La Direttiva NIS 2, entrata pienamente in vigore in Italia attraverso il decreto legislativo n. 138/2024, ha introdotto un importante cambiamento nella gestione della cybersecurity, attribuendo per la prima volta una responsabilità personale diretta ai vertici aziendali in caso di mancata conformità. Si tratta di una peculiarità normativa al momento prevista soltanto nella legislazione italiana di attuazione della direttiva europea.
Secondo quanto stabilito dal decreto legislativo, entro la fine di maggio 2025 tutte le aziende italiane registrate presso il portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) devono fornire specifiche informazioni aggiuntive. In particolare, emerge l’obbligo di comunicare formalmente all’autorità competente l’elenco dei dirigenti e degli amministratori sottoposti al nuovo regime di responsabilità personale per eventuali violazioni o carenze nell’attuazione delle misure di cybersicurezza previste dalla NIS 2.
La responsabilità personale introdotta dal decreto italiano non si limita a sanzioni amministrative pecuniarie, ma prevede esplicitamente che l’Autorità nazionale competente possa applicare, in caso di grave non conformità, la sospensione temporanea dall’esercizio di funzioni dirigenziali all’interno della stessa azienda fino a quando i dirigenti interessati non abbiano adottato adeguate misure correttive.
Tale aspetto rappresenta una novità significativa, poiché pone direttamente a carico dei vertici aziendali e degli amministratori delegati una responsabilità individuale senza precedenti. Questa misura è volta a rafforzare ulteriormente il sistema di governance aziendale in materia di cybersecurity, spingendo le imprese a adottare strategie preventive sempre più strutturate ed efficaci.
Le implicazioni di questo nuovo regime sono molteplici. Anzitutto, l’eventuale sospensione di dirigenti chiave potrebbe determinare interruzioni operative importanti, con potenziali conseguenze sulla gestione strategica e operativa delle aziende coinvolte. Inoltre, le sanzioni personali possono influenzare negativamente anche l’immagine e la reputazione aziendale, andando oltre l’ambito individuale e riflettendosi sull’intera struttura organizzativa.
Per prevenire tali conseguenze, è fondamentale che le aziende adottino tempestivamente tutte le misure necessarie per garantire la piena conformità alla direttiva. Tra le principali raccomandazioni, risulta essenziale definire chiaramente ruoli e responsabilità in tema di cybersicurezza, implementare procedure tecniche e organizzative robuste e sviluppare una cultura aziendale orientata alla prevenzione e alla gestione del rischio cibernetico.
In tale contesto, un supporto tecnologico utile per rispondere alle esigenze di conformità è rappresentato dalla piattaforma ATENA di Hermes Bay, uno strumento avanzato progettato per il monitoraggio della compliance normativa. ATENA consente di effettuare una valutazione dettagliata dello stato di conformità aziendale, predisponendo checklist specifiche e dashboard operative per la gestione delle azioni correttive, migliorando significativamente i tempi di risposta alle richieste normative.
Un altro strumento eccellente da considerare è DEMETRA: progettata per simulare scenari e visualizzare il rischio attraverso modelli interattivi “What-If”, questa piattaforma supporta i vertici aziendali nel comprendere in anticipo le conseguenze di scelte e vulnerabilità, permettendo di pianificare strategie di risposta mirate e proattive.
