L’attuazione in Italia della direttiva NIS 2 ha introdotto un significativo cambio di paradigma nella governance della sicurezza informatica all’interno delle imprese.

Il decreto legislativo 4 settembre 2024, n. 138, rappresenta la norma di recepimento. Pone al centro dell’attenzione non solo gli obblighi tecnici di conformità, ma soprattutto la responsabilità dell’organo amministrativo nell’impostazione di un assetto organizzativo adeguato alla prevenzione e gestione del rischio cyber.

La Circolare Assonime 23/2025 analizza il nuovo quadro di governance della cyber sicurezza, evidenziando come gli obblighi introdotti dalla normativa NIS2 incidano direttamente sull’organizzazione interna delle imprese e sul ruolo degli amministratori.

I soggetti Nis 2 e i criteri oggettivi

L’ambito di applicazione del decreto è molto ampio e include soggetti pubblici e privati operanti in settori ritenuti essenziali o importanti.

Rientrano tra i soggetti NIS, per esempio, operatori nei settori dell’energia, dei trasporti, bancario, delle infrastrutture digitali, della sanità, delle acque potabili, della pubblica amministrazione e delle tecnologie Ict. L’identificazione dei soggetti tenuti agli obblighi della normativa si basa su criteri oggettivi come il settore di attività, le dimensioni dell’impresa, e la rilevanza dei servizi erogati per il sistema economico e sociale.

Il perimetro di applicazione non è solo formale, ma comporta anche una valutazione funzionale delle responsabilità e dei rischi, alla luce delle indicazioni fornite dall’Agenzia per la Cybersicurezza Nazionale (ACN).

Gli obblighi di adeguamento

La normativa eleva la cybersicurezza a elemento strutturale e permanente della governance aziendale.

Gli obblighi di adeguamento non sono demandati alle sole funzioni tecniche, ma rientrano nella diretta competenza dell’organo amministrativo, che assume un ruolo strategico nella definizione del sistema di gestione dei rischi informatici.

La sicurezza cibernetica diventa un presidio organizzativo da integrare in maniera trasversale nelle attività dell’impresa, secondo un approccio basato sull’analisi dei rischi, la prevenzione degli incidenti, la risposta alle crisi e il ripristino delle attività.

Gli amministratori devono assicurare che le misure tecniche e organizzative siano adeguate, documentate e periodicamente aggiornate, in coerenza con la natura e la portata dei rischi specifici del settore in cui opera l’organizzazione.

Aspetti applicativi del decreto: i chiarimenti dell’Acn

L’Acn ha fornito indicazioni operative e chiarimenti su aspetti applicativi del decreto.

Tali strumenti rappresentano un riferimento essenziale per la corretta attuazione delle norme e per la costruzione di un modello di conformità coerente con le aspettative del regolatore.

Le linee guida Acn chiariscono, tra l’altro, le modalità di identificazione dei soggetti NIS, la natura degli obblighi di notifica degli incidenti, i requisiti minimi del sistema di gestione della sicurezza, e le responsabilità dell’alta dirigenza.

È previsto che i soggetti obbligati definiscano in modo chiaro ruoli e responsabilità in materia di sicurezza, garantiscano la tracciabilità delle attività di controllo, adottino procedure di escalation interna e assicurino misure di continuità operativa e di gestione degli incidenti adeguate alla propria struttura, fermo restando che la normativa non impone in modo testuale un modello organizzativo unico o la creazione di una specifica funzione di sicurezza formalizzata per tutti.

La gestione del rischio cyber per gli amministratori

Il coinvolgimento dell’organo amministrativo non si esaurisce nella sola adozione di policy o nella supervisione passiva delle attività tecniche.

Gli amministratori sono chiamati a valutare attivamente la maturità del sistema di gestione del rischio cyber, a verificare l’efficacia delle misure adottate, a promuovere una cultura organizzativa orientata alla sicurezza, e a garantire un flusso informativo adeguato verso i soggetti competenti, inclusa l’Autorità nazionale competente NIS, ove richiesto, sugli interventi intrapresi.

Inoltre, devono farsi parte diligente nell’allocazione delle risorse economiche, nella selezione di partner e fornitori secondo criteri di sicurezza, e nella formazione continua del personale.

In questo contesto, la responsabilità dell’organo amministrativo assume una configurazione rafforzata e pienamente tracciabile, che impone un dovere di attivazione anche in assenza di eventi critici o incidenti già avvenuti.

Inadempimenti e sanzioni

Il decreto prevede un regime articolato di responsabilità per gli inadempimenti. In primo luogo, la responsabilità amministrativa può comportare l’irrogazione di sanzioni pecuniarie significative.

Inoltre, in secondo luogo, la norma contempla una misura amministrativa accessoria che può comportare l’incapacità temporanea di svolgere funzioni dirigenziali all’interno del soggetto inadempiente.

Infine, l’inadempimento degli obblighi previsti dalla NIS 2 può rilevare, secondo le ordinarie regole del codice civile, ai fini della responsabilità degli amministratori per eventuali danni subiti dall’impresa, dai soci o da terzi, senza che il decreto introduca un autonomo regime di responsabilità civilistica.

Integrare framework internazionali

È particolarmente rilevante la correlazione tra l’assetto organizzativo e il livello di accountability richiesto all’organo amministrativo.

Il sistema interno di gestione del rischio cyber deve essere coerente con la struttura e le dimensioni dell’impresa, e deve poter essere dimostrato ex post, attraverso documentazione tracciabile, e strumenti organizzativi coerenti con i modelli di buona pratica riconosciuti, inclusi, ove adottati, audit interni e piani di miglioramento, fermo restando che tali strumenti non costituiscono un obbligo testuale del decreto ma rappresentano modalità efficaci di verificabilità del sistema.

L’approccio suggerito dalla normativa è quello di adottare misure di sicurezza adeguate e basate su standard di settore ampiamente riconosciuti, lasciando alle imprese la possibilità di integrare framework internazionali come ISO/IEC 27001 o il NIST Cybersecurity Framework, che risultano particolarmente utili per strutturare la governance in maniera stabile e verificabile.

Il ruolo degli amministratori nell’attuazione della NIS 2

La Circolare Assonime 23/2025 contribuisce a delineare questo nuovo scenario, mettendo in luce l’importanza di un coinvolgimento diretto e consapevole degli organi amministrativi nell’attuazione della NIS 2.

La prevenzione del rischio informatico diventa così parte integrante del dovere di diligenza degli amministratori, in una logica di responsabilità proattiva, in cui la mancata implementazione di misure organizzative adeguate può rilevare ai fini di un’omissione colposa secondo le regole civilistiche ordinarie.

La circolare sottolinea, inoltre, la necessità che la governance della sicurezza sia effettiva e sostanziale, e non si limiti a un mero formalismo documentale.

Nel contesto italiano, caratterizzato da una forte eterogeneità del tessuto imprenditoriale e da una crescente digitalizzazione dei servizi pubblici e privati, la corretta implementazione della direttiva NIS 2 costituisce un’occasione per rafforzare la cultura della prevenzione e garantire una maggiore affidabilità del sistema economico nel suo complesso.

L’assunzione di responsabilità da parte dell’organo amministrativo, come richiesto dalla nuova normativa, è un passaggio essenziale per garantire che la sicurezza informatica non venga più percepita come un costo o un obbligo formale, ma come un investimento strategico e una componente imprescindibile della gestione d’impresa.