Il decreto legislativo 4 settembre 2024, n. 138, che ha recepito nel nostro ordinamento la direttiva
UE 2022/2555 (cd. NIS 2), ha introdotto un insieme di prescrizioni in funzione della prevenzione e
gestione del rischio sicurezza informatica (cybersicurezza), al fine di rafforzare la resilienza digitale
delle imprese per far fronte alle minacce informatiche e ai rischi sistemici per il Paese. Il decreto
prevede una serie di obblighi che incidono direttamente sui compiti e sulle responsabilità dell’organo
amministrativo, elevando la sicurezza informatica a elemento essenziale delle strategie e
dell’organizzazione dell’impresa.
Il quadro delle regole è completato dalle determinazioni dell’Agenzia per la Cybersicurezza
Nazionale (ACN) che specificano in modo puntuale le condotte dei soggetti coinvolti nell’ampio
ambito di applicazione del decreto, nonché dalle FAQ elaborate dalla stessa Agenzia per guidare
l’interpretazione delle norme e fornire un modello operativo cui le imprese devono conformarsi per
costruire il proprio sistema di gestione della sicurezza informatica.
Dopo una ricognizione dell’ambito di applicazione del decreto e dei chiarimenti forniti dall’ACN su
alcune criticità interpretative delle regole, la circolare si sofferma in particolare sul ruolo dell’organo
amministrativo nell’adeguamento del quadro di gestione dei rischi per la sicurezza informatica,
nonché sui riflessi sull’organizzazione aziendale. Da ultimo, l’analisi si concentra sul regime di
responsabilità amministrativa dei soggetti NIS previsto dal decreto, nonché sulle sanzioni interdittive
applicabili alle persone fisiche e sulle responsabilità civilistiche dell’organo amministrativo per la
mancata o inadeguata implementazione dell’assetto organizzativo in funzione cyber.
