NIS2, sanzioni per dirigenti e manager in caso di mancato adempimento

L’entrata in vigore della direttiva NIS2 (Network and Information Security Directive) segna un passo significativo nell’evoluzione della cybersecurity in Europa.

Il nuovo quadro normativo non solo impone obblighi più stringenti per le organizzazioni ritenute essenziali e importanti, ma amplia il perimetro delle responsabilità anche ai dirigenti e ai manager aziendali.

Il mancato adempimento agli obblighi imposti dalla NIS2 può comportare conseguenze legali e sanzioni pecuniarie rilevanti per i vertici aziendali.

NIS2: tappe fondamentali per le aziende

Per le aziende coinvolte, ricordiamo brevemente alcune tappe fondamentali della NIS2:

• registrazione sulla piattaforma ACN entro il 28 febbraio 2025;
• notifica degli incidenti: obbligatoria a partire dal 1° gennaio 2026;
• implementazione delle misure di sicurezza: da completare entro il 1° ottobre 2026.

Responsabilità dirigenti e manager in ambito NIS2

Una delle principali novità della direttiva NIS2 è l’introduzione di una responsabilità diretta per i dirigenti e i manager delle aziende coinvolte. Questo significa che i membri del consiglio di amministrazione e i responsabili della gestione della sicurezza informatica devono assicurarsi che la loro organizzazione sia conforme ai requisiti imposti dalla normativa.

Vediamo più in dettaglio di cosa si tratta.

Le principali responsabilità dei dirigenti e manager includono:

• supervisione della sicurezza informatica: devono garantire che l’azienda adotti misure tecniche e organizzative adeguate per prevenire e mitigare i rischi cyber;
• valutazione dei rischi: è necessario condurre regolari valutazioni del rischio e aggiornare le strategie di sicurezza;
• piani di risposta agli incidenti: devono essere predisposti piani chiari ed efficaci per la gestione di eventuali incidenti di sicurezza;
• formazione e sensibilizzazione: è responsabilità del management garantire che il personale riceva un’adeguata formazione in materia di cybersecurity.

Sanzioni a dirigenti e manager previste in caso di mancato adempimento alla NIS2

Dirigenti e Manager possono essere ritenuti personalmente responsabili per il mancato rispetto delle misure di sicurezza richieste:

• rischio di interdizione per manager e amministratori fino a quando l’azienda non adotti le misure necessarie per adeguarsi. Questo perché dirigenti e rappresentanti legali possono essere ritenuti responsabili della violazione delle prescrizioni sulla cybersecurity, ai sensi dell’art. 38, comma 5, del d.lgs. 138/2024 (che recepisce la direttiva NIS2);
• gli organi di vigilanza possono rimuovere dirigenti e manager ritenuti negligenti.

Sanzioni alle aziende

Anche per le aziende, la direttiva NIS2 introduce un regime sanzionatorio più severo rispetto alla precedente normativa, con multe che possono raggiungere cifre considerevoli:

• per le entità essenziali, le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo;
• per le entità importanti, le multe possono raggiungere i 7 milioni di euro o l’1,4% del fatturato globale annuo.

Come evitare le sanzioni NIS2

Per evitare il rischio di incorrere in sanzioni, i dirigenti devono adottare un approccio proattivo alla cybersecurity. Alcune strategie chiave includono:

• implementazione di un framework di cybersecurity conforme alla NIS2, come ISO/IEC 27001 o il framework NIST;
• investimenti in tecnologia e risorse umane specializzate, per garantire un monitoraggio costante delle minacce. Per le aziende, una strategia economicamente sostenibile è quella di esternalizzare a società provider di servizi di cyber security;
• test e audit regolari delle misure di sicurezza per individuare e correggere eventuali vulnerabilità;
• collaborazione con autorità e organismi di regolamentazione, per garantire un allineamento continuo con le best practice e le normative in evoluzione.

Impatto sulla governance aziendale

L’inclusione di precise responsabilità a carico degli organi direttivi rappresenta un cambiamento significativo.

Questa misura stimola una partecipazione più attiva degli amministratori nella definizione delle strategie di cybersicurezza, promuovendo una cultura aziendale più attenta alla protezione dei dati.

La NIS2 impone un cambio di paradigma: i manager non possono più delegare la sicurezza informatica, ma devono esserne parte attiva, garantendo investimenti adeguati e un impegno costante.

Scopri i servizi di Managed Cyber Security di Axitea.