NIS 2 e sistemi 231: nuova linea di responsabilità degli OdV nei soggetti essenziali e importanti

La lettura: il ruolo dell’OdV

Secondo questa interpretazione, la loro inosservanza può tradursi in una vera e propria “colpa di organizzazione” ai sensi del D.lgs. 231/2001.

Se questa prospettiva è fondata, allora l’OdV non può più limitarsi a vigilare le tradizionali aree di rischio come sicurezza sul lavoro o reati societari.

Deve spingersi a presidiare anche la cyber sicurezza, perché trascurarla significherebbe, a mio giudizio, non solo rendere inefficace la sua funzione, ma persino esporsi al rischio di essere chiamato a rispondere per omissione di controllo.

Cyber sicurezza e vigilanza 231: il nuovo perimetro dell’OdV

Per anni, l’Organismo di Vigilanza ha svolto un ruolo fondamentale, ma, spesso, nella pratica, confinato alle aree tradizionali del rischio penale d’impresa: la sicurezza sul lavoro o i reati societari.

L’OdV è stato visto – e in molti casi trattato – come un attore tecnico, incaricato di sorvegliare settori ben delimitati, con strumenti collaudati e confini noti.

Ma oggi, qualcosa si è incrinato. O meglio, qualcosa si è trasformato.

L’equilibrio su cui si è retto il sistema della vigilanza negli ultimi vent’anni non sembra più sufficiente.

Il panorama dei rischi si è ampliato. Le vulnerabilità aziendali si sono spostate, spesso silenziosamente, verso territori nuovi e insidiosi e il cuore di questa trasformazione è la cyber sicurezza.

Come ho evidenziato negli articoli precedenti di questa esalogia, con l’entrata in vigore del D.Lgs. 138/2024, che attua la Direttiva NIS 2, molte delle misure tecniche e organizzative in ambito cyber un tempo considerate “best practice” – sono diventate oggi per le imprese riconosciute come soggetti NIS, veri e propri obblighi legali.

Parliamo di gestione del rischio, business continuity, protezione degli accessi, segmentazione delle reti, formazione del personale, risposta agli incidenti e procedure di notifica degli stessi.

Non sono più facoltative. Sono obblighi giuridici e, come tutti gli obblighi, se disattesi, generano responsabilità.

Il punto

Quando un reato informatico previsto dall’art. 24-bis del D.lgs. 231/2001 – come
l’accesso abusivo a sistemi informatici, il danneggiamento di dati o le frodi digitali – si verifica in un contesto dove l’ente aveva l’obbligo giuridico di implementare specifiche misure di sicurezza secondo la NIS 2, la mancata adozione di tali misure non può più essere considerata una semplice carenza organizzativa.

A me sembra evidente come invece diventi violazione di un preciso obbligo legale che, evidenziato nei precedenti contributi, trasforma automaticamente l’omissione in colpa di organizzazione ai sensi del D.lgs. 231/2001.

E sembra altrettanto evidente che il giudice si trovi così di fronte non più a una valutazione discrezionale dell’adeguatezza organizzativa dell’ente, ma a un parametro oggettivo di inadempimento normativo che inverte sostanzialmente l’onere della prova e rende quasi irrefragabile la presunzione di responsabilità amministrativa.

Una colpa che non si fonda sull’intenzione dolosa, ma sull’inadeguatezza strutturale del sistema di controllo interno.

Il perimetro della vigilanza

In tale quadro, risulta coerente ritenere che, in questi particolari contesti, l’OdV venga chiamato in causa in modo diretto e inevitabile. Perché se la cyber security è ormai parte integrante del perimetro giuridico di prevenzione, allora rientra a pieno titolo anche nel perimetro di vigilanza.

Non si tratta più di “tecnologia” ma di diritto, di obblighi, di prevenzione di reati.
Logicamente ne consegue che un OdV che non si attrezza, che non aggiorna il proprio piano di vigilanza, che non acquisisce le competenze minime per comprendere gli assetti cyber dell’organizzazione che ha il ruolo di soggetto NIS, forse non sta adempiendo pienamente al proprio mandato e forse rischia, a sua volta, di diventare parte di un sistema disfunzionale.

Il messaggio è chiaro: l’era in cui bastava presidiare le aree classiche è finita. Appare chiaro che la cyber security è diventata materia 231 e che chi esercita funzioni di vigilanza dovrebbe assumerla come nuova frontiera della responsabilità.

Che cos’è l’Organismo di Vigilanza

L’OdV è un organo autonomo e indipendente previsto dall’art. 6 del D.lgs. 231/2001, con il compito di vigilare sul funzionamento e sull’efficacia del modello di organizzazione, gestione e controllo (MOGC).

In particolare, l’OdV deve:

• verificare che il modello venga attuato concretamente;
• monitorare l’evoluzione normativa e organizzativa;
• promuovere aggiornamenti al modello quando necessario;
• segnalare eventuali violazioni o anomalie ai vertici dell’ente.

Si tratta di una funzione di grande rilevanza. La giurisprudenza (Cassazione Penale, Sez. 1, ud. 20 gennaio 2016 n. 18168) ha chiarito che è ipotizzabile una responsabilità penale dell’OdV che dolosamente ignori carenze e manchevolezze [1].

In altre parole: se l’OdV non vede, non sente e non parla, non assolve alla sua funzione.

