THE INTEGRITY TIMES
ANALISI · NORMATIVA · GOVERNANCE
Norme & Compliance · Analisi Normativa
NIS2: il CdA non può più dire «non sapevo»
Con il D.Lgs. 138/2024 la cybersicurezza entra nel perimetro di responsabilità personale di amministratori, rappresentanti legali e dirigenti. 50.000 organizzazioni coinvolte. I controlli ispettivi iniziano a ottobre 2026.
C’è una norma in vigore dal 16 ottobre 2024 che ha riscritto le regole della governance aziendale in materia di sicurezza informatica. Non riguarda solo i reparti IT. Riguarda gli amministratori delegati, i consiglieri di amministrazione, i rappresentanti legali, i dirigenti apicali di circa 50.000 organizzazioni pubbliche e private in Italia. Si chiama D.Lgs. 138/2024, recepisce la Direttiva europea NIS2 e all’Articolo 23 introduce qualcosa che il diritto societario italiano non aveva mai visto: la responsabilità personale e non delegabile dei vertici aziendali per la cybersicurezza. I controlli ispettivi dell’ACN iniziano a ottobre 2026. Mancano sei mesi.
1. Il cambio di paradigma: dalla delega alla responsabilità diretta
La Direttiva (UE) 2022/2555, nota come NIS2, è stata recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Il decreto abroga il precedente D.Lgs. 65/2018 e introduce un ampliamento significativo del perimetro soggettivo: 18 settori coinvolti, oltre 80 tipologie di soggetti pubblici e privati classificate negli Allegati I-IV, circa 50.000 organizzazioni secondo le stime dell’ACN.
Ma la novità più rilevante — e meno comunicata — non riguarda il perimetro delle organizzazioni coinvolte. Riguarda chi, all’interno di quelle organizzazioni, risponde personalmente in caso di violazione.
«Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica, sovrintendono alla loro attuazione e sono responsabili delle violazioni degli obblighi posti dal presente decreto.»
— Articolo 23, D.Lgs. 138/2024Non è una formulazione generica. Il comma 2 dello stesso articolo stabilisce che le persone fisiche con funzioni dirigenziali apicali — amministratori delegati, rappresentanti legali, componenti degli organi di amministrazione e direttivi — possono essere ritenute personalmente responsabili dell’inadempimento in caso di violazione del decreto da parte dell’organizzazione di cui hanno la rappresentanza. La responsabilità è personale, diretta e — elemento cruciale — non delegabile a strutture tecniche o responsabili IT.
2. Chi è coinvolto: il perimetro è più ampio di quanto si pensi
Il D.Lgs. 138/2024 distingue tra soggetti essenziali e soggetti importanti, con obblighi e sanzioni differenziate. I settori ad alta criticità — per i quali scattano gli obblighi più stringenti — comprendono energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile e reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione, spazio.
Settori coinvolti dal D.Lgs. 138/2024 (Allegati I-IV)
- Allegato I — Settori ad alta criticità: energia, trasporti, banche, mercati finanziari, sanità, acqua, infrastrutture digitali, PA, spazio
- Allegato II — Settori critici: servizi postali, gestione rifiuti, chimica, agroalimentare, dispositivi medici, manifatturiero, fornitori digitali, organizzazioni di ricerca
- Allegato III: PA centrali, regionali e locali, enti regolatori, istituti di ricerca, enti assistenziali
- Allegato IV: fornitori di trasporto pubblico locale, istituti di istruzione che svolgono attività di ricerca critica, ulteriori tipologie specifiche
Un elemento spesso trascurato: l’obbligo si estende anche alla supply chain. Le organizzazioni NIS2 devono includere nei loro piani di sicurezza anche i rischi derivanti dai fornitori diretti di servizi e prodotti ICT. Questo significa che aziende formalmente fuori dal perimetro NIS2 possono trovarsi soggette a requisiti contrattuali equivalenti imposti dai loro clienti soggetti essenziali o importanti.
3. Gli obblighi concreti degli organi amministrativi
Le Linee Guida ACN del 4 settembre 2025 hanno tradotto in termini operativi gli obblighi dell’Articolo 23. I vertici aziendali non sono tenuti a diventare esperti di cybersicurezza — ma sono tenuti a governare il rischio cyber come qualsiasi altro rischio strategico d’impresa.
