La governance della cybersecurity è oggi un terreno di responsabilità diretta per gli organi di vertice dei soggetti NIS. La combinazione tra Decreto NIS2, Linee guida ACN e sistemi di certificazione impone al CdA di assumere un ruolo attivo nella valutazione dei rischi, nell’approvazione del piano di sicurezza e nella tracciabilità delle decisioni adottate.
Indice degli argomenti
Responsabilità degli organi di vertice nei soggetti NIS
Il Decreto (D.lgs. 138/2024) che ha recepito in Italia la cosiddetta Direttiva NIS2 attribuisce agli “organi di amministrazione” e agli “organi direttivi” dei soggetti NIS una forma di responsabilità oggettiva rispetto agli obblighi in materia di cybersecurity.
I soggetti NIS sono un’ampia gamma di entità pubbliche e private che operano in settori critici o che forniscono servizi digitali, inclusi i settori dell’energia, dei trasporti, della sanità, delle infrastrutture digitali, dei servizi finanziari e della pubblica amministrazione.
La direttiva si applica quindi a entità classificate come “essenziali” e “importanti”, che includono grandi aziende ma anche PMI se svolgono attività cruciali per la sicurezza o se fanno parte della catena di fornitura di un soggetto NIS.
Definizione dei soggetti NIS e dei soggetti responsabili
La parola “organi direttivi” ha generato inizialmente vari errori e confusione sulla esatta individuazione delle persone fisiche che detengano il potere di direzione e rappresentanza di soggetti collettivi (associazioni, fondazioni, comitati, società, enti, ecc.).
Sul punto non aiuta né la confusa definizione del testo del Decreto né tantomeno l’ultima Deliberazione dell’ACN (Autorità nazionale per la cybersicurezza), in vigore dallo scorso 30 settembre 2025. L’unico raggio di luce lo offrono le FAQ pubblicate sul sito dell’ACN, che identificano i “soggetti responsabili” – da indicare da parte delle organizzazioni essenziali e importanti – come “…componenti del CdA o strutture analoghe tenuto conto della natura giuridica e della struttura organizzativa della organizzazione…”.
Precisando poi che “…non è invece attesa l’elencazione… di altre figure apicali subordinate al CdA”. E non potrebbe essere diversamente. Una ricostruzione di diritto non può infatti prescindere dalla nozione di “organo”, che l’esegesi delle fonti impone di attribuire a quelle persone fisiche che detengano il potere di amministrazione e rappresentanza dei soggetti collettivi e degli enti, sia in forma singola che collegiale (esempio tipico i componenti del Consiglio di amministrazione).
Stabilito il perimetro sulle persone fisiche responsabili, passiamo ad analizzare le norme introdotte con riferimento agli “organi amministrativi”, che coincidono con quelli “direttivi”.
Governance della cybersecurity e doveri degli organi amministrativi
L’art. 23 del Decreto prevede una nuova ipotesi di responsabilità oggettiva dell’organo amministrativo per le violazioni e le sanzioni connesse alla mancata gestione dei rischi di cybersicurezza.
A tal fine la norma stabilisce che l’organo amministrativo:
- deve approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate ai sensi dell’articolo 24;
- deve sovraintendere all’implementazione degli obblighi del Decreto;
- è responsabile delle violazioni del Decreto.
Responsabilità oggettiva, valutazione dei rischi e proporzionalità delle misure
Infatti, se da un lato la norma sembrerebbe limitare la responsabilità professionale alla fase di implementazione e governo del piano di sicurezza una volta rilevati i rischi, dall’altro lato alla base di tutte le scelte si pone la valutazione dei rischi.
Si attribuisce quindi il governo anche all’organo amministrativo, cui è demandata la valutazione della proporzionalità delle misure adottate al grado di esposizione al rischio. In questo quadro la governance della cybersecurity si traduce in un insieme di decisioni motivate e tracciabili, che partono dall’analisi dei rischi per arrivare alla scelta delle misure.
Sanzioni personali, poteri interdittivi ACN e limiti delle deleghe
La norma attribuisce altresì agli organi amministrativi una responsabilità personale, sanzionando con pene pecuniarie rilevanti sia l’organizzazione NIS sia i componenti dell’organo per la mancata vigilanza e la mancata adozione di misure di sicurezza adeguate ai rischi.
A ciò si aggiunge il potere interdittivo dell’ACN, che può disporre in capo ai componenti dell’organo amministrativo l’incapacità a svolgere funzioni dirigenziali all’interno dell’organizzazione che rappresentano, sospensione che ha efficacia fino a quando non vengano adottate dal soggetto NIS misure di sicurezza proporzionate all’effettivo livello di esposizione al rischio.
Insomma, si tratta di una responsabilità personale che consiglia grande attenzione sia nel delegare parti delle attività da eseguire sia nel processo di valutazione dei rischi. Il governo di tutto il sistema di gestione della sicurezza è infatti in capo all’organo amministrativo.
Pertanto, prima di pensare a come delegare fasi di processo, è bene che sia chiara la centralità della responsabilità di ogni componente dell’organo amministrativo nella governance della sicurezza informatica.
