Intervista al Prof. Riccardo Ursi. I rimedi amministrativi

In occasione dell’evento GoTMaT – Governing Technology to Manage the Transition, svoltosi il 29 novembre, spazio di confronto dedicato ai profili giuridici e regolatori della transizione digitale, abbiamo intervistato il Prof. Riccardo Ursi in merito all’intervento I rimedi amministrativi.

Riccardo Ursi (Messina,1971) è ordinario di Diritto amministrativo nell’Università degli Studi  di Palermo è autore di numerosi saggi e lavori monografici sulle diverse aree tematiche della sua disciplina con particolare riferimento anche alla sicurezza pubblica, alla sicurezza cibernetica e alla difesa militare.

 

 

 

Qual è la differenza fondamentale tra l’approccio “risk-based” della direttiva NIS2 e quello “security-based” del Perimetro di Sicurezza Nazionale Cibernetica (PSNC)?

La distinzione tra i due approcci è il fulcro della diversa architettura regolatoria del sistema italiano di sicurezza cibernetica.

L’approccio risk-based della NIS2, recepito dal d.lgs. 138/2024, si basa su un sistema di gestione del rischio dinamico e proporzionato. Le entità NIS devono valutare continuamente la probabilità e la gravità degli incidenti potenziali, considerando l’impatto operativo, economico e sociale. Devono quindi commisurare gli interventi di sicurezza al livello di esposizione al rischio e alle proprie dimensioni organizzative. La disciplina non impone un ‘rischio zero’, ma richiede misure adeguate e proporzionate, bilanciando adeguatezza e sostenibilità dei costi. La reazione sanzionatoria è l’ultima risorsa in un sistema ‘a gradini’ che privilegia monitoraggio, supporto, ispezioni e misure correttive prima dell’intervento punitivo.

L’approccio security-based del PSNC, disciplinato dal d.l. 105/2019, segue una logica più imperativa. Gli obblighi sono predeterminati nei decreti attuativi e il mancato rispetto comporta, di solito, l’irrogazione automatica della sanzione. La compliance è rigida: il livello di rischio residuo o l’adeguatezza parziale delle misure incidono solo sulla quantificazione della sanzione entro i margini edittali, non sulla valutazione della sanzionabilità della condotta. Mentre la NIS2 impone un obbligo di risultato basato sulla ragionevolezza delle misure, il PSNC si basa su obblighi di mezzo più precisi.

Questa dicotomia si traduce in un diverso standard di tutela. Se nel modello NIS le garanzie procedimentali sono rafforzate e integrate in ogni fase del procedimento; nel modello PSNC le esigenze di riservatezza, tempestività e operatività finiscono inevitabilmente per limitare la partecipazione al procedimento, il contraddittorio e (non meno importante) il sindacato degli atti.

 

In che modo la direttiva NIS2 ha modificato i criteri di identificazione dei soggetti coinvolti rispetto alla precedente normativa?

Il ripensamento dell’ambito soggettivo di applicazione è una delle innovazioni più significative della NIS2, pensata per superare i limiti della prima direttiva NIS del 2016. Quest’ultima aveva lasciato agli Stati membri il compito di individuare gli ‘operatori di servizi essenziali’ (OSE) usando criteri comuni che si sono rivelati insufficienti, creando un sistema europeo a diverse velocità.

La NIS2 introduce un criterio oggettivo basato sulla dimensione economico-organizzativa. La normativa si applica automaticamente a tutti i soggetti che operano nei settori ‘altamente critici’ e ‘critici’ e che superano i parametri dimensionali delle piccole imprese secondo la normativa europea. In pratica, sono automaticamente incluse le medie e grandi imprese, mentre le micro e piccole imprese sono generalmente escluse, salvo eccezioni per operatori particolarmente importanti.

Il decreto italiano di recepimento (d.lgs. 138/2024) ha poi ampliato ulteriormente l’ambito soggettivo, includendo non solo le amministrazioni centrali previste dalla direttiva, ma anche tutte le amministrazioni regionali, le amministrazioni locali più importanti (Città metropolitane, Comuni con più di 100.000 abitanti, Comuni capoluoghi di regione, ASL) e altri enti pubblici.

Si passa quindi da un sistema di designazione top-down degli OSE, completamente gestito dalle autorità nazionali, a un meccanismo di auto-identificazione. Nel ‘nuovo’ sistema sono infatti gli stessi soggetti potenzialmente NIS a dover verificare la propria posizione rispetto ai criteri della normativa e, se necessario, a registrarsi presso l’ACN. Questo approccio si inserisce nella logica di ‘sicurezza partecipata’ tra pubblico e privato, anche se comporta il rischio di mancate o tardive registrazioni. Il legislatore ha in ogni caso cercato di bilanciare questo rischio permettendo all’ACN di individuare d’ufficio soggetti non inclusi nei meccanismi automatici.

Ne risulta un sistema ‘ibrido’ in cui la maggior parte dei soggetti rientra automaticamente per definizione normativa, mentre altri possono essere individuati successivamente dalle autorità, garantendo flessibilità e adattabilità del perimetro all’evoluzione delle minacce.

 

Quali sono le principali innovazioni introdotte nella governance aziendale dalla direttiva NIS2?

La NIS2 introduce un cambiamento radicale nella responsabilizzazione degli organi di vertice delle entità coinvolte, imponendo obblighi specifici e personalmente riferibili ai membri del board.

Innanzitutto, il d.lgs. 138/2024 assegna direttamente agli organi di amministrazione e direzione il compito di approvare le modalità di implementazione delle misure di gestione del rischio cibernetico e di sovrintendere alla loro attuazione.  Nello specifico, questa misura impedisce al Consiglio di amministrazione (così come ad altri organi apicali assimilabili) di delegare le questioni di cibersicurezza agli uffici tecnici, obbligando di fatto a una piena integrazione di tali questioni nelle politiche aziendali strategiche.

