La governance della cybersicurezza nella NIS 2 non è più un tema confinato alle funzioni tecniche, ma un elemento strutturale della direzione aziendale.
La Direttiva (UE) 2022/2555 ha infatti segnato un cambio di paradigma, evidente inn modo chiaro dal suo articolo 20, significativamente rubricato “governance”, dal quale discende un sistema organico di doveri, poteri e responsabilità in capo agli organi apicali dei soggetti essenziali e importanti.
Con il decreto di recepimento italiano (d.lgs. 4 settembre 2024, n. 138), tale impianto è stato tradotto in obblighi puntuali che incidono sulla pianificazione strategica, sulla definizione degli assetti organizzativi, sull’allocazione del budget e sulla responsabilità per le violazioni. L’obiettivo dichiarato dal legislatore europeo, richiamato anche nel Considerando 137, è assicurare un elevato livello di responsabilizzazione (“accountability“) in materia di gestione del rischio e di adempimenti di segnalazione, facendo della direzione aziendale il perno della resilienza cyber.
Indice degli argomenti
La responsabilizzazione degli organi di gestione nella direttiva europea
Il cuore dell’intervento europeo è la previsione secondo cui gli Stati membri devono assicurare che gli organi di gestione approvino le misure di gestione dei rischi di cybersicurezza necessarie alla conformità alla normativa, ne sovrintendano l’attuazione e possano essere ritenuti responsabili per la violazione di tali obblighi. La norma codifica tre elementi chiave: un dovere di indirizzo strategico (approvazione), un dovere di controllo (sorveglianza sull’attuazione) e un nesso di responsabilità che lega gli esiti di conformità agli organi apicali. È una responsabilità “di governo”, dunque, non limitata alla validazione formale di policy, ma estesa alla verifica dell’effettività dei presidi, della loro proporzionalità rispetto al rischio e della loro integrazione nei processi.
Accanto a ciò, la NIS 2 richiede che i membri dell’organo di gestione seguano una formazione adeguata e incoraggia l’offerta periodica di formazione analoga ai dipendenti. Il dato non è ancillare: la qualità delle decisioni dipende dalla capacità di comprendere natura, dinamiche ed evoluzione dei rischi cyber, e la direttiva traduce tale esigenza in un obbligo organizzativo.
Gli obblighi degli organi apicali nel decreto di recepimento italiano
Il d.lgs. 138/2024 ha trasposto le previsioni europee attribuendo agli “organi di amministrazione e direttivi” compiti specifici. L’articolo 23 affida loro: l’approvazione delle modalità di implementazione delle misure di gestione dei rischi; la sovrintendenza agli obblighi di gestione del rischio e di notifica degli incidenti; la responsabilità per le violazioni del decreto; l’obbligo di formazione e la promozione di programmi formativi per il personale. La Determinazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha contribuito a chiarire il perimetro soggettivo, precisando che rientrano nella nozione gli organi titolari del potere di direzione, incluso — ove presente — il consiglio di amministrazione.
Tale architettura rende esplicito che la compliance NIS 2 non è delegabile come “tema tecnico” al solo CISO o all’ICT: gli organi di vertice devono assumere decisioni allocative, definire priorità, monitorare l’attuazione e garantire un flusso informativo che consenta di intervenire tempestivamente su criticità e incidenti.
Il sistema di gestione dei rischi cyber: contenuti minimi obbligatori
La NIS 2, attraverso l’articolo 21, e il decreto di recepimento, tramite l’articolo 24, delineano il contenuto minimo del sistema di gestione del rischio. Le misure devono essere “adeguate e proporzionate” rispetto ai rischi e strutturate con approccio “multi rischio“, ossia all-hazards.
Il legislatore interno elenca gli elementi che definiscono un assetto organizzativo idoneo: politiche di analisi del rischio e di sicurezza dei sistemi e delle reti; gestione degli incidenti, incluse procedure e strumenti di notifica; continuità operativa, con gestione dei backup, ripristino in caso di disastro e crisi; sicurezza della catena di approvvigionamento; sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi, gestione e divulgazione delle vulnerabilità; politiche e procedure per valutare l’efficacia delle misure; igiene informatica di base e formazione; politiche su crittografia e cifratura; sicurezza e affidabilità del personale, controlli degli accessi e gestione degli asset; uso, se opportuno, di autenticazione a più fattori o continua e di canali di comunicazione protetti, inclusi sistemi di emergenza.
Questo catalogo sostanzia in termini operativi il dovere degli organi apicali: approvare e sovrintendere non a enunciazioni di principio, ma a un sistema coerente di controlli tecnici, organizzativi e procedurali, periodicamente testati e migliorati. L’adeguatezza si misura nella capacità delle misure di prevenire, rilevare, rispondere e ripristinare, nel loro radicamento nei processi di business e nella copertura delle interdipendenze critiche, prime fra tutte le terze parti.
