Contattaci
Categorie
  • Magazine
  • Fintech
  • Il ruolo dei Consigli di Amministrazione nella gestione del rischio cyber alla luce della Direttiva NIS 2

Il ruolo dei Consigli di Amministrazione nella gestione del rischio cyber alla luce della Direttiva NIS 2

Avv. Giuseppe Vitrani
25.11.2025 - Tempo di lettura: 6'
Il ruolo dei Consigli di Amministrazione nella gestione del rischio cyber alla luce della Direttiva NIS 2

La crescente digitalizzazione dei processi produttivi e l’interconnessione delle infrastrutture critiche hanno determinato un’esposizione senza precedenti delle organizzazioni pubbliche e private alle minacce cibernetiche. Gli attacchi informatici, sempre più sofisticati e frequenti, non costituiscono più una mera questione tecnica relegata ai reparti IT, ma rappresentano un rischio strategico in grado di compromettere la continuità operativa, la reputazione e, in ultima analisi, la stessa sostenibilità economica delle imprese.

In questo contesto, l’Unione Europea ha adottato la Direttiva (UE) 2022/2555 del 14 dicembre 2022, nota come Direttiva NIS 2, che sostituisce e rafforza la precedente Direttiva NIS del 2016. Il legislatore europeo, preso atto dell’inadeguatezza del precedente impianto normativo, ha inteso elevare il livello di cybersecurity nell’Unione attraverso un duplice intervento: da un lato, ampliando significativamente il perimetro soggettivo di applicazione; dall’altro, e questo costituisce l’elemento di maggiore innovazione, imponendo agli organi di gestione un ruolo attivo e responsabilità dirette nella governance del rischio cyber.

L’Italia ha recepito la Direttiva con il D.Lgs. 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024, collocandosi tra i primi Stati membri a dare attuazione agli obblighi europei. Il decreto italiano introduce disposizioni particolarmente rigorose in tema di responsabilità degli amministratori; il tema è di grande importanza perché, secondo le stime dell’Agenzia per la Cybersicurezza Nazionale, i soggetti interessati dalla normativa in Italia ammonterebbero a circa 50.000 organizzazioni, a testimonianza dell’estensione del perimetro applicativo.

Il ruolo strategico degli organi di amministrazione e direttivi

L’art. 23 del D.Lgs. 138/2024: contenuto e portata innovativa

L’articolo 23 del decreto di recepimento costituisce la disposizione cardine in materia di governance della cybersecurity e merita un’analisi approfondita per la sua portata innovativa. La norma introduce una responsabilità diretta e non delegabile degli organi di amministrazione e direttivi nella gestione del rischio cyber, segnando una discontinuità rispetto al passato.

Il primo comma dell’art. 23 stabilisce che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti sono tenuti a:

(i) approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica di cui all’art. 24;

(ii) sovraintendere all’implementazione degli obblighi di cui al capo IV e dell’art. 7;

(iii) seguire una formazione specifica in materia ed offrirla periodicamente ai dipendenti.

È opportuno evidenziare una divergenza terminologica tra la Direttiva NIS 2 e il decreto italiano che assume rilievo sistematico. Mentre l’art. 20 della Direttiva fa riferimento agli “organi di gestione” (“management body”), il legislatore italiano ha optato per la locuzione “organi di amministrazione e direttivi”, introducendo una distinzione che riflette un modello di governance più articolato e formalizzato.

La distinzione tra organi di amministrazione e organi direttivi

La scelta del legislatore italiano di distinguere tra “organi di amministrazione” e “organi direttivi” non è priva di conseguenze pratiche e implica un sistema di governance con più livelli di supervisione e controllo.

Gli organi di amministrazione (tipicamente il Consiglio di amministrazione) sono deputati alle decisioni di alto livello strategico: approvazione delle politiche di sicurezza, allocazione delle risorse, definizione degli obiettivi di sicurezza informatica in coerenza con la strategia aziendale, supervisione dell’adeguatezza del sistema di gestione del rischio.

Gli organi direttivi, che operano su delega degli organi di amministrazione, hanno invece responsabilità operative: attuazione concreta delle misure approvate, supervisione dell’implementazione tecnica, monitoraggio continuo dell’efficacia delle misure, reporting periodico al Consiglio di amministrazione.

Secondo le indicazioni fornite dall’Agenzia per la Cybersicurezza Nazionale nelle FAQ pubblicate, ai fini degli adempimenti richiesti dalla normativa, per “organi di amministrazione e direttivi” devono intendersi i componenti del Consiglio di amministrazione (o dell’organo che svolge analoghe funzioni) e il rappresentante legale. Non rientrano in tale nozione, salvo che non siano contestualmente membri del CdA, figure apicali quali il Chief Information Security Officer (CISO), il punto di contatto NIS o altri dirigenti.

