Nuovi ambiti di responsabilità degli organi gestori e direttivi: il d.lgs. n. 138 del 2024 in materia di cyber security

By
La redazione
-

Il d.lgs. n. 138/2024 e la Direttiva (UE) 2022/2555 (NIS2): i nuovi obblighi in materia di cyber sicurezza e la responsabilità degli organi gestori.

A cura di Diletta Cimmarrusti

La crescente sofisticazione degli algoritmi e l’accelerazione della trasformazione digitale rappresentano oggi sfide cui gestione è inevitabile per la sicurezza nazionale, in un contesto in cui gli attacchi informatici si rendono sempre più complessi da prevenire. In senso proprio, per cyber security si intende la protezione del cyberspazio da eventi volontari o accidentali che ne minacciano l’integrità.[1]
Essa si traduce nell’adozione di misure quali: procedure di autenticazione, gestione degli accessi, analisi dei rischi, rilevamento e risposta agli incidenti, mitigazione degli impatti, recupero dei sistemi compromessi, formazione del personale e valorizzazione delle infrastrutture ICT.
In questo contesto si colloca il d.lgs. n. 138 del 2024, decreto attuativo della Direttiva (UE) 2022/2555 (cosiddetta NIS2)[2], che si inserisce in un più ampio processo di armonizzazione a livello europeo volto a rafforzare la resilienza cibernetica dei soggetti pubblici e privati operanti in settori considerati essenziali.
La nuova direttiva, che rivede e aggiorna la precedente Direttiva (UE) 2016/1148 (NIS1), adottata con l’obiettivo di rendere l’ordinamento unionale fit for the digital age, è espressione dell’esigenza di adeguare il quadro giuridico alle sfide poste dalla transizione digitale e ai rischi sistemici emersi, con particolare evidenza, nel contesto della crisi pandemica, in relazione alla sicurezza delle reti e dei sistemi informativi all’interno dell’Unione.
La ratio sottesa alla nuova disciplina mira a rafforzare, in modo coordinato e uniforme, le capacità degli Stati membri in materia di cyber sicurezza, mediante l’adozione di misure integrate che spaziano dall’educazione e sensibilizzazione dei soggetti coinvolti fino alla gestione delle vulnerabilità, alla protezione della catena di approvvigionamento e al miglioramento della governance dei rischi informatici.
Di particolare rilievo, nel mutato paradigma regolatorio, appare l’orientamento che vede[3] la protezione come investimento strategico, e non meramente come costo operativo. Secondo tale orientamento, l’adozione di un sistema efficace di sicurezza informatica, oltre a rappresentare un requisito di conformità normativa, costituirebbe un fattore essenziale per la mitigazione dei rischi e la riduzione dei costi derivanti da eventuali incidenti, contribuendo al tempo stesso a garantire la continuità operativa delle imprese.
Prima di esaminare l’attuazione della direttiva a livello nazionale, appare particolarmente utile una breve disamina dello stato del recepimento normativo a livello europeo, al fine di collocare l’esperienza italiana all’interno di un quadro comparato più ampio.
In effetti, il processo di piena implementazione della Direttiva (UE) 2022/2555 risulta tuttora in corso in numerosi Stati membri. Questa circostanza può costituire un elemento di criticità operativa per le imprese che esercitano anche cross-border in quanto potenzialmente soggette a obblighi divergenti nelle diverse giurisdizioni. La mancata armonizzazione tempestiva potrebbe, inoltre, condurre a una frammentazione degli approcci regolatori, compromettendo l’obiettivo di costruire un quadro europeo, obiettivo della direttiva, effettivamente coeso in materia di resilienza cibernetica.
A conferma di tale criticità, nel novembre 2024 la Commissione europea aveva avviato procedure di infrazione nei confronti di 23 Stati membri, rilevando che soltanto quattro Paesi avevano rispettato il termine del 17 ottobre 2024, fissato per la trasposizione della direttiva, ovvero Belgio, Austria, Ungheria e Italia.
Alla data di giugno 2025, secondo quanto riportato dall’European Cyber Security Organisation (ECSO) e dalla ECSO CISO Community, risultano aver completato il recepimento della direttiva 14 Stati membri su 27, mentre nei restanti Paesi il processo risulta incompleto o ancora in fase di elaborazione normativa.[4]
Le normative adottate da alcuni Stati membri che hanno completato il recepimento della Direttiva NIS2 evidenziano profili di specificità che meritano attenzione. Tra queste, particolare rilievo assume l’esperienza francese, che si caratterizza per un approccio di integrazione normativa più marcato rispetto ad altri ordinamenti.
