NIS 2 e responsabilità penale: cosa è cambiato per CDA e manager IT
Un anno fa scrivevamo di Cyber Hygiene e NIS 2 per le aziende IT, concentrandoci sulle misure tecniche e operative da adottare. Da allora il quadro normativo si è fatto molto più concreto e, soprattutto, molto più personale. Il D.Lgs. 138/2024 ha spostato definitivamente l’asse della NIS 2 responsabilità amministratori dal singolo tecnico ai vertici aziendali. Il decreto non introduce nuovi reati specifici, ma aggrava drasticamente il profilo di responsabilità degli amministratori: sanzioni pecuniarie gravissime, sospensione dalle cariche sociali e — nei casi più gravi coinvolgenti infrastrutture critiche — il richiamo della posizione di garanzia prevista dall’art. 40 c.p. Chi non si è ancora adeguato non sta semplicemente rischiando una multa.
NIS 2 responsabilità amministratori: la svolta del D.Lgs. 138/2024
Il D.Lgs. 138/2024, che recepisce la Direttiva NIS 2 in Italia, ha introdotto una trasformazione radicale nella gestione delle imprese. La cybersicurezza è uscita definitivamente dai perimetri tecnici dei data center per collocarsi stabilmente nel cuore delle decisioni societarie. Fino al 2024, la cybersecurity veniva considerata una funzione delegata ai responsabili tecnici o al CISO, in una logica di compartimentazione delle responsabilità che escludeva di fatto gli organi di vertice da qualsiasi coinvolgimento operativo. Il nuovo quadro normativo scardina pertanto definitivamente questo approccio.
L’articolo 23 del Decreto stabilisce che i Consigli di Amministrazione non possono più limitarsi a ratificare decisioni altrui. Devono approvare formalmente le misure di gestione dei rischi informatici, analizzandone criticamente l’impatto e la proporzionalità rispetto alla natura dell’attività aziendale. Il silenzio informativo su vulnerabilità critiche o su carenze infrastrutturali diventa pertanto un illecito gestorio, che si salda direttamente con il dovere di agire con la diligenza richiesta dall’articolo 2392 del Codice civile.
La posizione di garanzia: art. 40 c.p. e NIS 2 responsabilità amministratori
Il profilo più dirompente del nuovo quadro normativo riguarda l’erosione dello scudo societario dietro cui spesso si celavano i dirigenti. Il D.Lgs. 138/2024 non crea nuovi reati specifici, ma stabilisce un principio di responsabilità personale degli organi di gestione per l’inottemperanza agli obblighi di sicurezza. Questo richiama direttamente l’art. 40, comma 2, del Codice Penale — la cosiddetta posizione di garanzia — secondo cui il non impedire un evento dannoso che si ha l’obbligo giuridico di evitare equivale a cagionarlo.
Si tratta di una costruzione giuridica applicabile soprattutto nei casi più gravi: attacchi che causano danni a infrastrutture critiche, interruzioni di servizi essenziali o eventi con conseguenze dirette su persone. Il rischio più immediato per la generalità degli amministratori rimane invece patrimoniale — azione di responsabilità dei soci e dei creditori — e interdittivo — rimozione temporanea dal ruolo. Come evidenziato da Paolo Galdieri su Red Hot Cyber, avvocato e docente specializzato in diritto penale informatico, la gestione del dato non è più solo una questione di privacy: è il cuore di una nuova posizione di garanzia con conseguenze giuridiche significative.
La notifica degli incidenti: un obbligo con conseguenze serie
La NIS 2 impone obblighi rigorosi di segnalazione degli incidenti significativi allo CSIRT Italia (Computer Security Incident Response Team — l’autorità nazionale di risposta agli incidenti informatici) entro tempistiche estremamente ristrette. Gli obblighi di notifica NIS 2 hanno natura amministrativa: la loro violazione comporta pertanto sanzioni pecuniarie, non reati. Tuttavia, la manipolazione attiva dei log o il ritardo intenzionale nella comunicazione di un attacco per evitare danni reputazionali può configurare condotte ben più gravi. La Legge 90/2024 sulla Cybersicurezza Nazionale introduce e inasprisce reati specifici — come frode informatica e falsificazione — distinti e più gravi rispetto al semplice inadempimento degli obblighi di notifica.
