Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

acn

Rischio cyber: il ruolo degli amministratori nella NIS 2, fra obblighi e responsabilità

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

La circolare Assonime 23/2025 analizza il nuovo quadro di governance della cyber sicurezza, sottolineando come gli obblighi introdotti dalla normativa NIS 2 abbiano un impatto diretto sull’organizzazione interna delle aziende e sul ruolo degli amministratori

Pubblicato il 2 feb 2026
Luisa Franchina

Presidente Associazione Italiana Infrastrutture Critiche (AIIC)

Tommaso Diddi

Analista Hermes Bay

NIS2 determinazione ACN 31 luglio 2025; Governare il rischio di cyber sicurezza nell'impresa: il ruolo degli amministratori, fra obblighi e responsabilità; NIS2, ACN aggiorna le FAQ: la notifica degli incidenti non si appalta

L’attuazione in Italia della direttiva NIS 2 ha introdotto un significativo cambio di paradigma nella governance della sicurezza informatica all’interno delle imprese.

Il decreto legislativo 4 settembre 2024, n. 138, rappresenta la norma di recepimento. Pone al centro dell’attenzione non solo gli obblighi tecnici di conformità, ma soprattutto la responsabilità dell’organo amministrativo nell’impostazione di un assetto organizzativo adeguato alla prevenzione e gestione del rischio cyber.

La Circolare Assonime 23/2025 analizza il nuovo quadro di governance della cyber sicurezza, evidenziando come gli obblighi introdotti dalla normativa NIS2 incidano direttamente sull’organizzazione interna delle imprese e sul ruolo degli amministratori.

Dal ragionamento all’accountability: la logica come prova documentata

I soggetti Nis 2 e i criteri oggettivi

L’ambito di applicazione del decreto è molto ampio e include soggetti pubblici e privati operanti in settori ritenuti essenziali o importanti.

Rientrano tra i soggetti NIS, per esempio, operatori nei settori dell’energia, dei trasporti, bancario, delle infrastrutture digitali, della sanità, delle acque potabili, della pubblica amministrazione e delle tecnologie Ict. L’identificazione dei soggetti tenuti agli obblighi della normativa si basa su criteri oggettivi come il settore di attività, le dimensioni dell’impresa, e la rilevanza dei servizi erogati per il sistema economico e sociale.

Il perimetro di applicazione non è solo formale, ma comporta anche una valutazione funzionale delle responsabilità e dei rischi, alla luce delle indicazioni fornite dall’Agenzia per la Cybersicurezza Nazionale (ACN).

Gli obblighi di adeguamento

La normativa eleva la cybersicurezza a elemento strutturale e permanente della governance aziendale.

Gli obblighi di adeguamento non sono demandati alle sole funzioni tecniche, ma rientrano nella diretta competenza dell’organo amministrativo, che assume un ruolo strategico nella definizione del sistema di gestione dei rischi informatici.

La sicurezza cibernetica diventa un presidio organizzativo da integrare in maniera trasversale nelle attività dell’impresa, secondo un approccio basato sull’analisi dei rischi, la prevenzione degli incidenti, la risposta alle crisi e il ripristino delle attività.

Gli amministratori devono assicurare che le misure tecniche e organizzative siano adeguate, documentate e periodicamente aggiornate, in coerenza con la natura e la portata dei rischi specifici del settore in cui opera l’organizzazione.

Aspetti applicativi del decreto: i chiarimenti dell’Acn

L’Acn ha fornito indicazioni operative e chiarimenti su aspetti applicativi del decreto.

Tali strumenti rappresentano un riferimento essenziale per la corretta attuazione delle norme e per la costruzione di un modello di conformità coerente con le aspettative del regolatore.

Le linee guida Acn chiariscono, tra l’altro, le modalità di identificazione dei soggetti NIS, la natura degli obblighi di notifica degli incidenti, i requisiti minimi del sistema di gestione della sicurezza, e le responsabilità dell’alta dirigenza.

È previsto che i soggetti obbligati definiscano in modo chiaro ruoli e responsabilità in materia di sicurezza, garantiscano la tracciabilità delle attività di controllo, adottino procedure di escalation interna e assicurino misure di continuità operativa e di gestione degli incidenti adeguate alla propria struttura, fermo restando che la normativa non impone in modo testuale un modello organizzativo unico o la creazione di una specifica funzione di sicurezza formalizzata per tutti.

La gestione del rischio cyber per gli amministratori

Il coinvolgimento dell’organo amministrativo non si esaurisce nella sola adozione di policy o nella supervisione passiva delle attività tecniche.