Tra gli aspetti più significativi bisogna anche considerare la responsabilità personale degli organi apicali per le violazioni della normativa. Oggi l’inosservanza degli obblighi di cibersicurezza non è più un illecito imputabile solo all’ente, ma anche alle persone fisiche che compongono il governo societario. Infatti, in caso di mancato adeguamento a una diffida dell’ACN, la NIS2 attribuisce poteri sanzionatori capaci di inibire a una persona fisica lo svolgimento di funzioni direttive all’interno dello stesso soggetto (una misura che, come risulta evidente, ricorda più i provvedimenti di interdizione penale che le tradizionali sanzioni amministrative).

Il decreto introduce inoltre un obbligo di formazione specifica per i membri degli organismi di direzione, che devono acquisire competenze sufficienti a comprendere i rischi cyber e valutare l’efficacia delle misure predisposte.  Questo obbligo si estende alla promozione di una formazione periodica per tutto il personale aziendale, al fine di diffondere la cultura della sicurezza a ogni livello organizzativo.

Infine, la normativa impone alle strutture tecniche di riferire tempestivamente agli organi di vertice ogni incidente significativo notificato al CSIRT Italia, nonché di fornire aggiornamenti periodici sullo stato della sicurezza informatica. La gestione degli incidenti diviene così parte integrante della governance, non più un mero fatto tecnico isolato.

 

Quali critiche o sfide operative emergono dalla coesistenza del modello NIS2 e di quello del Perimetro nel sistema italiano?

La coesistenza dei due descritti regimi normativi (NIS2 e PSNC) crea criticità sistemiche significative sul fronte regolatorio.

Il primo problema riguarda il meccanismo di coordinamento previsto dall’art. 33 del d.lgs. 138/2024, che stabilisce l’equivalenza formale degli obblighi PSNC e NIS.  Questa equivalenza è apodittica: il decreto non aumenta né gli obblighi né le sanzioni del PSNC, ma li considera semplicemente equivalenti.  Questo crea una situazione paradossale in cui i soggetti operanti in settori legati alla sicurezza nazionale potrebbero essere soggetti a un regime di compliance meno efficace, sia in termini di correzione che di deterrenza.

Sul piano sanzionatorio, le sanzioni pecuniarie NIS2 (fino a 10 milioni di euro o 2% del fatturato mondiale per i soggetti essenziali) sono molto più elevate dei massimali PSNC (tra 1,2 e 1,8 milioni di euro per singola violazione). Inoltre, la NIS2 prevede sanzioni personali e misure interdittive che non sono presenti nel PSNC, aprendo così al rischio di paradossi regolatori che vedrebbero imposti a ‘soggetti periferici’ – in termini di sicurezza nazionale – obblighi più stringenti rispetto a quelli ‘centrali’.

Un’ulteriore criticità riguarda il diverso approccio alle garanzie procedimentali. Nel modello NIS, le garanzie sono integrate in un sistema progressivo con contraddittorio rafforzato e motivazione dei provvedimenti ‘nei particolari’. Nel PSNC, invece, la riservatezza delle informazioni – giustificata in questo caso da esigenze di sicurezza nazionale – limita le tutele partecipative, rendendo l’inclusione nel Perimetro sostanzialmente priva di una motivazione conoscibile e verificabile.

Si auspica quindi un superamento dell’attuale modello di alternatività a favore di un regime più funzionale in cui il PSNC potrebbe trasformarsi in uno ‘strato integrativo’ della NIS. L’ossatura comune rimarrebbe quella europea, mentre la disciplina nazionale interverrebbe per migliorare la tutela dove le misure NIS risultassero insufficienti, senza duplicazioni o regimi paralleli.

 

Che ruolo gioca l’Agenzia per la Cybersicurezza Nazionale (ACN) nei due diversi modelli regolatori?

L’Agenzia per la Cybersicurezza Nazionale (ACN) è il fulcro del sistema italiano di sicurezza cibernetica. La sua importanza strategica risiede nella capacità di operare con configurazioni diverse, adattandosi ai vari contesti regolatori.

Nell’ambito della disciplina NIS, l’ACN ha poteri simili a quelli delle Autorità amministrative indipendenti: monitoraggio, ispezione, esecuzione e sanzione, seguendo l’approccio risk-based europeo.  L’Agenzia non si limita alla funzione repressiva, ma facilita la compliance, fornendo orientamenti e assistenza tecnica per migliorare la sicurezza del sistema-Paese. I suoi poteri istruttori favoriscono un dialogo costante con i soggetti regolati, permettendo di individuare e correggere le vulnerabilità prima che diventino incidenti.

Nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), l’ACN è un snodo operativo tra l’indirizzo politico-strategico della Presidenza del Consiglio e l’attuazione delle misure di protezione delle infrastrutture critiche. Gestisce procedure essenziali, come l’individuazione dei soggetti da includere nel Perimetro, la gestione della piattaforma per la comunicazione degli asset digitali e il coordinamento delle attività del CVCN per la valutazione della sicurezza dei beni ICT. I suoi atti rientrano nei poteri speciali a tutela degli interessi strategici nazionali.

Questa duplice vocazione incide sul controllo giurisdizionale. Nel contesto NIS, il sindacato dei poteri dell’Agenzia dinanzi al Giudice amministrativo non presenta particolari ostacoli. Nel contesto PSNC, invece, la vicinanza alla sicurezza nazionale comporta un controllo più limitato sulle decisioni strategiche, soprattutto per quanto riguarda l’attribuzione del perimetro.