NIS2 – scadenze imminenti e responsabilità dirette per gli Organi Amministrativi

La normativa introduce un quadro organico di obblighi, controlli e responsabilità finalizzati a rafforzare la resilienza informatica delle infrastrutture critiche, delle imprese strategiche e delle Pubbliche Amministrazioni.
L’Agenzia per la Cybersicurezza Nazionale (ACN) è designata come autorità competente, punto di contatto unico e soggetto responsabile del coordinamento nazionale e della gestione delle crisi informatiche.

La NIS2 non si limita a imporre misure tecniche: promuove un approccio integrato alla gestione del rischio e una responsabilizzazione diretta dei vertici aziendali e istituzionali, chiamati ad assumere un ruolo attivo nella sicurezza digitale.

Le scadenze operative per i soggetti NIS

Il percorso di attuazione della normativa prevede precise tappe temporali definite da ACN:

• Entro gennaio 2026: implementazione degli obblighi di base, compresi l’adozione delle misure minime di sicurezza e la notifica degli incidenti.
• Entro aprile 2026: definizione, da parte di ACN, degli obblighi a lungo termine e delle linee di attuazione strutturale.
• Da giugno 2026: avvio dell’implementazione degli obblighi a lungo termine da parte dei soggetti essenziali e importanti.
• Entro ottobre 2026: completamento dell’adeguamento agli obblighi di base e prosecuzione del percorso di consolidamento operativo.

Il 2025 rappresenta quindi l’anno cruciale di preparazione: è necessario pianificare la governance della sicurezza, definire ruoli e responsabilità, e avviare tempestivamente i programmi formativi previsti dal decreto.

Gli obblighi e le responsabilità degli Organi Direttivi

L’aspetto più rilevante del decreto riguarda la responsabilità diretta degli Organi Amministrativi e Direttivi.

L’articolo 23 del D.Lgs. 138/2024 stabilisce che tali organi devono approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica, sovrintendere all’attuazione degli obblighi previsti, essere informati periodicamente sugli incidenti e seguire una formazione specifica in materia di sicurezza informatica.
È inoltre richiesto che promuovano la formazione periodica dei dipendenti, coerente con quella ricevuta dai vertici, per favorire la diffusione della cultura della sicurezza.

Si tratta di obblighi strategici e gestionali che non possono essere delegati.
Il legislatore ha voluto assicurare che le decisioni in materia di cybersicurezza siano effettivamente presidiate dagli organi apicali, chiamati a dimostrare scelte consapevoli, coerenti e documentabili.

Le conseguenze in caso di inadempimento

Il Capo VI del decreto disciplina un sistema sanzionatorio rigoroso.

L’articolo 38 stabilisce che le persone fisiche che esercitano funzioni di rappresentanza, direzione o controllo in un soggetto essenziale o importante sono personalmente responsabili del rispetto delle disposizioni normative.

In caso di violazione, l’Autorità può imporre sanzioni pecuniarie e, nei casi più gravi, la sanzione amministrativa accessoria dell’incapacità temporanea a ricoprire funzioni dirigenziali.

Questo approccio rafforza il principio di accountability individuale, collocando la sicurezza informatica al centro delle responsabilità manageriali e istituzionali.

La proposta di iSimply per la formazione degli Organi Amministrativi

Per accompagnare imprese e Pubbliche Amministrazioni nell’adeguamento alla NIS2, iSimply ha sviluppato un programma di formazione dedicato agli Organi Amministrativi e Direttivi, in coerenza con quanto previsto dagli articoli 23 e 38 del decreto.

Il percorso fornisce agli amministratori e ai dirigenti apicali strumenti concreti per esercitare in modo consapevole le proprie funzioni in materia di sicurezza informatica e governance del rischio.

I moduli formativi affrontano il quadro normativo nazionale ed europeo, le responsabilità previste per i soggetti essenziali e importanti, le procedure di gestione e notifica degli incidenti, e le metodologie per una supervisione efficace e documentata delle misure di sicurezza.

In questa prospettiva, iSimply ha avviato una partnership con Cyberguru, società leader nella formazione comportamentale in ambito cyber security awareness.

Grazie a questa collaborazione, la proposta formativa si arricchisce di percorsi digitali interattivi e di contenuti esperienziali pensati per sviluppare la consapevolezza, la prontezza decisionale e la cultura della sicurezza a tutti i livelli organizzativi.

L’integrazione tra la competenza normativa e organizzativa di iSimply e l’esperienza didattica e tecnologica di Cyberguru consente di offrire un programma completo, certificabile e personalizzabile, adeguato alle diverse esigenze di aziende e pubbliche amministrazioni.

È possibile ascoltare questa news in formato podcast su Spotify, per restare sempre aggiornati… anche in movimento.

• https://open.spotify.com/episode/3dusmPFZfJwwGkOYGX30c3

Potete anche accedere al video, caricato sul nostro canale YouTube, che sintetizza la news cliccando sul link qui sotto.

• https://youtu.be/slKK34PiD1g

Conclusioni

L’attuazione della direttiva NIS2 rappresenta un passaggio decisivo verso un modello di sicurezza informatica maturo, fondato su governance, responsabilità e competenza.

Adeguarsi non significa soltanto rispettare un obbligo normativo, ma rafforzare la resilienza e la credibilità dell’organizzazione nel contesto digitale.

iSimply, in collaborazione con Cyberguru, supporta imprese e pubbliche amministrazioni nel percorso verso la piena conformità alla NIS2, attraverso consulenza, audit, formazione e supporto operativo.

Per ulteriori informazioni sul programma formativo o per richiedere un incontro di approfondimento, è possibile contattare i nostri consulenti ai recapiti indicati di seguito.

iSimply Srl
Via Palestro 45 – Ivrea (TO)
Email: info@isimply.it
Sito web: www.isimply.it