NIS2, sanzioni per dirigenti e manager in caso di mancato adempimento

L’entrata in vigore della direttiva NIS2 (Network and Information Security Directive) segna un passo significativo nell’evoluzione della cybersecurity in Europa.

Il nuovo quadro normativo non solo impone obblighi più stringenti per le organizzazioni ritenute essenziali e importanti, ma amplia il perimetro delle responsabilità anche agli organi di amministrazione e direzione, nello specifico:

• Membri del Consiglio di Amministrazione (CdA)
• Amministratori Delegati (AD)
• Direttori e Procuratori generali con poteri di rappresentanza legale e decisionale

Il mancato adempimento agli obblighi imposti dalla NIS2 può comportare conseguenze legali e sanzioni pecuniarie rilevanti per i vertici aziendali.

NIS2: tappe fondamentali per le aziende

Per le aziende coinvolte, ricordiamo brevemente alcune tappe fondamentali della NIS2:

• registrazione sulla piattaforma ACN entro il 28 febbraio 2025;
• notifica degli incidenti: obbligatoria a partire dal 1° gennaio 2026;
• implementazione delle misure di sicurezza: da completare entro il 1° ottobre 2026.

Responsabilità degli organi amministrativi e direttivi in ambito NIS2

Una delle principali novità della direttiva NIS2 è l’introduzione di una responsabilità diretta per gli organi di amministrazione e direzione delle aziende coinvolte. Questo significa che i membri del consiglio di amministrazione e i soggetti con poteri di rappresentanza legale e decisionale devono assicurarsi che la loro organizzazione sia conforme ai requisiti imposti dalla normativa.

Vediamo più in dettaglio di cosa si tratta.

Le principali responsabilità degli organi apicali includono:

• supervisione della sicurezza informatica: devono garantire che l’azienda adotti misure tecniche e organizzative adeguate per prevenire e mitigare i rischi cyber;
• valutazione dei rischi: è necessario condurre regolari valutazioni del rischio e aggiornare le strategie di sicurezza;
• piani di risposta agli incidenti: devono essere predisposti piani chiari ed efficaci per la gestione di eventuali incidenti di sicurezza;
• formazione e sensibilizzazione: è responsabilità degli organi di vertice garantire che il personale riceva un’adeguata formazione in materia di cybersecurity.

Sanzioni agli organi di amministrazione e direzione previste in caso di mancato adempimento alla NIS2

Gli amministratori e coloro che esercitano funzioni direttive possono essere ritenuti personalmente responsabili per il mancato rispetto delle misure di sicurezza richieste:

• rischio di interdizione per amministratori e dirigenti fino a quando l’azienda non adotti le misure necessarie per adeguarsi. Questo perché gli organi di vertice possono essere ritenuti responsabili della violazione delle prescrizioni sulla cybersecurity, ai sensi dell’art. 38, comma 5, del D.lgs. 138/2024 (che recepisce la direttiva NIS2);
• gli organi di vigilanza possono rimuovere gli amministratori o i soggetti con responsabilità direttiva ritenuti negligenti.

Sanzioni alle aziende

Anche per le aziende, la direttiva NIS2 introduce un regime sanzionatorio più severo rispetto alla precedente normativa, con multe che possono raggiungere cifre considerevoli:

• per le entità essenziali, le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo;
• per le entità importanti, le multe possono raggiungere i 7 milioni di euro o l’1,4% del fatturato globale annuo.

Come evitare le sanzioni NIS2

Per evitare il rischio di incorrere in sanzioni, gli organi di amministrazione e direzione devono adottare un approccio proattivo alla cybersecurity. Alcune strategie chiave includono:

• implementazione di un framework di cybersecurity conforme alla NIS2, come ISO/IEC 27001 o il framework NIST;
• investimenti in tecnologia e risorse umane specializzate, per garantire un monitoraggio costante delle minacce. Per le aziende, una strategia economicamente sostenibile è quella di esternalizzare a società provider di servizi di cyber security;
• test e audit regolari delle misure di sicurezza per individuare e correggere eventuali vulnerabilità;
• collaborazione con autorità e organismi di regolamentazione, per garantire un allineamento continuo con le best practice e le normative in evoluzione.

Impatto sulla governance aziendale

L’inclusione di precise responsabilità a carico degli organi di amministrazione e direzione rappresenta un cambiamento significativo.

Questa misura stimola una partecipazione più attiva degli amministratori nella definizione delle strategie di cybersicurezza, promuovendo una cultura aziendale più attenta alla protezione dei dati.

La NIS2 impone un cambio di paradigma: gli organi direttivi non possono più delegare la sicurezza informatica, ma devono esserne parte attiva, garantendo investimenti adeguati e un impegno costante.

Axitea offre servizi di formazione per board aziendali e C-level in tema di cyber security awareness.

Scopri i servizi di Managed Cyber Security di Axitea.