La cybersicurezza è ora materia per l’OdV

Il D.Lgs. 138/2024, che recepisce la direttiva NIS 2, ha introdotto obblighi giuridici di sicurezza informatica per moltissime organizzazioni: imprese, infrastrutture critiche, fornitori di servizi digitali, settori strategici.

Questi obblighi non sono generici. L’art. 24 del decreto elenca misure precise che vanno dall’analisi del rischio alla gestione degli incidenti, dai piani di continuità operativa alla sicurezza della supply chain, fino a MFA, crittografia, formazione e accessi controllati.

Ora, se un soggetto obbligato non attua queste misure – o le attua solo sulla carta – non è solo inadempiente, ma, secondo me, risulta esposto anche a responsabilità penale d’impresa in caso di commissione di un reato informatico previsto dall’art. 24 bis del D.lgs.231/2001 nelle condizioni stabilite nell’art. 5 dello stesso Decreto.

E qui entra in gioco l’OdV che sarebbe chiamato a verificare che il modello includa questi rischi e non ci siano zone grigie o omissioni.

Non farlo equivale a non vigilare e non vigilare, in materia 231, può significare essere chiamati a risponderne.

OdV e cyber sicurezza: cosa fare ora, concretamente

Sulla base di quanto finora detto, è ragionevole pensare che l’Organismo di Vigilanza, nel contesto della NIS 2, non possa quindi restare fermo ma debba attivarsi per:

• riconoscere, nelle organizzazioni riconosciute come soggetti essenziali o importanti, il rischio cyber come rischio 231 a tutti gli effetti;
• verificare se il modello 231 include (davvero) la cyber sicurezza;
• attivare audit specifici sul rispetto degli obblighi NIS 2;
• segnalare le omissioni, anche se sono scomode.

Riconoscere il rischio cyber come rischio 231

Il primo passo è culturale e strategico.

L’OdV dovrebbe riconoscere formalmente che per i soggetti NIS, la sicurezza informatica non è un tema tecnico separato, ma una area di rischio giuridicamente rilevante ai fini del modello 231.

In presenza di obblighi giuridici fissati dal D.lgs. 138/2024, la mancata adozione di misure di cyber security può essere vista come mancato presidio organizzativo. Tradotto: colpa di organizzazione.

Verificare se il modello 231 include (davvero) la cybersicurezza

Molti modelli 231 oggi non contemplano minimamente la cybersicurezza oppure lo fanno con una clausola generica che non regge più.

L’OdV dovrebbe chiedersi:

• Esiste una mappatura del rischio cyber nel modello?
• Sono stati inseriti i riferimenti alla normativa NIS 2?
• Le misure previste dalla legge sono state tradotte in protocolli, policy, procedure, attività verificabili?

Se la risposta è no – o se è un “ni” – il modello è verosimilmente inadeguato e l’OdV non può più ignorarlo.

Attivare audit specifici sul rispetto degli obblighi NIS 2

Il rischio cyber non si verifica sulla base di check-list generiche.

Servono audit dedicati, condotti con il supporto di competenze tecnico giuridiche miste, per verificare:

• la presenza e il funzionamento reale delle misure richieste (es. piani di business continuity, segmentazione delle reti, MFA, gestione delle vulnerabilità);
• il livello di formazione interna sulla gestione del rischio cyber;
• la capacità di risposta agli incidenti (incident response);
• la tracciabilità delle azioni di mitigazione e delle responsabilità interne.

L’OdV non può svolgere questi controlli da solo, ma dovrebbe comunque pretenderli, pianificarli, analizzarli e soprattutto dovrebbe documentare di averlo fatto.

Segnalare le omissioni, anche se scomode

La funzione dell’OdV è quella di proteggere l’ente da sé stesso.

Se emergono carenze gravi o sistemiche, l’OdV ha il dovere di segnalarle con tempestività agli organi apicali, in particolare all’amministratore delegato o al consiglio di amministrazione.

Omettere una segnalazione rilevante, nel contesto di un obbligo legale violato, potrebbe essere letto come forma di complicità omissiva. E a quel punto, il problema potrebbe assumere anche una rilevanza giuridica.

L’OdV non è un notaio ma un presidio strategico

Nel mondo post NIS 2, l’OdV non è più un controllore periferico ma un presidio strategico di legalità organizzativa. Ed oggi, all’interno dei soggetti essenziali e importanti, questo presidio deve includere la cyber sicurezza, come dovere giuridico e funzione vitale per l’impresa.

Penso che la sicurezza informatica è oggi ciò che la sicurezza sul lavoro è stata vent’anni fa, cioè una:

• frontiera di civiltà giuridica,
• barriera contro la disorganizzazione colposa,
• leva di protezione per le persone, i dati, le attività essenziali.

In conclusione, l’OdV che capisce questo fa il proprio mestiere, mentre chi lo ignora, rischia di diventare parte del problema.

Il prossimo capitolo dell’esalogia sarà infine dedicato a chiarire la qualificazione tecnica del modello 231, analizzando cosa si intenda per idoneità ed efficace attuazione, e in che misura il requisito di adeguatezza incida sulla sua concreta validità esimente.

Bibliografia

[1] Così anche Roberto Grisenti nell’articolo su Linkedin del 1 novembre 2016, dal titolo “Responsabilità penale dell’OdV231 e del CdA per mancanza di misure idonee per il lavoro di aggancio dei materiali”.