo la responsabilità amministrativa in capo all’entità giuridica, ma anche nei confronti di persone fisiche che esercitano i poteri direttivi e conformativi nell’organizzazione: “Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza”, così testualmente l’articolo 38 comma 5 del D. Lgs. 138/2024.

Questo meccanismo di attribuzione della responsabilità cumulativa si affianca a quella dell’organizzazione ed è un meccanismo innovativo e dal significato particolarmente intenso rispetto, ad esempio, alla nozione di responsabilità del titolare del trattamento dei dati, che ritroviamo nel Regolamento UE 2016/679.

Salvo il caso in cui si versi in ipotesi di impresa individuale o di altra persona fisica – e tralasciando l’ipotesi di condotte di reato, per le quali la responsabilità penale è sempre individuale – il “titolare del trattamento” si identifica con l’organizzazione e non si delinea una responsabilità cumulativa in termini così marcati e stringenti, così come definiti dalla cornice della Direttiva NIS2.

Responsabilità dei dipendenti pubblici e implicazioni future

Espansione di responsabilità prevista anche per i dipendenti pubblici che rivestano una posizione apicale nell’ambito degli ordinamenti specifici, richiamando le “norme in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati”, con l’applicazione dei profili di responsabilità dirigenziale, disciplinare e amministrativo-contabile.

Questa doppia responsabilità è, a ben vedere, piena di significati ulteriori che già oggi possiamo immaginare con effetti espansivi, e che richiede sin da subito un approfondimento su alcuni aspetti specifici.

Identificazione degli organi di amministrazione e direttivi

Il primo tema da definire è quello relativo all’identificazione puntuale degli “Organi di amministrazione e direttivi”.

Qualche elemento di indirizzo proviene direttamente dalla lettura delle norme di riferimento, con il richiamo espresso agli “Organi di gestione dei soggetti essenziali e importanti” (Considerando 137 e articolo 20 della Direttiva) e ai già menzionati “Organi di amministrazione e direttivi” dell’articolo 20 o le persone fisiche “responsabili” di un soggetto essenziale o che agisca in qualità di “rappresentante legale o con autorità di rappresentarlo”, con formule che evocano una responsabilità diretta dei soggetti di vertice dell’organizzazione.

Si pone, quindi, il quesito se questa evidente responsabilità diretta dei vertici organizzativi del soggetto possa essere trasferita, con i meccanismi di delega, ad altri soggetti – di norma i dirigenti delle strutture organizzative preposte a sovrintendere alla sicurezza delle informazioni.

L’istituto della delega, tuttavia, è un oggetto che va maneggiato con cura, comprendendo le implicazioni e il significato stesso del concetto della delega, del trasferimento dei poteri, dell’attribuzione delle risorse.

Il testo letterale dell’impianto normativo fin qui esaminato suggerisce un approccio diverso, che è molto più vicino per impostazione al meccanismo della sicurezza sui luoghi di lavoro, dove sono identificati obblighi non suscettibili di delega da parte del datore di lavoro ed attività, di natura attuativa, che invece possono essere trasferite a determinati soggetti delegati.

La delega e il ruolo di vigilanza dei vertici organizzativi

Ancora l’articolo 23 pare sostenere questa interpretazione:

• Nel comma 1 lettera a) l’obbligo posto in capo agli organi di amministrazione e direttivi di approvare “le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica” evoca piuttosto da vicino la formula dell’art. 17 del D. Lgs. 81/2008, imponendo espressamente al soggetto di vertice dell’organizzazione, l’obbligo di analizzare e ponderare, secondo la diligenza professionale e la migliore evoluzione della scienza e della tecnica, i fattori di rischio cui l’organizzazione è esposta, definendo le misure precauzionali tecnico-organizzative per mitigarli;
• La diretta responsabilità delle violazioni del decreto di recepimento;

Ma ancor più forte è il richiamo, sempre nel comma 1 dell’art. 23, a sovrintendere all’implementazione degli obblighi di cui al Capo IV (Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente) e all’articolo 7 (in materia di identificazione e registrazione dei soggetti essenziali e importanti).