Il contenuto degli obblighi: approvazione, supervisione e formazione

Il CdA è chiamato innanzitutto ad approvare formalmente le modalità con cui l’organizzazione intende dare attuazione agli obblighi di sicurezza informatica. Tale approvazione non può limitarsi a una mera ratifica formale di quanto predisposto dalle funzioni tecniche, ma richiede un’effettiva comprensione e valutazione delle scelte strategiche in materia di cybersecurity. La delibera del CdA deve riguardare: la definizione del modello di gestione del rischio cyber adottato dall’organizzazione, l’individuazione delle responsabilità e delle linee di reporting, l’allocazione delle risorse economiche e umane necessarie, la definizione degli obiettivi di sicurezza e dei relativi indicatori di performance (KPI), l’approvazione delle politiche di sicurezza.

Deve essere altresì condotta un’attività di supervisione, che comporta un monitoraggio continuo e sistematico dell’attuazione delle misure approvate. Il CdA deve perciò istituire meccanismi di reporting periodico che consentano di verificare l’avanzamento nell’implementazione delle misure, l’adeguatezza e l’efficacia delle stesse, il livello di esposizione al rischio residuo, gli incidenti occorsi e le relative misure correttive.

L’art. 23, comma 1, lett. c), impone inoltre agli amministratori di seguire una formazione specifica in materia di cybersecurity. La ratio della disposizione risiede nell’esigenza di garantire che i vertici aziendali dispongano delle competenze minime necessarie per comprendere i rischi, valutare le misure proposte e assumere decisioni informate. La formazione deve essere periodica e aggiornata rispetto all’evoluzione delle minacce e delle tecnologie.

Le competenze necessarie: verso una “digital literacy” del vertice aziendale

La Direttiva NIS 2 e il decreto di recepimento impongono un cambio di paradigma rispetto al tradizionale modello di gestione della cybersecurity, in cui la materia era interamente delegata alle funzioni IT. Il nuovo assetto normativo postula che la sicurezza informatica non costituisca più una questione meramente tecnica, ma assuma dignità di tema strategico di competenza diretta del Consiglio di amministrazione.

Questo non significa che agli amministratori sia richiesta una competenza tecnica specialistica, ma implica la necessità di acquisire quella che può definirsi una “digital literacy” di base, ovverosia un livello di alfabetizzazione digitale sufficiente per comprendere innanzitutto la natura e la portata dei rischi cyber a cui l’organizzazione è esposta.

Spetterà inoltre all’organo gestorio il compito di valutare l’adeguatezza delle misure tecniche e organizzative proposte dal management e di interpretare i dati e gli indicatori relativi alla postura di sicurezza dell’organizzazione.

Costituirà inoltre passaggio fondamentale quello di collegare le decisioni in materia di cybersecurity agli obiettivi strategici e ai rischi di business, oltreché assumere decisioni informate in merito all’allocazione di risorse per la sicurezza informatica.

Le responsabilità e il regime sanzionatorio

La responsabilità amministrativa degli organi

L’art. 23, comma 2, del D.Lgs. 138/2024 stabilisce che “le persone fisiche che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale per i soggetti essenziali e importanti, o che fanno parte degli organi di amministrazione e degli organi direttivi di tali soggetti, possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza“.

La disposizione introduce una forma di responsabilità personale degli amministratori che si discosta dal tradizionale paradigma del diritto della protezione dei dati, ove la responsabilità primaria ricade sul titolare del trattamento (persona giuridica) e solo in via residuale su soggetti individuati.

L’art. 38 del decreto disciplina le sanzioni amministrative pecuniarie applicabili alle persone fisiche. L’Autorità nazionale competente NIS può disporre, nei confronti delle persone fisiche di cui al comma 5 dell’articolo 38, l’applicazione della sanzione amministrativa accessoria dell’incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide impartite.

La responsabilità civilistica e i doveri degli amministratori

Oltre al profilo della responsabilità amministrativa, occorre considerare le implicazioni sul piano della responsabilità civilistica degli amministratori ai sensi degli artt. 2392 e ss. del Codice civile.

Gli obblighi imposti dalla NIS 2 si inseriscono nel più ampio dovere di diligente amministrazione che grava sui membri del Consiglio di amministrazione. L’inadempimento degli obblighi di cui all’art. 23 del D.Lgs. 138/2024 – segnatamente, la mancata approvazione delle misure, l’omessa supervisione o il difetto di formazione – potrebbe integrare una violazione del generale dovere di diligenza, con conseguente responsabilità per i danni cagionati alla società, ai creditori sociali e ai terzi, anche perché potrebbe essere segno rivelatore della mancata adozione di un assetto adeguato ai sensi dell’art. 2086 c.c.