Vuoi sapere se la tua polizza cyber è adeguata al nuovo scenario NIS 2?
Compila il modulo Contattaci
L’art. 2381 c.c.: il CDA non può più dire “non sapevo”
La NIS 2 responsabilità amministratori si salda con una disposizione fondamentale del Codice civile. L’art. 2381 c.c. (commi 3 e 6) impone agli amministratori il dovere di agire in modo informato e attribuisce al presidente del Consiglio di Amministrazione una responsabilità diretta sul flusso informativo preconsilare. Una norma che si integra perfettamente con gli obblighi già previsti dall’art. 2086 c.c. e dal D.Lgs. 14/2019 in materia di adeguati assetti organizzativi, amministrativi e contabili.
Come evidenziato dal Prof. Simone Brancozzi, il collegamento tra le norme è diretto e ineludibile: per rispettare il dovere di agire in modo informato sancito dall’art. 2381 c.c., il CDA deve poter disporre — tempestivamente e in forma strutturata — di dati economico-finanziari, indicatori di rischio, scenari prospettici e analisi del cash flow. Il raccordo con il Codice della Crisi d’Impresa è inevitabile: l’art. 2086 c.c. obbliga già ogni imprenditore a dotarsi di adeguati assetti organizzativi, amministrativi e contabili idonei a rilevare tempestivamente la crisi. Un’azienda senza adeguati assetti non può formare un dossier preconsiliare adeguato. Un presidente di CDA privo di dati strutturati e aggiornati non può pertanto assolvere all’obbligo di garanzia che la nuova norma gli impone.
Cosa deve approvare formalmente il CDA
La responsabilità del presidente non si limita al merito delle delibere — tradizionalmente protetto dalla Business Judgment Rule — ma si estende al processo che le ha precedute. La norma richiede, per ogni punto all’ordine del giorno del CDA, una valutazione strutturata lungo tre assi:
- Finanziario: disponibilità di risorse, impatto sul cash flow, DSCR.
- Economico-organizzativo: proiezioni sul conto economico, fabbisogni di risorse umane e strutturali.
- Di rischio: identificazione, probabilità, impatto, scenari alternativi.
Dati che non si improvvisano la mattina della riunione: sono il frutto di un sistema di monitoraggio continuativo. Un amministratore che approvi investimenti senza un’analisi strutturata non potrà invocare la propria buona fede. Sarà pertanto chiamato a rispondere nei confronti della società, dei soci e dei creditori sociali.
NIS 2 responsabilità amministratori: le sanzioni previste
L’apparato sanzionatorio della NIS 2 è stato progettato per essere incisivo. Per i soggetti essenziali, le sanzioni amministrative pecuniarie possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo — il valore più alto tra i due. Per i soggetti importanti, il tetto scende a 7 milioni di euro o all’1,4% del fatturato. Accanto alle sanzioni pecuniarie, l’art. 25 del Decreto prevede la sospensione temporanea dall’incarico per gli organi di gestione responsabili delle violazioni — una misura che molti manager temono più delle stesse multe, poiché colpisce direttamente il ruolo e la reputazione professionale.
È importante precisare che questi obblighi riguardano i soggetti classificati come “essenziali” o “importanti” ai sensi del D.Lgs. 138/2024, categorie determinate in base a fatturato, numero di dipendenti e settore di attività. Prima di avviare qualsiasi piano di adeguamento, è pertanto necessario verificare se la propria azienda rientra nel perimetro NIS 2. Come evidenziato da Red Hot Cyber nell’analisi del D.Lgs. 138/2024, la compliance digitale diventa così un prerequisito legale e uno strumento di difesa contro le responsabilità civili e le sanzioni interdittive. La mancata frequenza di percorsi di formazione documentati non rappresenta pertanto solo un’irregolarità formale, ma costituisce un elemento probatorio fondamentale in caso di contenzioso o di indagine da parte dell’ACN.