Una peculiarità distintiva del modello francese risiede nell’aver proceduto all’attuazione della Direttiva NIS2 in maniera coordinata con altri atti normativi dell’Unione europea, quali il Regolamento DORA (Digital Operational Resilience Act), volto a rafforzare la resilienza operativa nel settore finanziario, e la Direttiva CER (Critical Entities Resilience Directive), finalizzata a innalzare gli standard di sicurezza per le infrastrutture critiche.
Sebbene tale convergenza risulti in linea con la logica di armonizzazione e coerenza normativa perseguita a livello europeo, essa contribuisce a delineare, nel contesto francese, un assetto regolatorio articolato e potenzialmente complesso, che richiede uno sforzo significativo di coordinamento tra livelli normativi e soggetti attuatori.[5]
In particolare, dinanzi la Commission Supérieure du Numérique et des Postes vari sono stati i soggetti che hanno evidenziato il rischio di sovrapposizione regolatoria, determinato dalla proliferazione di disposizioni settoriali eterogenee, che può dar luogo a difficoltà non solo sul piano organizzativo, ma soprattutto sul versante applicativo. Tale frammentazione, infatti, compromette la chiarezza e l’efficace comprensione degli obblighi giuridici da parte dei soggetti destinatari delle norme.[6]
A ciò si aggiunge una criticità settoriale emersa con particolare evidenza a livello comparato e che ha avuto significativi riflessi sull’impostazione normativa italiana: l’attacco ransomware che ha colpito i sistemi informatici di oltre quaranta musei pubblici francesi, tra cui il Musée du Louvre, ha messo in luce un vulnus nella disciplina francese in materia di cybersicurezza applicabile al settore culturale.
Proprio in considerazione di tale evento e della vulnerabilità evidenziata nei confronti di patrimoni culturali digitalizzati e servizi museali informatizzati, il legislatore italiano ha scelto di includere il settore della cultura tra quelli di interesse strategico, ricomprendendolo nell’ambito soggettivo di applicazione del d.lgs. n. 138 del 2024.[7]
A livello nazionale, l’analisi della disciplina di recepimento della Direttiva (UE) 2022/2555 attraverso il d.lgs. n. 138 del 2024 ha comportato l’emersione di alcune particolarità. In primo luogo, essa ha determinato un’estensione significativa dell’ambito soggettivo di applicazione, con l’inclusione di un numero sensibilmente maggiore di settori rispetto alla normativa previgente.
Ai sensi dell’art. 3 del decreto, rientrano ora nella disciplina sia soggetti pubblici che privati, appartenenti alle categorie individuate negli allegati I e II (relativi ai settori altamente critici e critici), nonché soggetti ulteriori elencati negli allegati III e IV, considerati strategici ai fini della sicurezza nazionale.
Complessivamente, vengono individuati dal legislatore diciotto settori ritenuti rilevanti, di cui undici ad alta criticità e sette classificati come critici. Tali settori risultano molteplici ed eterogenei, comprendendo – tra gli altri – l’energia, i trasporti, il settore bancario, il comparto sanitario, le infrastrutture digitali e lo spazio.
A questi si aggiungono le pubbliche amministrazioni, cui riferimento è articolato in due macrocategorie: da un lato, le amministrazioni centrali, classificate tra i soggetti essenziali; dall’altro, le amministrazioni regionali e locali, qualificate come entità importanti con possibile estensione graduale tramite DPCM.
L’identificazione dei soggetti destinatari avviene in via automatica, sulla base di criteri oggettivi fissati all’art. 6 del decreto, tra cui assume rilievo la dimensione aziendale, con specifico riferimento alle imprese medie e grandi.
L’analisi delle nuove responsabilità in capo all’organo gestorio non può prescindere da una riflessione sulle modifiche strutturali interne che le imprese sono chiamate a introdurre per garantire un’effettiva implementazione delle misure di sicurezza informatica.
La normativa, infatti, impone ai soggetti interessati di dotarsi di un assetto interno di governance dedicato alla cybersicurezza, nonché di un quadro di controllo in grado di assicurare la gestione efficace e continuativa dei rischi ICT. In quest’ottica, la definizione di ruoli e responsabilità deve essere calibrata in funzione delle specificità organizzative e della dimensione operativa dell’impresa, tenendo conto della complessità dei sistemi informativi e del grado di esposizione alle minacce cibernetiche.[8]
In taluni contesti organizzativi, può risultare funzionale l’adozione di un sistema di governance improntato a logiche di delega e accentramento funzionale delle competenze. Un simile modello consente di razionalizzare i processi decisionali e di deflazionare la responsabilità operativa, convogliandola su soggetti dotati delle competenze tecniche e gestionali necessarie per assicurare l’effettiva tenuta del sistema di sicurezza informatica. 