In presenza di un incidente cyber che determini danni patrimoniali rilevanti (interruzione dell’attività, perdita di dati, danni reputazionali), i soci o i creditori sociali potrebbero perciò agire in responsabilità nei confronti degli amministratori qualora si dimostri che: gli amministratori non hanno adottato le misure di sicurezza richieste dalla normativa; il danno è conseguenza diretta di tale inadempimento; non sussistono esimenti quali il caso fortuito o la forza maggiore.

Il rispetto formale e sostanziale degli obblighi imposti dalla NIS 2 assume pertanto valenza di elemento esimente o, quanto meno, mitigante della responsabilità. La corretta verbalizzazione delle delibere del CdA, l’evidenza documentale della formazione seguita, la tracciabilità delle attività di supervisione costituiscono elementi probatori fondamentali a tutela degli amministratori.

TeamSystem Cybersecurity
Metti al sicuro e verifica in modo semplice i tuoi account e-mail, il sito, le password e tutti i dati della Impresa, del tuo Studio e dei tuoi clienti.
Scopri TeamSystem Cybersecurity

Articoli correlati

Come organizzare scadenze e pagamenti con uno scadenzario digitale
Fintech
Come organizzare scadenze e pagamenti con uno scadenzario digitale
Scopri come uno scadenzario digitale ti aiuta a monitorare incassi e pagamenti, evitare ritardi e tenere tutto sotto controllo in un unico gestionale.
27.11.2025 | Redazione
Il valore strategico del rating aziendale: come attrarre investitori, clienti e partner con valutazioni affidabili
Fintech
Il valore strategico del rating aziendale: come attrarre investitori, clienti e partner con valutazioni affidabili
Scopri come il rating aziendale può diventare un vantaggio strategico per attrarre investitori, clienti e partner. Come usare valutazioni affidabili per migliorare la reputazione e la competitività della tua impresa.
24.11.2025 | Redazione
Ritardi nei pagamenti tra PMI: come usare l’anticipo fatture per evitare crisi di liquidità
Fintech
Ritardi nei pagamenti tra PMI: come usare l’anticipo fatture per evitare crisi di liquidità
Scopri come affrontare i ritardi nei pagamenti tra PMI con l’anticipo fatture: una soluzione efficace per mantenere la liquidità aziendale e prevenire blocchi operativi.
20.11.2025 | Redazione
Come funziona la cessione dei crediti fiscali tra aziende: vantaggi e strumenti
Fintech
Come funziona la cessione dei crediti fiscali tra aziende: vantaggi e strumenti
Scopri come funziona la cessione dei crediti fiscali tra aziende, quali sono le ultime novità normative e come digitalizzare il processo per una gestione sicura.
13.11.2025 | Redazione
Phishing, come riconoscerlo e difendersi efficacemente
Fintech
Phishing, come riconoscerlo e difendersi efficacemente
Il phishing rappresenta oggi una delle principali minacce alla sicurezza informatica di imprese e studi professionali. L’articolo analizza le nuove tecniche di attacco, le misure di prevenzione più efficaci e il ruolo decisivo della formazione nella protezione dei dati aziendali.
12.11.2025 | Roberto Garavaglia
Ridurre i crediti deteriorati: guida al ruolo del credit scoring per freelance e PMI
Fintech
Ridurre i crediti deteriorati: guida al ruolo del credit scoring per freelance e PMI
Riduci il rischio di crediti deteriorati con il credit scoring: scopri come freelance e PMI possono valutare l’affidabilità dei clienti prima di concedere credito.
29.10.2025 | Redazione
DORA e NIS2: dalla compliance alla resilienza
Fintech
DORA e NIS2: dalla compliance alla resilienza
Le normative europee DORA e NIS2 ridisegnano il modo in cui imprese e professionisti devono affrontare la cybersicurezza. Questo ebook spiega come passare dagli adempimenti formali a una vera cultura della resilienza: gestione del rischio, governance, fornitori e continuità operativa diventano leve strategiche per la competitività e la fiducia digitale.
06.10.2025 | Roberto Garavaglia
Crowdfunding e sostenibilità: nuove opportunità per le imprese
Fintech
Crowdfunding e sostenibilità: nuove opportunità per le imprese
Scopri come equity crowdfunding, invoice trading, real estate e donation-based crowdfunding supportano imprese green e progetti ESG legati a energia, ambiente e sociale.
23.09.2025 | Redazione