Obblighi degli organi di amministrazione e direttivi (Art. 23, D.Lgs. 138/2024)
- Approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica
- Sovrintendere all’attuazione degli obblighi previsti dal decreto, inclusi registrazione e notifica degli incidenti
- Seguire una formazione specifica in materia di sicurezza informatica
- Promuovere l’offerta periodica di formazione analoga ai dipendenti
- Approvare formalmente gli undici documenti strategici identificati dalle Linee Guida ACN del 4 settembre 2025: piano di gestione del rischio, piani di business continuity e disaster recovery, piano di trattamento del rischio, piano di gestione delle vulnerabilità, piano di risposta agli incidenti, piano di formazione
Il punto sulla formazione obbligatoria merita attenzione specifica. Esattamente come l’AI Act impone l’AI Literacy ai deployer di sistemi AI, NIS2 impone ai vertici aziendali una formazione in materia di cybersicurezza. Non è una raccomandazione. È un obbligo di legge verificabile in sede ispettiva. La mancata formazione dei componenti degli organi di governo è già oggi uno degli indicatori primari che l’ACN utilizzerà nelle ispezioni a partire da ottobre 2026.
4. La mappa delle scadenze
| Data | Milestone |
|---|---|
| 16 ottobre 2024 | D.Lgs. 138/2024 entra in vigore — recepimento NIS2 in Italia |
| 28 febbraio 2025 | Prima scadenza registrazione obbligatoria sulla piattaforma ACN |
| 31 marzo 2025 | ACN completa l’elenco dei soggetti essenziali e importanti |
| Aprile 2025 | ACN notifica ai soggetti registrati la loro classificazione (essenziale/importante) |
| 1 gennaio 2026 | ATTIVOObbligo notifica incidenti significativi al CSIRT Italia |
| 1 ottobre 2026 | SCADENZAObbligo conformità completa: misure di sicurezza + obblighi organi amministrativi |
| Ottobre 2026 | VIGILANZAACN avvia attività ispettive — fine fase di accompagnamento |
La scadenza del 1° gennaio 2026 è già operativa: i soggetti classificati come essenziali o importanti devono notificare senza indebito ritardo al CSIRT Italia qualsiasi incidente con impatto significativo sulla fornitura dei servizi. La notifica prevede tre fasi: pre-notifica entro 24 ore, notifica entro 72 ore, relazione finale entro un mese. Il mancato rispetto di questi termini è già sanzionabile.
5. Il regime sanzionatorio: cifre e responsabilità personale
L’Articolo 38 del D.Lgs. 138/2024 definisce un regime sanzionatorio articolato e severo, differenziato tra soggetti essenziali e importanti e tra persone giuridiche e persone fisiche.
Sanzioni amministrative pecuniarie (Art. 38, D.Lgs. 138/2024)
- Soggetti essenziali (escluse PA): fino a 10.000.000 € o il 2% del fatturato mondiale annuo se superiore
- Soggetti importanti (escluse PA): fino a 7.000.000 € o l’1,4% del fatturato mondiale annuo se superiore
- Sanzione accessoria: interdizione temporanea dall’esercizio di funzioni dirigenziali per le persone fisiche responsabili
- L’ACN può disporre la pubblicazione della violazione sul proprio sito istituzionale — danno reputazionale diretto
- In caso di mancato rispetto della diffida ACN: sanzione accessoria applicabile direttamente a legale rappresentante, AD e componenti degli organi di amministrazione
Sul piano del diritto societario, la mancata adozione delle misure previste dall’Articolo 23 potrebbe integrare una violazione del dovere di diligenza degli amministratori ai sensi dell’Articolo 2086 del Codice Civile — che impone ai vertici delle organizzazioni di dotare l’impresa di assetti adeguati. In presenza di un incidente cyber con danni patrimoniali rilevanti, soci e creditori sociali potrebbero agire in responsabilità nei confronti degli amministratori che non hanno adottato le misure richieste dalla normativa.
