Come la NIS2 impatta sulle azioni (e sulla responsabilità) del CdA
Come noto, la Direttiva NIS2 (Direttiva 2022/2555), recepita in Italia con D.lgs. 138/2024 (decreto NIS), sta causando profonde modifiche anche a livello dii compliance aziendale e nelle strutture societarie.
Tra le principali, rileviamo l’impatto sui Consigli di amministrazione (CdA), anche a fronte delle Linee Guida emesse dall’ACN (Autorità per la Cybersicurezza Nazionale).
Vediamo di esaminarli in modo rapido e concreto.
Il decreto NIS (articoli 23 – 25 - 26) stabilisce degli specifici obblighi per gli organi di amministrazione/direttivi dei soggetti essenziali e dei soggetti importanti.
Perciò, tale aspetto rileva per le aziende che sono già state registrate nel portale ACN e dichiarate Soggetti Essenziali e Importanti.
L’articolo 38, comma 5, prevede le sanzioni amministrative.
Infatti: “Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza”.
Il comma 6 aggiunge che: “Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS [ACN] può disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all’articolo 23 dei soggetti essenziali e dei soggetti importanti, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7”.
Quali sono dunque, i principi profili di responsabilità che possiamo ricavare?
L’ACN ha messo a disposizione anche delle FAQ che ci aiutano a meglio interpretare queste disposizioni.
Infine, l'ultimo quesito che sta a cuore al Cda: la NIS2 introduce una responsabilità penale automatica per gli organi di amministrazione?
Nei prossimi articoli, esamineremo nel dettaglio le LINEE GUIDA dell'ACN del Settembre 2025 e la necessità di una copertura assicurativa per le figure coinvolte dalle nuove normative in esame.
Silvia Moro
Avvocato e DPO Certificato UNI EN 17740:2024
Tra le principali, rileviamo l’impatto sui Consigli di amministrazione (CdA), anche a fronte delle Linee Guida emesse dall’ACN (Autorità per la Cybersicurezza Nazionale).
Vediamo di esaminarli in modo rapido e concreto.
Il decreto NIS (articoli 23 – 25 - 26) stabilisce degli specifici obblighi per gli organi di amministrazione/direttivi dei soggetti essenziali e dei soggetti importanti.
Perciò, tale aspetto rileva per le aziende che sono già state registrate nel portale ACN e dichiarate Soggetti Essenziali e Importanti.
| SUPERVISIONE/APPROVAZIONE | approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica; sovrintendono all’implementazione degli obblighi di sicurezza informatica; sono responsabili per eventuali violazioni |
| FORMAZIONE PER SÉ E PER I DIPENDENTI | devono seguire una formazione in sicurezza informatica; promuovono una formazione periodica coerente per i dipendenti, per garantire che acquisiscano conoscenze e competenze sufficienti per identificare e gestire i rischi per la sicurezza informatica; |
| INCIDENTI | devono essere informati periodicamente o tempestivamente sugli incidenti e sulle notifiche rilevanti. |
L’articolo 38, comma 5, prevede le sanzioni amministrative.
Infatti: “Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza”.
Il comma 6 aggiunge che: “Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS [ACN] può disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all’articolo 23 dei soggetti essenziali e dei soggetti importanti, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7”.
Quali sono dunque, i principi profili di responsabilità che possiamo ricavare?
- Per ogni violazione del decreto NIS deriva una a responsabilità in capo al legale rappresentante dei soggetti essenziali e importanti.
- Inoltre, è prevista la sanzione amministrativa accessoria in caso di mancato rispetto dei termini della diffida emessa dall’Autorità competente nell’ambito delle proprie attività di verifica e ispezione di cui all’art. 37 commi 6 e 7 del decreto NIS,
- nei confronti del legale rappresentante dei soggetti essenziali e importanti,
- nei confronti degli organi di amministrazione e degli organi direttivi dei soggetti essenziali e dei soggetti importanti nonché degli organi che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante.
L’ACN ha messo a disposizione anche delle FAQ che ci aiutano a meglio interpretare queste disposizioni.
| Con “organi di amministrazione” e “organi direttivi” si fa riferimento a quegli organi che detengono il potere di direzione dell’organizzazione, incluso, ove presente, il Consiglio di amministrazione dell’organizzazione (rif. articolo 1, comma 1, lettera e) della Determinazione ACN 136117/2025 e rif. FAQ – ODA.1). |
| I dirigenti che non fanno parte del Consiglio di amministrazione (o altro organo analogo) non sono considerati componenti degli organi di amministrazione e direttivi (rif. FAQ – ODA.2); |
| Nelle organizzazioni in cui è previsto un Consiglio di amministrazione è necessario elencarne tutti i membri quali componenti degli organi di amministrazione e direttivi. Nelle organizzazioni in cui il Cda è monocratico, è necessario indicare la persona fisica che ricopre tale ruolo (rif. FAQ – ODA.4); |
| Nelle organizzazioni in cui non è previsto un Cda, è necessario individuare l’organo che svolge le analoghe funzioni ed elencarne i membri quali componenti degli organi di amministrazione e direttivi. In ogni caso, il rappresentante legale è considerato tra i componenti degli organi di amministrazione e direttivi (rif. FAQ – ODA.5). |
Infine, l'ultimo quesito che sta a cuore al Cda: la NIS2 introduce una responsabilità penale automatica per gli organi di amministrazione?
No. Gli organi di amministrazione (board, amministratori, direzione apicale) sono responsabili della supervisione e dell’approvazione delle misure di gestione del rischio cyber e possono essere ritenuti responsabili in caso di violazione degli obblighi.
Questo tipo di responsabilità è amministrativo, non penale in senso stretto.
Tuttavia, da un lato, la direttiva lascia agli Stati membri la possibilità di:
-
collegare le violazioni NIS2 a reati già esistenti (ad esempio false comunicazioni, omissioni dolose, negligenza grave);
-
introdurre norme penali se lo ritengono opportuno nel recepimento nazionale.
Nei prossimi articoli, esamineremo nel dettaglio le LINEE GUIDA dell'ACN del Settembre 2025 e la necessità di una copertura assicurativa per le figure coinvolte dalle nuove normative in esame.
Silvia Moro
Avvocato e DPO Certificato UNI EN 17740:2024