Tuttavia, frequentemente viene rilevato come per le aziende – specie di dimensione strutturata – un’efficace struttura di governance si basi su cinque pilastri fondamentali: definizione chiara delle responsabilità, integrazione tra funzione IT e funzioni di cyber risk, flussi informativi strutturati, controlli periodici e cultura della sicurezza diffusa.[9]
Si tratta di un sistema di governance che pertanto non assume una configurazione uniforme, ma si modella in modo flessibile e adattivo, rispecchiando gli obiettivi strategici, le dimensioni e la struttura interna delle organizzazioni, non essendo così né predeterminata né standardizzabile.
All’interno di tale sistema, una figura di centrale rilievo è il Chief Information Security Officer (CISO), responsabile della definizione e dell’attuazione della strategia di cybersicurezza dell’organizzazione. Il CISO ha il compito di delineare le politiche aziendali in materia di sicurezza delle informazioni, coordinando l’adozione di misure tecniche e organizzative volte a prevenire, rilevare e rispondere agli incidenti informatici.
La collocazione del CISO all’interno della struttura organizzativa può variare significativamente. In alcune realtà, il CISO coincide – o potrebbe coincidere – con il Chief Information Officer (CIO), responsabile della gestione complessiva dei sistemi informativi; in altri casi, i due ruoli sono distinti e tra loro gerarchicamente o funzionalmente indipendenti, in modo da garantire l’autonomia del presidio di sicurezza rispetto all’amministrazione tecnica dell’infrastruttura digitale.[10]

Accanto a queste figure, si inserisce spesso anche il Chief Security Officer (CSO), diversamente incaricato della sicurezza fisica dell’organizzazione.
In altri termini, se il CISO si occupa prevalentemente della protezione dei dati e delle reti informatiche, il CSO è responsabile dei profili di sicurezza relativi ai beni materiali e alle strutture fisiche. La coesistenza e la cooperazione di due diverse figure, quali CISO e CSO, riflette un approccio sempre più integrato alla gestione della sicurezza, che non può più essere declinata unicamente in chiave informatica, ma deve estendersi anche agli aspetti logistici e ambientali dell’impresa, nonché delle pubbliche amministrazioni e dei soggetti interessati dalla normativa.
Particolarmente interessante appare nell’architettura interna di governance l’istituzione di comitati per il rischio, incaricati di valutare l’esposizione ai rischi cibernetici, esaminare le misure di mitigazione adottate e verificare l’efficacia dei controlli di secondo livello.
Nelle società quotate, in particolare, è prassi diffusa l’adozione di comitati endoconsiliari per il controllo e i rischi, previsti dai principali codici di corporate governance (codici di autodisciplina). Tali comitati nati con l’obiettivo di presidiare i rischi finanziari, regolatori e operativi, sono oggi progressivamente investiti anche della responsabilità di monitorare i rischi tecnologici e cibernetici, contribuendo a un approccio integrato alla gestione del rischio d’impresa.[11]
Nel quadro delineato, assume particolare rilievo la posizione degli organi gestori, ai quali l’art. 23 del d.lgs. n. 138 del 2024 attribuisce vari compiti di vigilanza e supervisione sull’attuazione delle misure previste dalla normativa.
L’art. 23 delinea un sistema articolato di obblighi specifici, tra cui si segnalano: l’approvazione da parte del consiglio di amministrazione delle modalità di attuazione delle misure di gestione del rischio; il sovrintendimento all’implementazione effettiva delle misure; e una responsabilità diretta per le eventuali violazioni delle disposizioni normative.