Procedure di segnalazione: tempestività e tracciabilità degli incidenti
Un tratto qualificante della NIS 2 è l’accento posto sugli obblighi di notifica degli incidenti, che il decreto di recepimento dettaglia all’articolo 25. La catena di reporting deve essere tempestiva, precisa e coordinata con il CSIRT e le autorità competenti.
Gli organi di amministrazione e direttivi sono chiamati a garantire che le procedure interne consentano di: rilevare gli eventi, classificarne la gravità, attivare l’escalation, predisporre la comunicazione verso l’esterno nei tempi e nelle forme previste, e mantenere traccia documentale dell’analisi, delle decisioni e degli interventi correttivi. Tale tracciabilità è essenziale tanto per la gestione operativa quanto ai fini della prova di diligenza in sede ispettiva e sanzionatoria.
Il principio di proporzionalità nella calibrazione degli adempimenti
La NIS 2 introduce la regola della proporzionalità, recepita nel d.lgs. 138/2024 anche all’articolo 31, per modulare l’intensità degli adempimenti in relazione a dimensione, settore, tipologia di servizi e profilo di rischio. Ciò non implica un abbassamento della soglia minima di tutela, ma consente la taratura di processi, strumenti e governance per garantire efficacia e sostenibilità. Gli organi apicali devono interpretare la proporzionalità non come deroga bensì come responsabilità nel definire un assetto congruo allo specifico contesto, dimostrabile e coerente con i livelli di rischio accettabili.
Formazione continua: pilastro della cultura della sicurezza aziendale
La direttiva esige che i membri degli organi di gestione siano tenuti a seguire una formazione adeguata; il decreto estende l’onere promuovendo la periodica formazione dei dipendenti.
La formazione non è un adempimento accessorio: è la precondizione perché l’organo di vertice possa comprendere i rischi, valutare le scelte tecniche proposte dalle funzioni specialistiche, assumere decisioni informate sull’allocazione di risorse e sulla priorità dei programmi. In un contesto caratterizzato da minacce evolutive e interdipendenze complesse, la “cultura cyber” è parte integrante dell’assetto organizzativo richiesto dalla legge.
Sistema sanzionatorio e responsabilità personale dei dirigenti
Il d.lgs. 138/2024 ha configurato un apparato sanzionatorio graduato che colpisce sia i soggetti essenziali e importanti, sia — in via accessoria — le persone fisiche che rivestono ruoli apicali. Oltre alle sanzioni pecuniarie, il decreto prevede, nel caso di inottemperanza alla diffida dell’ACN, la sospensione temporanea dall’esercizio di funzioni dirigenziali all’interno del medesimo soggetto fino all’adozione delle misure correttive. La logica è chiara: la responsabilità di governance non è nominale, ma effettiva, e discende dall’inosservanza degli obblighi di gestione del rischio, dalla carenza delle misure minime e dal mancato rispetto degli obblighi di segnalazione e collaborazione con le autorità.
In questo quadro si colloca anche l’esigenza di coerenza con gli altri regimi regolatori già vigenti (ad esempio, per i soggetti finanziari, la disciplina DORA), che condividono l’impostazione di responsabilizzazione degli organi di vertice e richiedono l’integrazione delle politiche cyber nel sistema generale di gestione dei rischi. La NIS 2 amplia e generalizza questo paradigma oltre i confini settoriali, estendendolo a una platea molto più vasta di operatori economici e amministrazioni.
Dal mero adempimento alla resilienza operativa integrata
Il disegno normativo della NIS 2 non si esaurisce nel catalogo di obblighi. Esso invita gli organi apicali a impostare un ciclo di miglioramento continuo fondato su valutazione dei rischi, pianificazione, implementazione, verifica e riesame, con obiettivi chiari di continuità del servizio e riduzione dell’esposizione ai rischi critici.
Il valore aggiunto della governance, come inteso dalla NIS 2, è proprio l’integrazione tra dimensione tecnica e organizzativa: senza una direzione strategica informata, le misure tecniche non sono sostenibili né coerenti con il profilo di rischio; senza processi e controlli operativi, la strategia resta priva di effettività. Gli organi di amministrazione e direttivi sono chiamati a chiudere questo circuito, garantendo che la cybersicurezza diventi un attributo strutturale dell’impresa o dell’ente, condizione di affidabilità verso clienti, partner e autorità, nonché presupposto per la competitività nel mercato digitale.
Conclusioni
La NIS 2 impone alla governance un salto di qualità: dalla conformità “di carta” alla responsabilità sostanziale sul rischio cibernetico. Gli organi apicali devono approvare misure adeguate e proporzionate, sovrintenderne l’attuazione, formarsi e diffondere cultura, presidiare la supply chain, assicurare la tempestività della notifica e documentare scelte e controlli. L’enforcement, rafforzato dal recepimento nazionale, rende cogente questo paradigma.
