Il ruolo dei Consigli di Amministrazione nella gestione del rischio cyber alla luce della Direttiva NIS 2

La crescente digitalizzazione dei processi produttivi e l’interconnessione delle infrastrutture critiche hanno determinato un’esposizione senza precedenti delle organizzazioni pubbliche e private alle minacce cibernetiche. Gli attacchi informatici, sempre più sofisticati e frequenti, non costituiscono più una mera questione tecnica relegata ai reparti IT, ma rappresentano un rischio strategico in grado di compromettere la continuità operativa, la reputazione e, in ultima analisi, la stessa sostenibilità economica delle imprese.

In questo contesto, l’Unione Europea ha adottato la Direttiva (UE) 2022/2555 del 14 dicembre 2022, nota come Direttiva NIS 2, che sostituisce e rafforza la precedente Direttiva NIS del 2016. Il legislatore europeo, preso atto dell’inadeguatezza del precedente impianto normativo, ha inteso elevare il livello di cybersecurity nell’Unione attraverso un duplice intervento: da un lato, ampliando significativamente il perimetro soggettivo di applicazione; dall’altro, e questo costituisce l’elemento di maggiore innovazione, imponendo agli organi di gestione un ruolo attivo e responsabilità dirette nella governance del rischio cyber.

L’Italia ha recepito la Direttiva con il D.Lgs. 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024, collocandosi tra i primi Stati membri a dare attuazione agli obblighi europei. Il decreto italiano introduce disposizioni particolarmente rigorose in tema di responsabilità degli amministratori; il tema è di particolare importanza perché, secondo le stime dell’Agenzia per la Cybersicurezza Nazionale, i soggetti interessati dalla normativa in Italia ammonterebbero a circa 50.000 organizzazioni, a testimonianza dell’estensione del perimetro applicativo.

CONTINUA A ALEGGERE