Obblighi specifici per amministratori e organi direttivi

Uno dei principali elementi di novità introdotti dalla NIS2, come recepita dal Decreto Legislativo 138/2024, è la previsione di obblighi formali a carico degli amministratori e degli organi direttivi dei soggetti essenziali e importanti.

In particolare, l’art. 23 del decreto stabilisce che questi soggetti devono:

• approvare formalmente le misure di gestione dei rischi per la sicurezza informatica adottate dalla società;
• verificare l’effettiva implementazione delle misure previste per conformarsi alla normativa;
• garantire percorsi di formazione propri e rivolti ai dipendenti, per rafforzare la consapevolezza interna sui rischi cyber.

In altre parole, la dirigenza non può più limitarsi a supervisionare: è tenuta ad agire, documentare e vigilare.

Il concetto di responsabilità diretta

Uno degli aspetti più significativi del nuovo impianto normativo è il richiamo esplicito alla responsabilità personale degli amministratori. La normativa prevede infatti che, in caso di violazioni, la responsabilità non si ferma all’ente giuridico, ma si estende a chi detiene poteri di rappresentanza e direzione.

Il Decreto 138/2024, all’art. 38, è molto chiaro in questo senso: i soggetti con funzioni dirigenziali possono essere considerati direttamente responsabili per eventuali inadempienze in materia di cybersecurity.

Sanzioni e conseguenze operative

Nel caso venga accertata una responsabilità, il decreto prevede anche sanzioni amministrative accessorie di grande impatto. In particolare, si può arrivare a:

• sospensione dalla carica per gli amministratori o dirigenti coinvolti;
• l’incapacità a tempo "indefinito" di ricoprire ruoli direttivi, fino a quando l’organizzazione non avrà completato l’adeguamento richiesto dalla normativa o imposto dall’autorità nazionale competente.

Questo implica che la negligenza in ambito di sicurezza informatica può compromettere la carriera professionale di chi ricopre ruoli apicali.

Formazione obbligatoria: per i vertici e per tutto il personale

Altro punto fondamentale introdotto dalla normativa è l’obbligo di formazione continua.

• Gli amministratori devono formarsi personalmente sulle tematiche di cybersecurity;
• L’organizzazione deve offrire una formazione periodica ai dipendenti.

Questa misura non è formale o accessoria: serve a costruire una cultura aziendale della sicurezza, che coinvolga l’intera struttura.

Un cambio di paradigma: l’ente non è più “scudo”

La normativa sancisce un passaggio epocale: l’ente non funge più da scudo per i singoli. La responsabilità è personale e richiede una partecipazione attiva e consapevole.

Non basta più "essere in regola" solo sulla carta: bisogna dimostrare un impegno reale e documentato nella gestione del rischio informatico.

Prevenzione e consapevolezza: le parole chiave della NIS2

In conclusione, il messaggio della Direttiva NIS2 e del relativo decreto attuativo è chiaro: la sicurezza informatica è una responsabilità condivisa, ma con un peso specifico sulle spalle dei vertici aziendali.

Solo attraverso una dirigenza informata, attenta e coinvolta sarà possibile ridurre efficacemente il rischio di attacchi cyber, proteggere i dati e garantire la continuità operativa.

Le regole ci sono, le sanzioni anche. Ora tocca alle organizzazioni – e ai loro leader – dimostrare di aver colto la sfida.