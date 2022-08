L’ACN dal 4 settembre potrà comminare sanzioni fino a un massimo di 5 milioni di euro in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza.

È ora legge dello Stato quella bozza del Decreto legislativo del MiSe sulle norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cybersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione.

Il regolamento europeo mira ad introdurre regole armonizzate in tutta l’Unione Europea per la certificazione di cibersicurezza di prodotti TIC (Tecnologie dell’Informazione e delle Comunicazioni), servizi TIC e processi TIC.

Sanzioni fino a 5 milioni di euro

Come messo da noi in evidenza, sin da titolo, dal 4 settembre prossimo, da quando il decreto legislativo sarà in vigore, l’Agenzia per la cybersicurezza nazionale (ACN) potrà comminare sanzioni fino a un massimo di 5 milioni di euro in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza e dell’articolo 65 del Regolamento sulla cybersicurezza.

ACN designata Autorità Nazionale di certificazione della Cybersicurezza

Questo perché il decreto legislativo del 3 agosto 2022, n. 123, pubblicato in Gazzetta Ufficiale sabato 20 agosto, designa l’ACN quale Autorità Nazionale di certificazione della Cybersicurezza.

Le sanzioni

L’Agenzia può impartire ordini o intimare diffide ai soggetti che operano in contrasto al quadro europeo di certificazione. Ai soggetti che non ottemperano nel termine indicato nell’ordine o nella diffida l’Agenzia commina la sanzione del pagamento di una somma da 200.000 euro ad 1.000.000 di euro.

Se le violazioni riguardano provvedimenti adottati dall’Agenzia nei confronti di soggetti con fatturato pari almeno a 200.000.000 euro, si applica a ciascun soggetto interessato una sanzione amministrativa pecuniaria non inferiore allo 0,3 per cento e non superiore all’1,5 per cento del fatturato, restando comunque fermo il limite massimo di 5.000.000 di euro. Come riferimento per il fatturato si assume il valore realizzato dallo stesso soggetto nell’esercizio precedente a quello in cui sia stato impartito l’ordine o sia stata intimata la diffida.

L’Agenzia rilascia i certificati di cybersicurezza con livello di affidabilità elevato tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI).

Come svolgere questa nuova funzione

L’organizzazione e le procedure per lo svolgimento dei compiti in questione, che andranno separati dalle attività di sorveglianza proprie dell’Agenzia, saranno regolati da un successivo provvedimento da emanare a cura dell’Agenzia stessa sulla base delle norme attualmente vigenti che ne regolano il suo funzionamento.

Per lo svolgimento dei compiti in questione il decreto legislativo stanzia per il triennio 2022-2024 la somma complessiva di euro 1.887.500 ripartita in tre diversi stanziamenti per ogni anno del triennio.