Più avanti esamineremo come le “norme armonizzate” (tra cui le norme c.d. ISO/UNI/IEC), che regolano la materia dei sistemi di gestione della sicurezza e che si basano tutte su un controllo preventivo di analisi dei rischi, rivestano un ruolo importante seppur all’interno del percorso valutativo disegnato dal legislatore e dall’ACN.
Analisi dei rischi e governance della cybersecurity nel piano di sicurezza
Nel Decreto si prescrive la necessità di utilizzare un approccio multirischio nell’analisi dei rischi, indicando un elenco di ambiti da considerare come obiettivi minimi da raggiungere con le misure e le politiche di sicurezza adottate.
Il risultato di questa analisi definisce il governo e la strategia di implementazione delle misure da adottare per quello che possiamo definire il “piano di sicurezza” informatica aziendale, da sottoporre all’approvazione dell’organo amministrativo.
Approccio multirischio e obiettivi minimi di sicurezza
Inoltre, si attribuisce all’ACN il potere di emanare provvedimenti che stabiliscano “termini, modalità, specifiche e tempi graduali di implementazione” degli obblighi sanciti, nonché di adottare Linee Guida vincolanti per l’attuazione concreta di questi obblighi.
Al di là dei tempi fissati – fine gennaio 2026 per l’obbligo di notifica degli incidenti e fine ottobre 2026 per quelli relativi alla implementazione del piano di sicurezza – l’ACN al momento è intervenuta con tre provvedimenti principali.
Per quello che qui interessa, la Determinazione n. 164179 del 14 aprile 2025 ha indicato le modalità di implementazione del piano di sicurezza e in particolare definito il percorso di analisi dei rischi per la successiva adozione delle misure di sicurezza tecniche, operative e organizzative, le cosiddette “misure di base”.
Strutturazione del piano di sicurezza e Framework Nazionale
La Determina ACN adotta la metodologia del Framework Nazionale, secondo cui i soggetti NIS devono: identificare i propri rischi, verificare che ciascuna misura di sicurezza di base indicata sia stata effettivamente implementata e secondo quali modalità, valutare il livello di maturità dei processi e delle procedure nonché l’efficacia delle misure adottate in base a una analisi del grado di esposizione al rischio.
È stata quindi rimappata l’analisi dei rischi prevista dal Framework Nazionale di Cyber Security, organizzando le misure di sicurezza in procedure operative, politiche di sicurezza e ambiti metodologici, che costituiscono le aree di riferimento del piano di sicurezza da sottoporre all’approvazione dell’organo amministrativo.
Linee guida ACN, framework nazionali e governance della cybersecurity
Le modalità di attuazione delle misure sono state ulteriormente dettagliate dall’ACN con le Linee guida NIS2, attualmente nella versione di settembre 2025. Le Linee guida stabiliscono che, per l’attestazione dell’effettiva implementazione del piano di sicurezza con le relative misure, è necessario che l’organo amministrativo approvi formalmente l’assetto documentale posto alla base del piano di sicurezza, in attuazione degli obblighi di indirizzo, supervisione e approvazione delle misure tecniche, organizzative e procedurali necessarie a garantire un livello adeguato di sicurezza delle reti e dei sistemi informativi.
Assetto documentale e tracciabilità delle decisioni del CdA
L’ACN elenca anche il dettaglio dei documenti che l’organo amministrativo sarà formalmente chiamato ad approvare dopo aver effettuato le analisi e la valutazione dei rischi. Tale obbligo di approvazione evidenzia come la governance della sicurezza informatica non possa prescindere da un quadro documentale formalmente validato dagli organi di vertice, secondo il percorso tracciato dalla Determinazione e dalle Linee guida.
Certificazioni, Accredia e governance della cybersecurity dopo NIS2
Le certificazioni dei sistemi di gestione della sicurezza basate su norme armonizzate, quale per esempio la certificazione ISO 27001, possono costituire un utile strumento di attestazione della conformità dei piani di sicurezza approvati dagli organi amministrativi alle misure tecniche e organizzative richieste dal Decreto, come integrate dal provvedimento dell’ACN.
Vale ricordare che gli organismi di certificazione vengono accreditati, dopo il vaglio eseguito sulla base del Regolamento CE 765/2008, dagli Organismi Nazionali di Accreditamento, che certificano che un determinato organismo di certificazione soddisfa i criteri stabiliti da norme armonizzate – compresi quelli definiti nei rilevanti programmi settoriali – per svolgere una specifica attività di valutazione della conformità.
Ruolo di Accredia e degli organismi di accreditamento
In Italia tale organismo è l’associazione senza fini di lucro Accredia, nominata dal Governo e operante sotto la supervisione del Ministero delle Imprese e del Made in Italy. A tale Associazione è assegnato il compito di attestare la competenza e l’imparzialità degli organismi e dei laboratori che certificano la conformità dei beni, dei processi e dei sistemi di gestione alle norme.
Gli Organismi Nazionali di Accreditamento rivestono un ruolo riguardo alla verifica di conformità anche nel settore della cybersicurezza, come indicato nel successivo Regolamento (UE) 2019/881 riguardante il ruolo dell’ENISA (l’Agenzia europea per la cybersicurezza) e la gestione e certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione.
