Il decreto legislativo 4 settembre 2024, n. 138, con cui l’Italia ha recepito la direttiva europea 2022/2555 (NIS 2), rappresenta una svolta nel quadro normativo della cybersicurezza aziendale. L’obiettivo è chiaro: aumentare la resilienza digitale del Paese e rafforzare la capacità delle imprese di prevenire e gestire i rischi informatici in un contesto di minacce sempre più sofisticate e pervasive.
Il nuovo impianto normativo introduce obblighi stringenti per un’ampia platea di soggetti — dalle infrastrutture critiche alle imprese dei settori energetico, sanitario, digitale e dei trasporti — e incide in modo diretto sui compiti e sulle responsabilità dell’organo amministrativo, che diventa il perno della strategia di sicurezza informatica.
Secondo quanto chiarito dall’Agenzia per la Cybersicurezza Nazionale (ACN), la governance della sicurezza non è più un tema tecnico delegabile, ma un pilastro dell’organizzazione aziendale. Gli amministratori devono assicurare che l’impresa adotti adeguati assetti di gestione del rischio informatico, definendo processi, risorse e controlli coerenti con il livello di esposizione al rischio.
Le FAQ e le determinazioni dell’ACN completano il quadro, offrendo alle imprese linee guida interpretative e operative. Tra i punti più rilevanti, la necessità di istituire un sistema interno di gestione della sicurezza informatica (ISMS) conforme agli standard europei e di predisporre procedure di notifica degli incidenti entro termini rigorosi.
Il decreto introduce inoltre un regime di responsabilità amministrativa e civilistica per le imprese soggette a NIS 2: la mancata o inadeguata implementazione delle misure di sicurezza può comportare sanzioni interdittive e pecuniarie significative, oltre a conseguenze dirette per le persone fisiche che ricoprono ruoli apicali.
Come evidenziano gli esperti, la NIS 2 segna il passaggio da una logica di conformità formale a una di accountability sostanziale, in cui la cybersicurezza è parte integrante delle strategie aziendali e non più un adempimento tecnico relegato al reparto IT.
In definitiva, la direttiva europea (recepita dal legislatore) non solo impone nuove regole, ma spinge le imprese italiane a ripensare la propria cultura del rischio: la sicurezza informatica diventa un tema di governance, competitività e fiducia, imprescindibile per chi vuole operare in un mercato interconnesso e digitale.
Leggi le notizie di Piazza Borsa
Per restare sempre aggiornato, segui i nostri canali social Facebook, Twitter, Instagram e LinkedIn
