NIS2: La Cybersicurezza non è più solo dell'IT. La Responsabilità (e le Sanzioni) Colpiscono Dirigenti e Amministratori.

L'entrata in vigore del Decreto Legislativo 4 settembre 2024, n. 138 (Decreto NIS, recepimento in Italia della Direttiva NIS2), segna un cambiamento epocale: la cybersicurezza non è più considerata una mera questione tecnica delegabile al reparto IT, ma è elevata a rischio di governance e di impresa.

La responsabilità per la gestione dei rischi informatici sale drasticamente al vertice aziendale.

Il Rischio Sale al Vertice: Responsabilità Personale

La novità più rilevante è l'attribuzione di responsabilità diretta agli organi di direzione e alle persone fisiche che detengono il potere decisionale.

• Gli organi di amministrazione e gli organi direttivi dei soggetti Essenziali e Importanti devono approvare le misure di gestione dei rischi e sono ritenuti responsabili delle violazioni del Decreto.

• L'Articolo 38, comma 5, stabilisce che qualsiasi persona fisica responsabile di un soggetto (come il rappresentante legale o chi esercita un controllo) assicura il rispetto delle disposizioni e può essere ritenuta responsabile dell'inadempimento in caso di violazione da parte della società.

• Non è sufficiente delegare la responsabilità al responsabile IT: la NIS2 richiede che il vertice aziendale (CdA/AU) sia attivamente coinvolto nella supervisione dell'attuazione delle misure.

Obblighi Principali e Sanzioni Accessorie

Per adempiere agli obblighi (disciplinati dagli articoli 23, 24 e 25 del Decreto), gli organi di gestione non possono limitarsi ad apporre una firma, ma devono agire in modo proattivo:

1. Approvazione Documentale e Strategica: È obbligatorio approvare tutte le politiche di sicurezza informatica, inclusa l'Organizzazione per la sicurezza informatica (GV.RR-02) e il Piano di Continuità Operativa (Disaster Recovery), nonché la Valutazione del Rischio.

2. Formazione: I membri dell'organo di gestione sono tenuti a seguire una formazione periodica in materia di sicurezza informatica e a promuovere la formazione anche per i dipendenti.

3. Vigilanza e Riesame: L'organo di direzione deve sovraintendere all'implementazione delle misure e garantire il riesame periodico della documentazione e delle procedure.

4. Notifica ACN: Deve essere indicato e notificato all'ACN chi sono i membri del CDA.

In caso di violazione degli obblighi di governance e gestione del rischio (Art. 23 e Art. 24), le conseguenze sono severe:

• Sanzioni Pecuniarie: Le violazioni possono portare a sanzioni amministrative pecuniarie massime fino a 7.000.000 EUR o all'1,4% del fatturato annuo mondiale per i soggetti Importanti.

• Sanzione Accessoria: L'ACN (Autorità Nazionale Competente NIS) può disporre nei confronti delle persone fisiche (inclusi gli organi di amministrazione e direttivi) l'applicazione della sanzione amministrativa accessoria dell'incapacità a svolgere funzioni dirigenziali all'interno del medesimo soggetto.

Il tempo stringe: le prime scadenze per l'adempimento degli obblighi di gestione del rischio (Art. 23, 24) sono fissate a diciotto mesi dalla ricezione della comunicazione di inserimento nell'elenco soggetti NIS. È cruciale agire subito per definire l'apparato organizzativo e le politiche richieste.