Gli amministratori sono chiamati a valutare attivamente la maturità del sistema di gestione del rischio cyber, a verificare l’efficacia delle misure adottate, a promuovere una cultura organizzativa orientata alla sicurezza, e a garantire un flusso informativo adeguato verso i soggetti competenti, inclusa l’Autorità nazionale competente NIS, ove richiesto, sugli interventi intrapresi.

Inoltre, devono farsi parte diligente nell’allocazione delle risorse economiche, nella selezione di partner e fornitori secondo criteri di sicurezza, e nella formazione continua del personale.

In questo contesto, la responsabilità dell’organo amministrativo assume una configurazione rafforzata e pienamente tracciabile, che impone un dovere di attivazione anche in assenza di eventi critici o incidenti già avvenuti.

Inadempimenti e sanzioni

Il decreto prevede un regime articolato di responsabilità per gli inadempimenti. In primo luogo, la responsabilità amministrativa può comportare l’irrogazione di sanzioni pecuniarie significative.

Inoltre, in secondo luogo, la norma contempla una misura amministrativa accessoria che può comportare l’incapacità temporanea di svolgere funzioni dirigenziali all’interno del soggetto inadempiente.

Infine, l’inadempimento degli obblighi previsti dalla NIS 2 può rilevare, secondo le ordinarie regole del codice civile, ai fini della responsabilità degli amministratori per eventuali danni subiti dall’impresa, dai soci o da terzi, senza che il decreto introduca un autonomo regime di responsabilità civilistica.

Integrare framework internazionali

È particolarmente rilevante la correlazione tra l’assetto organizzativo e il livello di accountability richiesto all’organo amministrativo.

Il sistema interno di gestione del rischio cyber deve essere coerente con la struttura e le dimensioni dell’impresa, e deve poter essere dimostrato ex post, attraverso documentazione tracciabile, e strumenti organizzativi coerenti con i modelli di buona pratica riconosciuti, inclusi, ove adottati, audit interni e piani di miglioramento, fermo restando che tali strumenti non costituiscono un obbligo testuale del decreto ma rappresentano modalità efficaci di verificabilità del sistema.

L’approccio suggerito dalla normativa è quello di adottare misure di sicurezza adeguate e basate su standard di settore ampiamente riconosciuti, lasciando alle imprese la possibilità di integrare framework internazionali come ISO/IEC 27001 o il NIST Cybersecurity Framework, che risultano particolarmente utili per strutturare la governance in maniera stabile e verificabile.

Il ruolo degli amministratori nell’attuazione della NIS 2

La Circolare Assonime 23/2025 contribuisce a delineare questo nuovo scenario, mettendo in luce l’importanza di un coinvolgimento diretto e consapevole degli organi amministrativi nell’attuazione della NIS 2.

La prevenzione del rischio informatico diventa così parte integrante del dovere di diligenza degli amministratori, in una logica di responsabilità proattiva, in cui la mancata implementazione di misure organizzative adeguate può rilevare ai fini di un’omissione colposa secondo le regole civilistiche ordinarie.

La circolare sottolinea, inoltre, la necessità che la governance della sicurezza sia effettiva e sostanziale, e non si limiti a un mero formalismo documentale.

Nel contesto italiano, caratterizzato da una forte eterogeneità del tessuto imprenditoriale e da una crescente digitalizzazione dei servizi pubblici e privati, la corretta implementazione della direttiva NIS 2 costituisce un’occasione per rafforzare la cultura della prevenzione e garantire una maggiore affidabilità del sistema economico nel suo complesso.

L’assunzione di responsabilità da parte dell’organo amministrativo, come richiesto dalla nuova normativa, è un passaggio essenziale per garantire che la sicurezza informatica non venga più percepita come un costo o un obbligo formale, ma come un investimento strategico e una componente imprescindibile della gestione d’impresa.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
D
Tommaso Diddi
Analista Hermes Bay

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Contestualizzazione del FNCDP 2.1, un metodo per essere conformi alla NIS2: occorre partire dal NIST CSF 2.0

  • L'ANALISI

    NIS 2: da ENISA la guida tecnica per applicare correttamente le misure di sicurezza

    30 Giu 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • Cyber security e immigrazione

  • sicurezza e immigrazione

    CPR come zone offline: quando la cyber security diventa esclusione sociale

    07 Gen 2026

    di Tania Orrù

    Condividi
  • NordVPN

  • LA SOLUZIONE

    NordVPN, proteggere la connessione a Internet e la privacy in Rete: gli strumenti

    08 Nov 2025

    di redazione affiliazioni Nextwork360

    Condividi
  • Amministratore di condominio e privacy

  • authority

    Ruolo dell’amministratore di condominio, le nuove linee guida del Garante Privacy

    16 Giu 2025

    di Pasquale Mancino

    Condividi
0
Lascia un commento, la tua opinione conta.x