NIS 2: come gli obblighi cogenti trasformano la responsabilità 231 da flessibile a semi-oggettiva

L’alba di una nuova era normativa

L’adozione della Direttiva NIS 2 ed il suo recepimento con il D.lgs. 138/2024 ha inaugurato una stagione di trasformazioni che stanno ridisegnando profondamente il rapporto tra imprese, tecnologia e responsabilità giuridica.

Quello che a prima vista potrebbe apparire come un semplice aggiornamento della precedente Direttiva NIS del 2016 è, in realtà, una rivoluzione copernicana che a me sembra aver trasformato il paradigma stesso della compliance aziendale in ambito cyber security.

Una norma giuridica vincolante

Per la prima volta nella storia del diritto digitale, ciò che fino a ieri erano raccomandazioni tecniche e best practice di settore assume dignità di norma giuridica vincolante, con tutto l’apparato sanzionatorio che ne consegue.

Ed è ragionevole affermare che questa trasformazione produce effetti a cascata sull’intero sistema della responsabilità amministrativa degli enti, modificando sostanzialmente l’applicazione del D.Lgs. 231/2001 ai reati informatici.

Il principio della colpa di organizzazione si trova dunque a confrontarsi con standard normativi rigidi che ne trasformano la natura, da criterio flessibile e case-sensitive a parametro semi-oggettivo di valutazione della responsabilità d’impresa.

Dalla soft law alla hard law: la metamorfosi degli standard cyber security

Prima dell’avvento della NIS 2, il panorama normativo della cyber security aziendale si caratterizzava per un approccio prevalentemente soft, basato su standard volontari, linee guida settoriali e best practices elaborate da organismi tecnici internazionali.

Framework come ISO 27001 e NIST Cybersecurity Framework costituivano riferimenti autorevoli ma non vincolanti, la cui adozione dipendeva da valutazioni aziendali di costi-benefici e dalla sensibilità del management verso i temi della sicurezza informatica.

Il mondo pre NIS 2: l’era delle Buone Pratiche

Questa flessibilità normativa si rifletteva direttamente sull’applicazione del sistema 231 ai reati informatici: la valutazione dell’adeguatezza organizzativa dell’ente si basava su criteri elastici, parametri settoriali, confronti con peer companies.

In questi scenari il giudice godeva di ampi margini discrezionali nella valutazione della “colpa di organizzazione”, potendo considerare le specificità del caso concreto, le risorse disponibili all’ente, le caratteristiche del settore di appartenenza.

La svolta NIS 2: requisiti normativi cogenti e responsabilità ampliate

La Direttiva NIS 2 rompe definitivamente questo paradigma, introducendo un corpus normativo di straordinaria precisione e rigidità.

L’articolo 21 della Direttiva, replicato nell’ordinamento nazionale dall’art. 24 del D.lgs.138/2024 definisce con dettaglio chirurgico le misure di gestione dei rischi di cybersicurezza che i soggetti essenziali e importanti devono implementare senza eccezioni o deroghe.

Non si tratta più di orientamenti o raccomandazioni, ma di obblighi giuridici il cui inadempimento configura automaticamente una violazione normativa.

Gli standard non negoziabili

La Direttiva e il decreto di recepimento prescrivono:

• misure tecniche specifiche: crittografia, autenticazione multi-fattore, segmentazione di rete, backup sicuri;
• processi organizzativi dettagliati: politiche di gestione del rischio, procedure di incident response, programmi di formazione;
• sistemi di governance definiti: responsabilità degli organi di management, oversight del consiglio di amministrazione, reporting periodico alle autorità.

Questa trasformazione da soft law ad hard law produce conseguenze dirompenti sull’intero sistema della compliance aziendale, creando per la prima volta standard non negoziabili, la cui violazione non ammette giustificazioni economiche, organizzative o settoriali.

L’impatto sistemico sul D.lgs. 231/2001

L’integrazione tra obblighi NIS 2 e sistema 231 genera un fenomeno giuridico di straordinario interesse teorico e pratico: l’emergere di una responsabilità amministrativa ancorata a uno standard semi-oggettivo che modifica profondamente la natura della “colpa di organizzazione”.

Per i soggetti rientranti nell’ambito applicativo della NIS 2, la violazione degli obblighi normativi crea una presunzione quasi irrefragabile di inadeguatezza organizzativa.

Così sembra che non sia più l’autorità giudiziaria a dover dimostrare le carenze dell’ente attraverso analisi comparative o valutazioni discrezionali. Infatti la mancata conformità alle specifiche di base fissate dalla NIS 2 costituisce di per sé evidenza di colpa organizzativa.

Conseguentemente, questa trasformazione produce un’inversione sostanziale dell’onere probatorio: è l’ente che ora dovrebbe dimostrare che, nonostante la violazione dei requisiti normativi, la propria organizzazione era comunque adeguata a prevenire il reato.

Si tratta di una probatio diabolica che, nella prassi, risulterà spesso impossibile da fornire.

La stratificazione dei livelli di responsabilità

L’applicazione differenziata della NIS 2 crea un sistema a geometria variabile dove coesistono standard diversificati di responsabilità:

• Soggetti Essenziali (High Critical): applicazione del regime più severo, con presunzione forte di colpa organizzativa in caso di violazione NIS 2. Questi enti – che includono energia, trasporti, servizi bancari, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione, settore spaziale – sono sottoposti a controlli rafforzati e sanzioni amministrative particolarmente severe.
• Soggetti Importanti (Important): applicazione di un regime intermedio, con peso presuntivo significativo delle violazioni normative ma possibilità di fornire prova contraria. Rientrano in questa categoria settori come servizi postali e di corriere, gestione dei rifiuti, fabbricazione e produzione di sostanze chimiche, produzione alimentare, fabbricazione, forniture digitali, ricerca.
• Altri soggetti: mantenimento del regime tradizionale basato sul principio della “colpa di organizzazione” come elaborato dalle Sezioni Unite, con valutazione caso per caso dell’adeguatezza organizzativa.

Questa stratificazione potrebbe comportare inevitabili tensioni competitive e disparità di trattamento che pongono delicate questioni di costituzionalità e compatibilità con i principi fondamentali del diritto penale.

Verso un nuovo paradigma della responsabilità d’impresa

La NIS 2 rappresenta una cesura storica nell’evoluzione del diritto della cyber security aziendale. La trasformazione delle best practice in obblighi cogenti non costituisce un semplice irrigidimento normativo, ma una rivoluzione paradigmatica che ridefinisce i fondamenti stessi della responsabilità d’impresa in ambito digitale.

Il principio della “colpa di organizzazione” si trova oggi a confrontarsi con requisiti normativi che ne trasformano radicalmente la natura applicativa. Da criterio flessibile e discrezionale, la valutazione dell’adeguatezza organizzativa diventa parametro semi-oggettivo ancorato a obblighi normativi specifici e non derogabili.

Le implicazioni della Nis 2 sull’architettura del sistema 231

Questa trasformazione produce conseguenze che vanno ben oltre il perimetro della cyber security, influenzando l’intera architettura del sistema 231 e aprendo scenari applicativi di straordinaria complessità.

Le imprese si trovano oggi di fronte a un bivio: adeguarsi proattivamente ai nuovi standard o affrontare rischi di responsabilità di portata sistemica.

Nel nostro prossimo articolo approfondirò l’architettura operativa di questa nuova compliance, analizzando i meccanismi concreti di governance della cyber security, i processi strutturati di risk management e il nuovo arsenale sanzionatorio che trasforma radicalmente l’analisi costi-benefici degli investimenti in sicurezza informatica.