NIS2 e Cybersicurezza

NIS2 e Responsabilita degli Amministratori: Cosa Rischia il CdA

Pubblicato il 2026-03-27 2 min di lettura Di Redazione NIS2 Italia

La NIS2 ha introdotto una novita dirompente nel panorama normativo italiano: la responsabilita personale degli organi direttivi per la cybersicurezza. Non del CISO, non del DPO, non del responsabile IT — degli amministratori delegati, dei consiglieri di amministrazione, dei direttori generali. E le conseguenze possono essere pesanti: fino alla sospensione temporanea dalle funzioni dirigenziali.

Questa previsione ha finalmente catturato l'attenzione dei vertici aziendali. Per anni, la cybersicurezza e stata "roba dell'IT". Con la NIS2, diventa "roba del CdA" — e i rischi personali lo rendono concreto.

Cosa dice la normativa

L'art. 23 del D.Lgs. 138/2024 e chiaro: gli organi di amministrazione e gli organi direttivi dei soggetti NIS2 devono:

  1. Approvare le misure di gestione del rischio di cybersicurezza adottate dal soggetto
  2. Sovrintendere all'implementazione degli obblighi NIS2
  3. Seguire una formazione in materia di cybersicurezza, adeguata e periodica
  4. Rispondere delle violazioni degli obblighi previsti dal decreto

Le sanzioni personali

Per i soggetti essenziali, in caso di gravi e reiterate violazioni degli obblighi NIS2, l'ACN puo disporre la sospensione temporanea di una persona che esercita responsabilita dirigenziali. Questa misura, inedita nel diritto italiano della cybersicurezza, puo essere revocata solo quando il soggetto adotta le misure necessarie per porre rimedio alle carenze.

Sospensione dalla funzione La sospensione temporanea dalla funzione dirigenziale e una misura estrema ma prevista dalla legge. Si applica ai soggetti essenziali in caso di violazioni gravi e reiterate. Per i soggetti importanti, questa misura non e prevista, ma restano le sanzioni pecuniarie all'organizzazione.

Come proteggersi: governance della cybersicurezza

Gli amministratori possono proteggersi dimostrando di aver adempiuto ai propri obblighi di governance. Concretamente:

  • Approvare formalmente il risk assessment e le misure di sicurezza (verbalizzare in CdA)
  • Allocare budget adeguato — non si puo delegare senza risorse
  • Seguire la formazione — e un obbligo personale, non delegabile
  • Monitorare l'implementazione — chiedere report periodici sullo stato della sicurezza
  • Reagire agli incidenti — partecipare attivamente alla gestione delle crisi, non delegare tutto
  • Documentare tutto — le decisioni, le approvazioni, la formazione seguita, i report ricevuti

D&O insurance: una protezione aggiuntiva

Le polizze D&O (Directors & Officers) possono coprire le conseguenze personali di errori o omissioni degli amministratori, incluse le sanzioni NIS2. Verifica se la tua polizza D&O copre esplicitamente le violazioni della cybersicurezza — molte polizze precedenti alla NIS2 potrebbero escluderle.

Approfondimento Scopri le sanzioni NIS2 e la formazione in cybersecurity.

Domande Frequenti

Un consigliere non esecutivo e responsabile per la NIS2?
Si, la NIS2 parla di organi di amministrazione nel loro complesso. Anche i consiglieri non esecutivi hanno l'obbligo di informarsi, formarsi e vigilare. La responsabilita e collegiale.
La formazione del CdA su cosa deve vertere?
Deve coprire: panorama delle minacce nel settore, obblighi NIS2, rischi e impatto degli incidenti cyber, ruolo della governance nella protezione, procedure di gestione degli incidenti. 8-16 ore iniziali con aggiornamenti annuali.

Articoli Correlati

ACN: Ruolo e Funzioni dell'Autorita Nazionale per la Cybersicurezza
3 min di lettura
Audit di Cybersecurity: Come Valutare la Sicurezza della Tua Azienda
2 min di lettura
Backup e Disaster Recovery: Strategie per la Continuita Aziendale
3 min di lettura