La NIS2 introduce obblighi non delegabili e responsabilità personali per chi governa l’organizzazione
Introduzione
La Direttiva NIS2 e il d.lgs. 138/2024 attribuiscono agli Organi Direttivi un ruolo centrale nella governance della cybersicurezza. Per la prima volta, la normativa identifica in modo esplicito doveri, responsabilità e obblighi non delegabili che ricadono direttamente sugli amministratori, sui membri del CdA e sui vertici esecutivi.
Questa impostazione è finalizzata a garantire che le misure di sicurezza non siano solo un aspetto tecnico, ma una componente fondamentale della gestione aziendale e della continuità operativa.
Chi sono gli Organi Direttivi secondo la NIS2
Ai sensi della normativa, sono considerati Organi Direttivi:
- amministratori;
- componenti del Consiglio di Amministrazione;
- direttori generali;
- vertici esecutivi;
- figure che esercitano poteri di direzione o controllo.
Nelle pubbliche amministrazioni comprendono anche:
- dirigenti apicali;
- direttori di area;
- organi di controllo interno quando dotati di poteri di supervisione.
Obblighi non delegabili
Gli Organi Direttivi devono:
- approvare la politica di gestione del rischio cyber;
- supervisionare l’attuazione delle misure tecniche e organizzative;
- garantire risorse adeguate per sicurezza e continuità operativa;
- valutare periodicamente l’efficacia delle misure;
- verificare la gestione degli incidenti e le comunicazioni al CSIRT Italia;
- assicurare la formazione propria e del personale;
- vigilare sulla supply chain e sui fornitori critici;
- monitorare gli adempimenti sulla piattaforma ACN.
Questi obblighi non possono essere delegati in modo assoluto, anche se le attività possono essere svolte da responsabili o funzioni interne.
Responsabilità personali e sanzioni
La NIS2 introduce un sistema di responsabilità personale per gli Organi Direttivi. In caso di gravi violazioni:
- possono essere previste sanzioni amministrative personali;
- possono essere applicate misure interdittive;
- viene valutata l’eventuale negligenza nella supervisione;
- l’Autorità può imporre obblighi aggiuntivi o piani correttivi.
La documentazione delle attività di supervisione è fondamentale per dimostrare l’adempimento.
Obbligo di formazione per gli Organi Direttivi
La normativa prevede esplicitamente che gli Organi Direttivi:
- partecipino a programmi di formazione specifica;
- comprendano il quadro normativo, le responsabilità e gli impatti sui processi;
- siano in grado di valutare i rischi e decidere sulle misure di sicurezza;
- mantengano un aggiornamento periodico coerente con l’evoluzione della minaccia.
La formazione è quindi un requisito di conformità, non una scelta opzionale.
Sei una Pubblica Amminstrazione? Consulta la nostra pagina “Formazione NIS2 per la PA”
Relazione tra Organi Direttivi, Referente CSIRT e ACN
Gli Organi Direttivi devono:
- assicurare la corretta designazione del Referente CSIRT;
- verificare che il referente disponga delle competenze necessarie;
- vigilare sulla qualità delle comunicazioni al CSIRT Italia;
- supervisionare gli obblighi di registrazione e aggiornamento tramite piattaforma ACN.
Il Referente CSIRT è operativamente responsabile della gestione incidenti, ma la responsabilità di indirizzo rimane in capo agli organi di governo.
Strumenti organizzativi richiesti
Per adempiere agli obblighi di governance, la normativa richiede:
- politiche interne di sicurezza e gestione rischio;
- procedure documentate (incidenti, continuità operativa, change management);
- ruoli e responsabilità formalizzati;
- sistemi di controllo interno;
- audit periodici;
- report agli Organi Direttivi.
Come iSimply supporta gli Organi Direttivi
Il nostro supporto comprende:
- formazione specifica (in partnership con Cyberguru);
- sessioni di orientamento normativo;
- predisposizione dei modelli di governance;
- supporto nelle verifiche e negli audit;
- affiancamento nella supervisione delle misure tecniche e organizzative;
- aggiornamenti periodici sugli obblighi ACN.
Vuoi supporto per adempiere agli obblighi di governance e alle responsabilità NIS2 del tuo Organo Direttivo?
Richiedi una sessione dedicata
Tel 0125 1899500