Leggi anche:

A questi si affiancano obblighi ulteriori, funzionali a promuovere una cultura organizzativa consapevole in materia di cyber sicurezza. Gli organi apicali devono ricevere una formazione continua e specifica (art. 23, lett. a) e garantire la formazione periodica del personale aziendale (art. 23, lett. b), al fine di assicurare l’acquisizione di competenze idonee a valutare e gestire i rischi informatici.
È previsto, altresì, un obbligo di informazione costante: gli organi gestori devono essere tempestivamente aggiornati sugli incidenti e sulle notifiche di cui agli artt. 25 e 26. L’art. 25 qualifica come significativo un incidente che provoca o è potenzialmente in grado di provocare gravi interruzioni operative o rilevanti perdite economiche, ovvero danni materiali o immateriali a terzi di entità non trascurabile.
Proprio tale previsione di responsabilità diretta, in senso lato, può essere intesa come un’ulteriore forma di responsabilità a carico degli organi di amministrazione dei soggetti rientranti nell’ambito applicativo, in caso di omessa adozione o inefficace attuazione di strumenti idonei a prevenire e fronteggiare incidenti informatici.

 Si rileva come la responsabilità in questione trova fondamento nell’art. 20 della Direttiva, il quale prevede che gli organi di gestione dei soggetti essenziali e importanti non solo debbano approvare le misure di gestione del rischio informatico, ma anche sovrintendere alla loro attuazione, potendo essere ritenuti responsabili in caso di inadempimento. Tale disposizione, da un lato, si distingue per l’intento di attribuire una responsabilità diretta agli organi apicali, pur lasciando agli Stati membri la possibilità di introdurre norme specifiche in materia di responsabilità per la violazione degli obblighi previsti. Dall’altro lato, il secondo comma tutela l’autonomia degli ordinamenti nazionali, lasciando impregiudicata — in via di salvaguardia — la disciplina interna relativa alla responsabilità delle istituzioni pubbliche, dei funzionari e dei dirigenti.
Tuttavia, la natura della responsabilità prevista dall’art. 23 del decreto di recepimento nazionale non risulta definita in termini univoci. Una lettura sistematica, in raccordo con l’art. 2086 c.c., il quale impone l’adozione di un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, non può che portare all’affermazione che anche la resilienza digitale, ad oggi, rientri tra gli obblighi strutturali della governance d’impresa.
Secondo parte della dottrina[12], l’attuazione della direttiva NIS2 determinerebbe un’inedita esposizione personale degli amministratori, delineando un regime di responsabilità diretta che supera i tradizionali confini civilistici e contabili.[13]  L’art. 38 del d.lgs. n. 138 del 2024, peraltro, rafforza questa prospettiva, prevedendo che l’Autorità nazionale competente possa disporre nei confronti delle persone fisiche – ivi inclusi amministratori e legali rappresentanti – la sanzione amministrativa accessoria dell’incapacità temporanea a svolgere funzioni dirigenziali. Tale sospensione resta efficace fino all’adozione delle misure correttive richieste o alla conformazione alle diffide emesse ai sensi dell’art. 37, commi 6 e 7.

Il rischio, peraltro, può estendersi all’intero consiglio di amministrazione, con possibili ricadute anche sul piano reputazionale.
Il mancato adempimento degli obblighi imposti dal decreto comporta altresì conseguenze sanzionatorie rilevanti, sia per i soggetti giuridici che per i loro vertici.
Le sanzioni previste dal decreto sono graduate in base alla gravità della violazione e alla qualificazione del soggetto:

  • per i soggetti essenziali, fino a 10 milioni di euro o il 2% del fatturato annuo globale;
  • per i soggetti importanti, fino a 7 milioni di euro o l’1,4% del fatturato annuo globale;
  • a ciò si aggiungono le sanzioni accessorie personali già richiamate.

