fbpx






    Consulenza Aziendale, Tutela del Patrimonio
    By

    CYBER RISK E RESPONSABILITÀ: LA SICUREZZA INFORMATICA ENTRA NEL CDA

    Con la Direttiva NIS2 (Dlgs 138/2024) la cybersicurezza diventa un dovere di governance. Gli amministratori che non proteggono adeguatamente l’azienda rischiano in prima persona.

    Il nuovo scenario: la sicurezza digitale è responsabilità dei vertici

    La Direttiva europea NIS2, recepita in Italia con il Dlgs 138/2024, segna una svolta: la cybersicurezza entra ufficialmente nei consigli di amministrazione.
    Amministratori e imprenditori non possono più limitarsi a “delegare al tecnico” la gestione dei rischi informatici.

    Come chiarisce la circolare Assonime n. 23 del 4 novembre 2025, i vertici aziendali sono personalmente responsabili se non adottano misure adeguate per proteggere i dati, i sistemi e le infrastrutture digitali.

    Chi non si tutela rischia di pagare di tasca propria – con sanzioni, revoca dalla carica o risarcimenti.

    Obblighi a carico delle imprese

    Il nuovo quadro normativo impone numerosi adempimenti per aziende pubbliche e private. Tra i principali:

    • iscrizione alla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN);
    • nomina dei responsabili interni per la sicurezza informatica;
    • definizione di un piano di gestione del rischio cyber (con circa 100 misure di base);
    • formazione di vertici, manager e dipendenti;
    • monitoraggio continuo dell’efficacia delle misure adottate;
    • segnalazione immediata di eventuali incidenti informatici alle autorità competenti.

    Gli investimenti in sicurezza non sono più facoltativi: devono entrare a bilancio come voce strategica.

    Chi è responsabile

    Assonime chiarisce che la cybersicurezza è affidata agli organi amministrativi e direttivi:

    • Nelle società di capitali, al Consiglio di Amministrazione (CdA) o all’Amministratore Unico (AU);
    • Nelle strutture con Amministratore Delegato (AD), la responsabilità operativa è sua, ma il CdA conserva il dovere di vigilanza e intervento.

    Non è obbligatorio nominare un esperto di sicurezza informatica nel CdA, ma tutti gli amministratori devono possedere competenze digitali adeguate per comprendere, approvare e monitorare le decisioni in materia cyber.

    Deleghe e poteri: la responsabilità non si trasferisce

    La circolare Assonime precisa che anche in presenza di deleghe, la responsabilità rimane condivisa:

    • Gli amministratori devono approvare le misure di sicurezza e verificarne l’attuazione;
    • L’AD deve definire la strategia e supervisionare la gestione dei rischi;
    • Gli amministratori non delegati rispondono comunque se non esercitano la dovuta vigilanza.

    In caso di inadempienze, ACN può comminare sanzioni amministrative e interdittive non solo all’ente, ma anche alle persone fisiche con ruoli decisionali.

    Le sanzioni: dal portafoglio alla carriera

    Le conseguenze per chi non si mette in regola sono pesanti:

    • Sanzioni pecuniarie e interdittive a carico di società e amministratori;
    • Revoca dell’organo amministrativo su richiesta dei soci o del collegio sindacale;
    • Responsabilità civile con risarcimento dei danni verso società, soci e creditori;
    • Possibile incapacità temporanea a svolgere funzioni dirigenziali per chi non rispetta le diffide dell’ACN.

    Assonime chiarisce che gli amministratori non delegati non sono automaticamente colpevoli, ma possono esserlo se ignorano rischi evidenti o non intervengono.

    Doveri stringenti: meno discrezionalità, più azione

    Il Dlgs 138/2024 riduce i margini di discrezionalità gestionale.
    Gli amministratori devono obbligatoriamente:

    1. inserire tra le finalità aziendali la gestione del rischio cyber;
    2. adottare un approccio multirischio e proporzionato alle dimensioni dell’impresa;
    3. implementare le misure di base definite dall’ACN, con adeguato sviluppo tecnico e documentale.

    Non bastano dunque buone intenzioni: servono procedure, documenti e verifiche periodiche.

    Cybersicurezza e privacy: due facce della stessa medaglia

    La circolare Assonime evidenzia un aspetto chiave: la sicurezza informatica è strettamente legata alla protezione dei dati personali (GDPR).
    Gli obblighi previsti da NIS2 e dal Regolamento europeo sulla privacy si applicano in modo complementare: un’azienda non può essere conforme all’uno se trascura l’altro.

    Conclusioni: il cyber risk è un rischio d’impresa

    La morale è chiara: la cybersicurezza non è più solo un tema tecnico, ma una questione di governance e responsabilità personale.

    Gli organi amministrativi devono stanziare fondi adeguati, acquisire competenze digitali e strutturare modelli organizzativi solidi.
    Tagliare sui costi della sicurezza oggi significa aumentare i rischi economici, legali e reputazionali domani.

     

    ______________________________________________

    VOIM – Valore Opportunità Identità Metodo

     

     

    ..”metti in moto il cambiamento”….inizia con un passo..

    Per VO-IM | Vocazione Impresa Experiential Key

    Antonella Rodella – Consulente Aziendale Commercialista Revisore

     

    0