Direttiva NIS2

La Direttiva NIS2 (Network and Information Security Directive 2), recepita in Italia con il Decreto Legislativo 1° ottobre 2024, n. 138, introduce un nuovo e più stringente quadro normativo per la cybersicurezza, con un impatto significativo per un’ampia platea di aziende italiane.

La Direttiva NIS2 ha introdotto un cambio di paradigma nella gestione della responsabilità aziendale, imponendo agli amministratori un livello di esposizione personale senza precedenti.

Elementi chiave del nuovo regime di responsabilità degli amministratori ai sensi della NIS 2 sono:

• responsabilità personale: gli amministratori e i dirigenti apicali rispondono direttamente della conformità alla Direttiva NIS 2.
• sanzioni accessorie: in caso di inadempimento, è prevista la sospensione temporanea dall’esercizio di funzioni dirigenziali.

Per effetto della proroga accordata nei giorni scorsi, entro la fine di luglio 2025 i soggetti obbligati, dopo aver provveduto ad iscriversi alla piattaforma online della Agenzia per la Cybersicurezza Nazionale, ACN, dovranno notificare o aggiornare l’elenco dei componenti il Consiglio di Amministrazione della Società.

Tale obbligo di notifica pone il rischio che l’intero Consiglio di Amministrazione, in caso di eventuale contestazione da parte dell’ACN, sia sospeso dal proprio ruolo, il che potrebbe avere notevoli conseguenze negative per le aziende. Per questo, riteniamo opportuno che vengano sì notificati i dati degli Amministratori, ma anche inviare separatamente ad ACN una comunicazione in cui vengano specificatamente indicati i soggetti a cui il Consiglio di Amministrazione ha delegato l’attuazione della NIS2, tramite una propria riunione verbalizzata.