La responsabilità delineata si inserisce in un processo più ampio di evoluzione del ruolo degli organi gestori e di direzione. Questi non sono più chiamati a rispondere esclusivamente delle decisioni finanziarie e operative, ma assumono un ruolo centrale nella gestione della sicurezza informatica, nella tutela dei dati personali, nella supervisione dell’uso etico delle tecnologie emergenti – come l’intelligenza artificiale – nonché nel rispetto degli obblighi trasversali riconducibili ai profili ESG.
In sede conclusiva, merita particolare attenzione la rilevante interazione tra la Direttiva NIS2 e le altre normative in materia di sicurezza informatica, protezione dei dati ed intelligenza artificiale. Pertanto, la sicurezza richiesta dal Cyber Resilience Act (CRA) per i prodotti digitali e dalla NIS2 per le organizzazioni e i servizi rappresenta un presupposto essenziale per la fiducia alla base della condivisione dei dati, promossa dal Data Act, e per l’affidabilità dei sistemi di IA regolati dall’AI Act. Le norme sulla gestione dei dati contenute nel Data Act e i principi del GDPR informano, inoltre, le modalità di sviluppo e addestramento dei modelli di intelligenza artificiale.[14]
Pur perseguendo finalità autonome queste normative condividono una comune impostazione metodologica, fondata sulla gestione del rischio quale criterio guida per l’individuazione e l’attuazione degli obblighi posti in capo ai soggetti destinatari.
In tale quadro, l’utilizzo dell’intelligenza artificiale in ambito di cybersicurezza assume una funzione da un lato sempre più poliedrica e strategica, in virtù della sua capacità di automatizzare, rafforzare e ottimizzare i meccanismi di rilevamento delle minacce, migliorando la gestione delle vulnerabilità e l’efficienza delle risposte operative; dall’altro nel contesto della sicurezza informatica, si configura come una tecnologia ambivalente, in grado di rappresentare una minaccia emergente. Proprio la medesima tecnologia è di fatto sempre più frequentemente impiegata anche da attori malevoli per condurre attacchi sofisticati, attraverso strumenti automatizzati di phishing, generazione di deepfake o identificazione di vulnerabilità sistemiche.[15]
L’apparato normativo, come attualmente strutturato e articolato, conferisce rilievo crescente alla prevenzione, alla governance e alla formazione, riconoscendo che la protezione del patrimonio informativo e operativo è condizione essenziale per la sicurezza nazionale.

Note

[1]C. Parodi (1997), La frode informatica: presente e futuro delle applicazioni criminali nell’uso del software, in Criminalità informatica.
[2]Direttiva NIS2: messa in sicurezza delle reti e dei sistemi informativi in https://digital-strategy.ec.europa.eu/it/policies/nis2-directive
[3] L’idea è stata prospettata da G. L Berrutti, capo della Divisione procedimento sanzionatorio presso il Servizio regolazione dell’ACN, in occasione di un seminario tenuto presso l’Università La Sapienza, nel quale è stato evidenziato come come la conformità agli standard di sicurezza informatica debba essere considerati parte integrante della governance aziendale e non un mero adempimento tecnico.
[4] Per un aggiornamento costante delle attuazioni normative nei vari paesi europei si veda NIS2 Directive Transposition Tracker – ECSO.
[5] Sul punto si veda Transposition of the NIS directive in France | ANSSI.
[6] Sul punto si veda NIS 2 : petit coup de pression de la Commission supérieure du numérique et des postes pour que l’Anssi désigne les collectivités soumises
[7] In Italia, la necessità di tutelare il patrimonio culturale da attacchi informatici ha trovato riconoscimento anche a livello istituzionale. Iniziative recenti, condotte in collaborazione con l’Autorità per la Cybersicurezza Nazionale (ACN), hanno evidenziato l’urgenza di rafforzare i presìdi di sicurezza informatica a protezione di musei, archivi e luoghi della cultura, segnando un’attenzione specifica che distingue l’esperienza italiana nel contesto europeo. Cfr https://www.cybersecitalia.it/mollicone-fdi-al-lavoro-con-acn-per-tutelare-la-cultura-da-attacchi-cyber/37792.
[8] Sul punto si veda Ruoli e responsabilità della cybersicurezza – Le figure principali – ACN. [9] Sul punto si veda Whitepaper NIS2_2024.pdf.
[10] Sul punto si veda Ruoli e responsabilità della cybersicurezza – Le figure principali – ACN.
[11] P. Montalenti in Il nuovo Codice di Corporate Governance in Il nuovo Codice di Corporate Governance
[12] G. Coraggio in NIS 2 e responsabilità degli amministratori: scadenze imminenti e obblighi inderogabili.
[13] Rientrano espressamente nell’ambito di applicazione della normativa anche le società a partecipazione pubblica e le società in house.
[14] Particolarmente interessante è l’analisi sul punto effettuato dall’ Osservatorio Digital Innovation del Politecnico di Milano. Si veda pertanto “ il legame tra Artificial Intelligence e Cybersecurity”  in https://www.osservatori.net/insight/cybersecurity-data-protection/legame-artificial-intelligence-cybersecurity/.
[15] P. Iezzi e R. Paglia, (2018). AI CyberSecurity e AI-powered Cyber Attack.

Foto copertina: Il d.lgs. n. 138/2024 e la Direttiva (UE) 2022/2555 (NIS2): i nuovi obblighi in materia di cyber sicurezza e la responsabilità degli organi gestori.