Durante il 2025, migliaia di amministratori delegati e membri dei consigli di amministrazione hanno ricevuto richieste inusuali: registrarsi sulla piattaforma governativa NIS e prendere atto della loro designazione come soggetti potenzialmente responsabili dell’attuazione degli obblighi di cyber security della loro organizzazione.

Le reazioni sono state spesso di sorpresa o scetticismo. Ecco perché il consiglio di amministrazione deve essere coinvolto direttamente nella cyber security, come ha spiegato, durante il convegno coordinato con Clusit del 3 dicembre 2025, Milena Rizzi, Capo Servizio Regolazione dell’ACN, la cui risposta affonda nel diritto italiano e nella logica della governance aziendale.

La domanda scomoda: perché il CdA deve cliccare sulla piattaforma

Secondo Rizzi, molte imprese così esprimono questa perplessità, interrogandosi sul fatto che, avendo già un CISO e un responsabile IT, si domandano perché debbano forzare il consiglio di amministrazione, già sovraccarico, a registrarsi su una piattaforma per prendere atto di una responsabilità che comunque delegheranno ai manager.

Il numero di richieste di chiarimento ricevute da ACN conferma la diffusione del tema: nel corso del 2025 sono arrivati circa mille ticket da parte di organizzazioni che cercavano di evitare o ridurre il coinvolgimento del CdA.

Come riassume Rizzi, l’obiezione ricorrente era: «Perché chiedere a soggetti così impegnati di entrare sulla piattaforma e prendere atto della loro presenza nell’elenco dei responsabili ai fini dell’applicazione delle sanzioni?».

La risposta è che non si tratta di una formalità amministrativa, ma di un atto di consapevolezza con valore giuridico e organizzativo.

Il fondamento normativo: il D.Lgs. 138 e il diritto civile italiano

Il riferimento giuridico principale è il Decreto Legislativo 138/2021, che recepisce la NIS2. Ma, come spiega Rizzi, la radice normativa è più ampia: «Il decreto legislativo 138 è norma primaria che ribadisce concetti già presenti nel nostro ordinamento, perché il codice civile stabilisce chiaramente quali sono le responsabilità dei membri del consiglio di amministrazione».

Il decreto, quindi, non introduce una nuova responsabilità, ma esplicita come quelle già previste dal diritto civile si applichino alla cyber security, oggi riconosciuta come rischio strategico e non solo tecnico.

Nel diritto italiano, il CdA ha responsabilità sull’allocazione delle risorse, sull’approvazione delle strategie e sulla supervisione dei rischi. La cyber security ricade pienamente in quest’ultimo ambito come tema di governance, non come attività tecnica.

Cosa significa davvero responsabilità del CdA nella NIS2

Il D.Lgs. 138/2021 attribuisce al CdA tre responsabilità principali nel perimetro NIS2.

La prima riguarda l’approvazione del piano di implementazione. Rizzi ricorda che il piano deve seguire le indicazioni contenute nelle appendici tecniche delle linee guida: un insieme di attività programmatorie che il CdA deve approvare a livello strategico. Non si chiede ai consiglieri di valutare configurazioni tecniche, ma di approvare direzione, priorità e budget.

La seconda responsabilità è la vigilanza sui tempi di attuazione. In sintesi, secondo Rizzi: «Vigilare affinché le pianificazioni siano realizzate nei tempi necessari». Si tratta di una vigilanza strategica, non operativa: il CdA deve chiedere aggiornamenti e verificare l’avanzamento del piano.

La terza responsabilità riguarda l’allocazione delle risorse. Come ricorda Rizzi: «Questo presuppone che vengano destinate risorse adeguate, in termini finanziari e di personale, quando necessario». Senza risorse, la responsabilità resterebbe puramente teorica.

La formazione del consiglio di amministrazione

La NIS2 prevede anche un obbligo di formazione per i membri del CdA. Su questo punto, ACN ha chiarito che non si richiede agli amministratori di diventare esperti tecnici. Rizzi lo sintetizza così: «Non si tratta di un corso per ingegneri: è necessario che abbiano la giusta sensibilità per comprendere che cosa stanno approvando».

Il CdA deve quindi comprendere la natura dei rischi, valutare il piano che approva e verificare la coerenza delle risorse stanziate. Inoltre, deve vigilare affinché il personale dell’organizzazione riceva formazione adeguata in base al proprio ruolo, differenziata, proporzionata e coerente con il rischio introdotto da ciascuna funzione.

Perché il “click sulla piattaforma” è importante

A molti amministratori, l’obbligo di registrarsi sulla piattaforma può sembrare marginale. Ma, come spiega Luca Bechelli, Comitato Direttivo Clusit, «chi magari nel 2024 si è considerato non appartenente ai settori NIS2 si è sentito libero dal tema, ha pensato ad altro e non ha più verificato eventuali evoluzioni normative».

Il “click” costringe letteralmente il consigliere a fermarsi e a prendere atto della propria responsabilità. Questo gesto interrompe il flusso quotidiano, produce consapevolezza e stimola domande interne sulla cyber security, spesso portando a richiedere report periodici ai team tecnici.

La registrazione, secondo Bechelli, non crea la responsabilità: la rende esplicita.

Il parallelo con NIST 2.0: governance come funzione core

L’enfasi sulla governance non è una peculiarità italiana. Il NIST Cybersecurity Framework 2.0 ha introdotto la funzione “Govern” come funzione core della cybersecurity, affiancandola a Protect, Detect, Respond e Recover. Come afferma Rizzi: «Nell’evoluzione del NIST 2.0 è stata introdotta la funzione di governance. Senza governance, non è possibile essere efficaci nell’implementazione».

La responsabilità del CdA è quindi coerente con i principali riferimenti internazionali.

La delegazione operativa non esclude responsabilità

Un punto spesso frainteso riguarda la delega. Il CdA può – e deve – delegare l’esecuzione delle attività ai team tecnici. Ma la delega non elimina la responsabilità di vigilanza.

Come chiarisce Rizzi: «È evidente che non sarà il CdA o l’amministratore delegato a svolgere direttamente le attività tecniche. Potranno delegarle, ma la loro responsabilità rimane».

Questo è il modello di governance richiesto dalla NIS2: un CdA informato, consapevole e vigilante, che conosce il piano, assegna risorse e monitora l’avanzamento. Per questo, nel dicembre 2025, quella registrazione non è un adempimento burocratico, ma un atto deliberato di governance.