Questo obbligo ha un significato rilevante, perché ricorda un principio fondamentale ed irrinunciabile nel tema della responsabilizzazione: il soggetto delegante non si libera, per il solo effetto della delega, da ogni e qualsiasi responsabilità, ma anzi ne abbraccia un’altra, molto complessa e non agevole nella gestione, di rendere effettiva la sua capacità direzionale con un’azione costante di vigilanza, di indirizzo, di verifica dei risultati connessi all’esercizio della delega.

Obbligo di vigilanza che non può essere in alcun modo trasferito ad altri soggetti, risultando altrimenti vanificato il principio di garanzia e protezione sotteso alla norma stessa e che trova specifica conferma nella prescrizione verso tali soggetti dell’informazione “su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche” effettuate dall’organizzazione, come momento di diretta partecipazione alla gestione del processo complesso che è la sicurezza delle informazioni.

Corollario a questo principio è che la delega di esercizio dell’attuazione, che nei termini appena esposti è ben ammissibile, attesa la natura specialistica e tecnica dell’attività e che consente di attribuire a centri di competenza la gestione efficace della sicurezza, soprattutto in organizzazioni complesse, presuppone che il delegato disponga effettivamente dei mezzi necessari per adempiere ai compiti delegati, in termini di risorse umane e materiali, risultando altrimenti la delega inefficace per l’adempimento del dovere di protezione (nel rispetto, quindi, dell’articolo 24 del D. Lgs. 138/2024).

Formazione obbligatoria e responsabilità diretta

Ulteriore considerazione, che sottolinea la spiccata forza della nozione di responsabilizzazione degli organi di gestione e direttivi, voluta dal legislatore europeo e nazionale, è l’obbligo cui gli stessi vertici organizzativi sono sottoposti, non solo di promuovere la formazione del personale, ma soprattutto di essere tenuti, essi stessi, “a seguire una formazione in materia di sicurezza informatica”: formazione, non solo mera sensibilizzazione e dunque l’acquisizione di un corredo di competenze e conoscenze, proprie della funzione, che consenta loro di poter realmente acquisire le capacità di governo della sicurezza delle informazioni, quale parte specifica ed essenziale dello “statuto organizzativo” del soggetto.

Uno spartiacque per la sicurezza delle informazioni

Siamo appena agli inizi dell’attuazione di questa innovativa impostazione, che segna uno spartiacque importante che dissolve l’ambigua posizione spesso tenuta verso la sicurezza delle informazioni e, più in generale, verso la security delle organizzazioni.

Il bene “sicurezza” è sempre più parte degli statuti ordinamentali delle imprese – in particolare quelle che hanno in capo posizioni di garanzia verso interessi qualificati – e delle pubbliche amministrazioni: questo rilievo è oggi indirizzato alla più corretta applicazione dell’articolo 41 della Costituzione italiana, che ci ricorda sempre come l’iniziativa economica privata sia libera, ma deve essere esercitata nel rispetto dell’utilità sociale e senza arrecare danni alla salute, all’ambiente, alla sicurezza, alla libertà e alla dignità umana.

La security è, quindi una dimensione che non può essere più considerata secondaria o accidentale: richiede una partecipazione diretta da parte dei vertici delle organizzazioni pubbliche e private, con immediata assunzione di profili di responsabilità da gestire con competenza e consapevolezza.

Viene perciò ridisegnato un più esteso profilo di responsabilità sociale d’impresa, dove i diritti e le libertà degli individui, esterni ed interni alle organizzazioni, richiedono una consistente e coerente gestione dei rischi ed una partecipazione convinta e attiva non solo del personale, ma anche da parte di tutti coloro che rivestono ruoli di responsabilità apicale all’interno delle imprese e delle pubbliche amministrazioni e che diventano i veri garanti dell’efficacia del presidio di protezione della sicurezza.

Responsabilità oggi non più solo teorica, ma presidiata da un rigoroso sistema sanzionatorio, effettivo, dissuasivo e che non ammette elusioni.