Con la Direttiva NIS2 (Direttiva 2022/2555), recepita in Italia con D.lgs. 138/2024 (decreto NIS), si assiste a un importante cambio di paradigma sui profili di responsabilità rispetto alla precedente Direttiva NIS1.

Ecco le azioni dei Consigli di amministrazione (CdA) in ambito NIS2 e cosa prevedono le linee guida ACN sulle specifiche di base.

NIS2: i profili di responsabilità

L’art. 23 del decreto NIS stabilisce specifici obblighi nei confronti degli organi di amministrazione e direttivi dei soggetti essenziali e dei soggetti importanti, i quali sono così riassunti:

• responsabilità e supervisione: devono approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica; sovrintendono all’implementazione degli obblighi di sicurezza informatica; sono responsabili per eventuali violazioni del decreto;
• formazione in sicurezza informatica: devono seguire una formazione in materia di sicurezza informatica; promuovono una formazione periodica coerente per i dipendenti, per garantire che acquisiscano conoscenze e competenze sufficienti per identificare e gestire i rischi per la sicurezza informatica;
• informazioni sugli incidenti: devono essere informati periodicamente o tempestivamente sugli incidenti e le notifiche rilevanti, come stabilito negli articoli 25 e 26.

Sanzioni amministrative

Con riguardo alle sanzioni amministrative, l’art. 38 comma 5 prevede che:

“Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza”.

Il comma 6 della predetta disposizione aggiunge che:

“Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS [ACN] può disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all’articolo 23 dei soggetti essenziali e dei soggetti importanti, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7”.

I profili di responsabilità

Da ciò discendono i seguenti profili di responsabilità:

• per ogni violazione del decreto NIS si ha responsabilità in capo al legale rappresentante dei soggetti essenziali e importanti;
• mentre è prevista la sanzione amministrativa accessoria in caso di mancato rispetto dei termini della diffida emessa dall’Autorità competente nell’ambito delle proprie attività di verifica e ispezione di cui all’art. 37 commi 6 e 7 del decreto NIS sia nei confronti del legale rappresentante dei soggetti essenziali e importanti che nei confronti degli organi di amministrazione e degli organi direttivi dei soggetti essenziali e dei soggetti importanti e degli organi che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante.

Cosa prevedono le Faq dell’Acn

Per comprendere a pieno l’ambito di applicazione di tali disposizioni è necessario considerare con particolare attenzione quanto previsto dalle FAQ dell’ACN (in continuo aggiornamento).

In proposito, le FAQ chiariscono alcuni punti fondamentali:

• con la locuzione “organi di amministrazione” e “organi direttivi” ci si riferisce a quegli organi che detengono il potere di direzione dell’organizzazione, incluso, ove presente, il Consiglio di amministrazione dell’organizzazione (rif. articolo 1, comma 1, lettera e) della Determinazione ACN 136117/2025 e rif. FAQ – ODA.1);
• i dirigenti che non fanno parte del Consiglio di amministrazione (o altro organo analogo) non sono considerati componenti degli organi di amministrazione e direttivi (rif. FAQ – ODA.2);
• nelle organizzazioni in cui è previsto un Consiglio di amministrazione è necessario elencarne tutti i membri quali componenti degli organi di amministrazione e direttivi. Nelle organizzazioni in cui il Cda è monocratico, è necessario indicare la persona fisica che ricopre tale ruolo (rif. FAQ – ODA.4);
• nelle organizzazioni in cui non è previsto un Cda, è necessario individuare l’organo che svolge le analoghe funzioni ed elencarne i membri quali componenti degli organi di amministrazione e direttivi. In ogni caso, il rappresentante legale è considerato tra i componenti degli organi di amministrazione e direttivi (rif. FAQ – ODA.5).

Azioni dei consigli di amministrazione: le linee guida ACN su Nis2

Il 4 settembre 2025, l’ACN ha pubblicato delle Linee guida per guidare i soggetti NIS (essenziali e importanti) ad orientarsi alle specifiche di base.
Le linee guida sono composte da due capitoli su:

• misure di sicurezza di base: dà un quadro generale delle misure di sicurezza e della loro struttura, presenta l’approccio basato sul rischio secondo cui sono state sviluppate le misure, esamina le tipologie di requisiti delle misure ed elenca le principali evidenze documentali richieste);
• incidenti significativi di base: fornisce un quadro generale degli incidenti significativi e della loro struttura e illustra i concetti di evidenza dell’incidente e di abuso dei privilegi concessi.

In particolare, sono presenti le seguenti appendici:

• appendice A: corrispondenza elementi misure: con la mappatura tra le misure di sicurezza e gli elementi di cui all’articolo 24, comma 2, del decreto NIS;
• appendice B: requisiti con clausole basate sul rischio: elenca i requisiti per i quali sono previste le clausole relative all’approccio basato sul rischio;
• appendice C: documenti approvati dagli organi di amministrazione e direttivi: elenca i documenti che devono essere approvati dagli organi di amministrazione e direttivi;
• appendice D: glossario: riporta le definizioni dei termini peculiari che ricorrono nellespecifiche di base.

I documenti che devono essere approvati dagli organi di amministrazione e direttivi e i riferimenti ai requisiti che ne richiedono l’approvazione sono i seguenti:

• organizzazione per la sicurezza informatica;
• politiche di sicurezza informatica;
• valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete;
• piano di trattamento del rischio;
• piano di gestione delle vulnerabilità;
• piano di adeguamento
• di continuità operativa;
• piano di ripristino in caso di disastro;
• di gestione delle crisi;
• piano di formazione
• piano per la gestione degli incidenti di sicurezza informatica.

Un approccio pragmatico

Le disposizioni in tema di responsabilità nei confronti degli organi di amministrazione e direttivi rappresentano un tema molto importante e significativo, anche per il Consigli di amministrazione.

L’attribuzione di tali profili di responsabilità necessita di un approccio pragmatico, che implichi delle azioni di comunicazione efficaci con il top management, in modo da fare chiarezza sugli adempimenti e indirizzare al meglio i rispettivi compiti e responsabilità che tale normativa impone.

Infine, le linee guida dell’ACN dello scorso 4 settembre 2025 rappresentano una guida fondamentale per gli organi di amministrazione e direttivi relativamente agli adempimenti documentali in capo a questi ultimi.