Introduzione
La Direttiva (UE) 2022/2555, nota come NIS2, e la sua attuazione nell’ordinamento italiano tramite il D.lgs. 138/2024 segnano una svolta profonda nella governance della cybersicurezza. Il nuovo quadro normativo introduce un regime di responsabilità personale diretta per gli organi apicali delle organizzazioni, superando il tradizionale modello di delega funzionale e rendendo amministratori e dirigenti direttamente accountable per la sicurezza informatica.
Il salto di paradigma introdotto dalla NIS2
La precedente Direttiva NIS (2016/1148) lasciava ampi margini di discrezionalità agli Stati membri e prevedeva un sistema sanzionatorio relativamente debole. La NIS2, invece, introduce un framework armonizzato a livello europeo, caratterizzato da sanzioni pecuniarie significative, parametrate anche al fatturato globale, secondo un modello ispirato al GDPR.
Il perimetro soggettivo di applicazione viene notevolmente ampliato, distinguendo tra soggetti essenziali e soggetti importanti e includendo settori precedentemente esclusi dalla regolamentazione in materia di cybersicurezza.
La responsabilità personale degli amministratori
L’articolo 23 del D.lgs. 138/2024 rappresenta il fulcro innovativo della disciplina italiana. Gli organi di amministrazione e direttivi sono chiamati a svolgere un ruolo attivo e diretto nella gestione della cybersicurezza.
In particolare, essi devono:
- approvare formalmente le modalità di implementazione delle misure di sicurezza informatica, elevando la cybersicurezza a tema strategico di governance;
- seguire una formazione specifica in materia di sicurezza informatica;
- essere informati tempestivamente sugli incidenti significativi;
- promuovere la formazione continua del personale, diffondendo una cultura della sicurezza all’interno dell’organizzazione.
La competenza cyber non è più opzionale, ma diventa un requisito essenziale per l’esercizio consapevole delle funzioni direttive.
Il sistema sanzionatorio
L’articolo 38 del decreto introduce una sanzione accessoria di particolare severità: la sospensione temporanea dalla capacità di svolgere funzioni dirigenziali. Tale misura può essere applicata alle persone fisiche che non ottemperino alle diffide dell’Agenzia per la Cybersicurezza Nazionale (ACN).
La responsabilità si estende a chiunque abbia l’autorità di rappresentare, prendere decisioni o esercitare un controllo sul soggetto obbligato, ampliando significativamente il perimetro oltre i soli membri formali del Consiglio di Amministrazione.
I documenti soggetti ad approvazione degli organi apicali
Le linee guida dell’ACN del settembre 2025 individuano undici documenti strategici che devono essere formalmente approvati dagli organi apicali:
- organizzazione per la sicurezza informatica;
- politiche di sicurezza informatica;
- valutazione del rischio;
- piano di trattamento del rischio;
- piano di gestione delle vulnerabilità;
- piano di adeguamento;
- piano di continuità operativa;
- piano di ripristino in caso di disastro;
- piano di gestione delle crisi;
- piano di formazione;
- piano di gestione degli incidenti.
Questa formalizzazione non costituisce un mero adempimento burocratico, ma un meccanismo di accountability che garantisce consapevolezza e responsabilità del vertice aziendale rispetto alla strategia di cybersicurezza.
Il ruolo dell’Agenzia per la Cybersicurezza Nazionale
L’ACN svolge un ruolo centrale nel nuovo assetto regolamentare. Essa identifica i soggetti obbligati, emana linee guida tecniche, vigila sulla conformità, gestisce le notifiche di incidente, conduce ispezioni e irroga le sanzioni.
Le FAQ interpretative pubblicate dall’Agenzia chiariscono che per “organi di amministrazione e direttivi” devono intendersi quelli dotati di effettivo potere di direzione, includendo tutti i membri del Consiglio di Amministrazione ove presente.
Implicazioni per la corporate governance
Il nuovo regime normativo impone un profondo ripensamento della governance aziendale. Non è più sufficiente delegare integralmente la cybersicurezza a figure tecniche come il CISO o i responsabili IT. Il Consiglio di Amministrazione deve esercitare una supervisione attiva e continuativa.
Ciò richiede l’integrazione della cyber governance nei processi decisionali, l’istituzione di comitati dedicati, la definizione di policy strategiche, l’allocazione di risorse adeguate e la predisposizione di sistemi di reporting periodici.
Formazione e cultura della sicurezza
Un elemento centrale del nuovo modello è la formazione sostanziale degli amministratori e dei dirigenti. Essi devono acquisire competenze in materia di minacce cyber, gestione del rischio, sicurezza della supply chain, gestione degli incidenti e comunicazione di crisi.
La cybersicurezza diventa così parte integrante della cultura organizzativa e non più un ambito confinato alle funzioni tecniche.
Convergenza normativa
La NIS2 si inserisce in un contesto normativo complesso, affiancandosi a GDPR, DORA per il settore finanziario e AI Act. Ne deriva l’esigenza di adottare approcci integrati alla compliance, evitando duplicazioni e assicurando coerenza tra i diversi framework regolatori.
Conclusioni operative
La NIS2 trasforma la cybersicurezza da questione tecnica a priorità strategica di governance. L’adeguamento richiede azioni immediate, quali la gap analysis di conformità, l’individuazione precisa degli organi apicali soggetti agli obblighi, l’avvio di percorsi formativi e l’implementazione di sistemi di reporting verso il vertice.
Nel medio e lungo periodo sarà essenziale sviluppare una cultura della sicurezza pervasiva, basata sul miglioramento continuo, su test periodici e sull’allineamento alle best practice. Solo un approccio proattivo e strutturato consentirà di coniugare conformità normativa ed efficace protezione dalle minacce cyber.