6. Il nodo della supply chain: chi non rientra ma è già coinvolto
Uno degli aspetti più sottovalutati della NIS2 riguarda le aziende che formalmente non rientrano nel perimetro del decreto ma che operano come fornitori di soggetti essenziali o importanti. L’Articolo 21 del D.Lgs. 138/2024 obbliga i soggetti NIS2 a includere la sicurezza della catena di approvvigionamento nei propri piani di gestione del rischio.
In pratica: una PMI che fornisce servizi software, cloud, manutenzione IT o consulenza a una banca, a un ospedale, a un gestore energetico o a una PA, si troverà a ricevere richieste contrattuali di adeguamento ai requisiti NIS2 da parte del cliente. Chi non si adegua rischia di perdere l’appalto. La compliance NIS2, in questo senso, si propaga lungo tutta la filiera indipendentemente dalle dimensioni dell’azienda fornitrice.
7. Cosa fare: agenda operativa per i vertici aziendali
Il punto di partenza è verificare se la propria organizzazione rientra nel perimetro NIS2. L’ACN ha già notificato ai soggetti registrati la loro classificazione — chi non ha ancora ricevuto comunicazione o non si è registrato deve intervenire immediatamente sulla piattaforma ACN.
Agenda operativa prioritaria — entro ottobre 2026
- VERIFICA: Controllare se l’organizzazione ha ricevuto notifica ACN di inclusione nell’elenco dei soggetti essenziali o importanti
- GOVERNANCE: Portare il tema NIS2 all’ordine del giorno del CdA — la responsabilità è degli organi di vertice, non solo dell’IT
- FORMAZIONE: Avviare un percorso di formazione specifica in materia di cybersicurezza per amministratori e dirigenti — obbligo diretto ex Art. 23
- DOCUMENTI: Approvare formalmente gli undici documenti strategici richiesti dalle Linee Guida ACN del 4 settembre 2025
- NOTIFICA: Verificare che i processi di notifica incidenti al CSIRT Italia siano operativi — obbligo già attivo dal 1° gennaio 2026
- SUPPLY CHAIN: Censire i fornitori critici e avviare una valutazione del rischio della catena di approvvigionamento
- LEGALE: Verificare con i propri consulenti l’adeguatezza degli assetti ex Art. 2086 c.c. alla luce degli obblighi NIS2
Conclusione: La cybersicurezza è diventata una questione di governance
Il D.Lgs. 138/2024 non ha solo ampliato il perimetro delle organizzazioni soggette agli obblighi di sicurezza informatica. Ha spostato il centro di gravità della responsabilità: dal reparto IT al consiglio di amministrazione, dall’ambito tecnico a quello della governance strategica d’impresa. Le sanzioni — fino a 10 milioni di euro per i soggetti essenziali, con la possibilità di interdizione dalle funzioni dirigenziali — non sono più un rischio astratto. Sono la conseguenza prevedibile e giuridicamente fondata di una scelta di non adeguarsi.
Chi siede in un consiglio di amministrazione, chi firma come rappresentante legale, chi esercita funzioni dirigenziali apicali in una delle 50.000 organizzazioni coinvolte non può più dire «non sapevo». La norma lo impedisce esplicitamente. The Integrity Times continuerà a monitorare l’evoluzione applicativa del D.Lgs. 138/2024 e le determinazioni dell’ACN, con analisi verificate su fonti primarie.
Fonti e riferimenti normativi
- Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, 14 dicembre 2022 — Direttiva NIS2
- Decreto Legislativo 4 settembre 2024, n. 138 — GU n. 230 del 1° ottobre 2024 (in vigore dal 16 ottobre 2024)
- Articolo 23, D.Lgs. 138/2024 — Responsabilità degli organi di amministrazione e direttivi
- Articolo 25, D.Lgs. 138/2024 — Obblighi di notifica degli incidenti significativi
- Articolo 38, D.Lgs. 138/2024 — Regime sanzionatorio
- Allegati I, II, III, IV, D.Lgs. 138/2024 — Settori e tipologie di soggetti coinvolti
- Linee Guida ACN, 4 settembre 2025 — Specifiche di base per la gestione del rischio e obblighi degli organi apicali
- Determinazione Direttore Generale ACN, 26 novembre 2024 — Registrazione sulla piattaforma NIS
- Articolo 2086, Codice Civile — Adeguatezza degli assetti organizzativi, amministrativi e contabili
vedi anche Articolo 4, AI Act