Vuoi verificare se le tue coperture assicurative cyber sono allineate agli obblighi NIS 2?
Compila il modulo Contattaci
Finché la cybersecurity resta all’IT, il rischio è già fuori controllo
Uno dei messaggi più diretti emersi dal dibattito sulla NIS 2 responsabilità amministratori viene da chi lavora quotidianamente con i vertici aziendali: “Finché la cybersecurity resta confinata all’IT, il rischio è già fuori controllo. Serve integrazione reale nei processi decisionali e responsabilità chiara a livello executive. La differenza non la fanno gli strumenti, ma il posizionamento del ruolo.” Una sintesi efficace di ciò che il D.Lgs. 138/2024 ha reso norma vincolante.
La supply chain rappresenta un ulteriore fronte di rischio. Un’azienda IT che fornisce servizi a soggetti NIS non può più limitarsi a garantire la qualità tecnica del proprio prodotto: deve dimostrare di aver adottato misure di sicurezza adeguate all’interno della catena di approvvigionamento. Il professionista IT non può pertanto ignorare i rischi che i propri strumenti possono introdurre nei sistemi del cliente.
La polizza cyber: presidio assicurativo nella governance NIS 2
In un contesto in cui la NIS 2 responsabilità amministratori è diventata operativa, la polizza cyber assume un ruolo nuovo e più strategico. Non si tratta solo di coprire i danni economici di un attacco: si tratta di un presidio di governance che dimostra all’ACN, ai clienti e ai soci che i rischi cyber sono stati identificati, valutati e trasferiti in modo professionale. Questo è esattamente il tipo di evidenza documentale che la norma richiede agli organi di amministrazione. Per approfondire le soluzioni disponibili, visita la nostra pagina sull’Assicurazione Cyber Risk.
Pico Adviser, specialista anche nel rischio tecnologico, supporta le aziende italiane nella costruzione di questo presidio assicurativo integrato con la governance NIS 2. Il punto di partenza è sempre l’Analisi dei Rischi: la stessa metodologia richiesta dall’art. 2086 c.c. e dal Codice della Crisi per gli adeguati assetti organizzativi è oggi indispensabile anche per dimostrare all’ACN la diligenza richiesta dalla NIS 2. Dall’identificazione dei rischi alla strutturazione della polizza, il percorso è unico e documentato.
Contattaci per strutturare la copertura assicurativa cyber più adatta alla tua azienda.
Compila il modulo Contattaci
Una nota sulla nostra selezione editoriale
Pubblichiamo articoli basati su analisi, studi di mercato e soluzioni assicurative proposti dalle principali compagnie del settore. Lo facciamo perché riteniamo che queste informazioni possano essere utili ad imprenditori e professionisti che ci seguono: a volte si tratta di un report o di un’analisi economica, altre volte di un prodotto o di un tipo di copertura specifica che potrebbe rispondere a un’esigenza concreta. La pubblicazione di questi contenuti non implica alcun rapporto preferenziale tra noi e la fonte citata. Ogni articolo riporta infatti il link alla fonte originale perché il nostro unico interesse è che tu abbia le informazioni giuste per fare scelte consapevoli: puoi approfondire direttamente con la fonte o contattarci per un confronto.
Ultimi Articoli
-
Pico Adviser: broker assicurativo specializzato per PMI italiane dal 1991 -
Insolvenze in Italia nel 2025–2026: i dati e i nuovi rischi per le PMI
-
Gestione del Rischio di Credito: 10 Segnali di Allarme da Non Ignorare
-
RC Professionale Avvocati e Intelligenza Artificiale: rischi e responsabilità dopo la Cassazione
-
Gestione Ritardi di Pagamento: Strategie e Best Practices Atradius per Proteggere le PMI
-
L’Italia nella “Top 5” mondiale dei Cyber Attacchi: Il nuovo scenario del Rischio d’Impresa nel 2026