In qualche modo il richiamo a questi organismi è anche stabilito nella Direttiva NIS2, che riconosce il valore degli standard ISO/IEC 27000 quale riferimento utile per la definizione di misure tecniche e organizzative adeguate.
Non si comprende come mai né il Decreto né la normativa di soft law emanata dall’ACN riconoscano tali standard volontari quale prova o presunzione di conformità agli obblighi derivanti dalla NIS2.
Standard armonizzati, ISO/IEC 27001 e NIST CSF
Accredia è invece intervenuta riconoscendo il valore della certificazione 27001 come attestazione di conformità alla normativa, con l’emanazione della UNI/CEI 174:2025, ossia una prassi di riferimento che definisce i requisiti per un sistema di gestione per la cybersicurezza e la sicurezza delle informazioni, armonizzati ai requisiti della norma ISO/IEC 27001 e agli obiettivi indicati dal quadro di riferimento The NIST Cybersecurity Framework (CSF) 2.0 (framework su cui è basato il Framework Nazionale).
Il NIST CSF 2.0 e la ISO/IEC 27001 condividono infatti numerosi obiettivi comuni, trattandosi entrambi di strumenti di riferimento internazionali utilizzati per la gestione della sicurezza delle informazioni e del rischio cyber, pur presentando differenze significative nella struttura e nell’approccio.
Alla luce di ciò, dotarsi di una certificazione basata sugli standard volontari uniformi rappresenta pertanto una validazione esterna che conferma la solidità tecnica del sistema di sicurezza aziendale, pur non esaurendo i requisiti e gli adempimenti richiesti dal Decreto e dall’ACN.
Piano di sicurezza, approvazione del CdA e limiti delle certificazioni
In tema di approvazione del piano di sicurezza, la certificazione ISO/IEC 27001:2024 prevede che la direzione aziendale approvi formalmente le politiche di sicurezza delle informazioni.
Tuttavia, gli standard ISO si limitano a questo livello generale e non richiedono che l’intera documentazione del sistema di gestione – quella esaminata durante l’audit di certificazione – sia approvata dal vertice. Solo al termine di un audit positivo, infatti, viene rilasciato il certificato di conformità.
La normativa nazionale e i provvedimenti dell’ACN impongono invece che il piano della sicurezza sia approvato con uno specifico provvedimento dell’organo amministrativo, secondo le formalità stabilite dalla legge. Quindi con un atto riconducibile per definizione ai soggetti che lo hanno emesso e al momento storico in cui lo stesso è stato approvato.
Pertanto, qualora la Società sia dotata di un sistema di gestione certificato secondo la norma armonizzata ISO/IEC 27001, anche l’assetto documentale sottostante alla certificazione del Sistema di Gestione della Sicurezza deve essere formalmente approvato dall’organo amministrativo, in modo da garantirne la piena opponibilità a terzi e in particolare alle Autorità competenti in sede di controllo.
Le procedure sottoposte all’approvazione del CdA rappresentano l’esito delle analisi dei rischi condotte sulla base del Framework Nazionale di Cybersecurity, successivamente rimappate secondo la metodologia e gli ambiti operativi definiti dall’ACN. Esse costituiscono, pertanto, il nucleo operativo del sistema di gestione della sicurezza informatica, da cui discende la possibilità di dimostrare la conformità organizzativa e la tracciabilità delle decisioni assunte dagli organi di vertice.
L’assenza di un assetto documentale formalmente approvato equivale a una mancata assunzione di responsabilità da parte dell’organo amministrativo, configurando un deficit di governance che può comportare conseguenze significative, non solo sotto il profilo sanzionatorio, ma anche in termini di responsabilità gestionale e reputazionale dell’organizzazione.
In definitiva, il Decreto e i provvedimenti dell’ACN attribuiscono agli organi di amministrazione dei soggetti essenziali e importanti una responsabilità diretta e personale nella definizione, supervisione e approvazione del Piano di sicurezza.
Ne deriva un modello di governance consapevole e documentata della cybersicurezza, in cui la sicurezza informatica non costituisce più una funzione meramente tecnica, ma un elemento strutturale della responsabilità strategica e fiduciaria dell’organo di vertice.
Se un appunto va fatto al legislatore e all’ACN è proprio il fatto che non abbiano mai richiamato nei loro provvedimenti il rapporto con le certificazioni dei sistemi di gestione della sicurezza basate su norme armonizzate nazionali e internazionali.
Questo nonostante l’espresso invito in tal senso formulato dalla legislazione europea sul ruolo degli organismi nazionali di accreditamento e dei soggetti certificatori accreditati. Come detto, le stesse normative che attribuiscono all’ENISA la formulazione di schemi da applicare per le certificazioni relative alla cibersicurezza nella società dell’informazione prevedono un percorso che deve coinvolgere le Autorità Nazionali di Accreditamento, proprio al fine di attribuire alle Autorità Nazionali per la Cybersicurezza il controllo e la vigilanza, piuttosto che la normazione tecnica di processo.
