Negli ultimi mesi, molte imprese italiane si sono confrontate, spesso per la prima volta, con le richieste della Direttiva NIS2, recepita nel nostro ordinamento con il D.Lgs. 138/2024. Un passaggio normativo che segna una vera svolta, perchè la sicurezza informatica non è più materia esclusiva dei tecnici, ma diventa una responsabilità diretta di chi guida l’azienda.
L’obiettivo della Direttiva è chiaro: rafforzare la resilienza del sistema europeo rispetto alle minacce cyber, sempre più frequenti, sofisticate e con impatti potenzialmente devastanti. La normativa non si limita ad introdurre obblighi tecnici, ma impone alle imprese di ripensare il loro assetto organizzativo, attribuendo agli organi apicali un ruolo attivo nella gestione del rischio cibernetico, così introducendo un nuovo approccio alla cybersecurity.
In altre parole oggi è il Consiglio di amministrazione o l’organo direttivo equivalente a dover garantire che l’impresa sia preparata a fronteggiare un attacco informatico. E questo cambia tutto.
Molte aziende hanno già completato la prima fase operativa, registrandosi sulla piattaforma dell’ACN (Agenzia per la Cybersicurezza Nazionale) e trasmettendo i dati richiesti: nominativi dei referenti, indirizzi IP, domini in uso, informazioni sugli organi direttivi, Paesi in cui si erogano i servizi coperti dalla normativa.
Per chi non è riuscito a rispettare la scadenza iniziale del 31 maggio 2025, l’ACN ha concesso una proroga fino al 31 luglio. Un’opportunità importante, perché il passo successivo e più delicato è proprio l’attuazione progressiva delle misure previste dalla normativa.
Una volta ricevuta la comunicazione ufficiale di inclusione nel perimetro NIS, le imprese dovranno implementare entro 9 e 18 mesi una serie di azioni: policy, procedure, misure tecniche, piani di risposta agli incidenti. E dovranno farlo sotto la supervisione diretta del vertice aziendale.
Di chi è la responsabilità?
La normativa è esplicita. Le responsabilità ricadono sugli organi amministrativi e direttivi dell’impresa, ossia sui componenti del CdA o sulle figure che, a seconda della struttura giuridica, esercitano la direzione.
Non rientrano in questa categoria, salvo sovrapposizioni, figure come il CISO, il responsabile della sicurezza informatica, o il punto di contatto nominato per dialogare con l’Autorità.
L’art. 24 del Decreto elenca in modo dettagliato gli obblighi in capo agli organi direttivi. In sintesi: approvare le modalità di implementazione delle misure di sicurezza; supervisionarne l’effettiva applicazione; formarsi in materia di cybersecurity; promuovere la formazione periodica di dipendenti e collaboratori; ricevere informazioni aggiornate su incidenti cyber e notifiche al CSIRT.
Non si tratta di attività simboliche: la norma pretende che il vertice aziendale comprenda e governi i rischi legati alla sicurezza informatica. In caso contrario, le sanzioni possono essere rilevanti, sia per l’impresa, sia per i singoli amministratori.
La cybersecurity è ora un tema di governance.
La vera rivoluzione della NIS2 è culturale, prima ancora che tecnica. Impone alle imprese di considerare la sicurezza informatica come parte integrante della governance aziendale.
Ciò significa che il rischio cyber va inserito nei modelli di gestione, nei flussi decisionali, nei processi di controllo interno; non è più una “questione da IT”, ma un elemento strutturale della strategia aziendale.
In un contesto in cui un attacco informatico può bloccare la produzione, paralizzare i servizi, danneggiare la reputazione e generare responsabilità legali, ignorare questi aspetti equivale a esporsi a conseguenze gravi e durature.
In definitiva, la risposta alla domanda “chi ne risponde davvero?” è semplice, chi guida l’azienda.
Avv. Simona Maruccio
Giornalista pubblicista, opera da molti anni nel settore della compliance aziendale, del marketing e della comunicazione.