Torna agli Insights
Cyber Risk

NIS2: Responsabilità diretta del CTO (e del CDA)

Con il D.Lgs. 138/2024 l’Italia ha recepito la Direttiva NIS2. Per la prima volta, i manager tecnici e gli amministratori rispondono personalmente delle carenze nella gestione del rischio cyber. Ecco cosa cambia concretamente.

Avv. Matteo Pompilio
6 min lettura

Il cambiamento che nessuno si aspettava

Prima di NIS2, la sicurezza informatica era considerata — anche dal legislatore — una questione prevalentemente tecnica. Le sanzioni per la non-conformità erano comminate all’organizzazione, non alle persone fisiche che la dirigevano. Il CTO poteva essere ritenuto responsabile sul piano disciplinare o contrattuale, ma raramente su quello normativo diretto.

Con il D.Lgs. 138/2024 — in vigore dal 16 ottobre 2024 — questa impostazione cambia. La norma italiana di recepimento della Direttiva NIS2 stabilisce che gli organi di gestione dei soggetti essenziali e importanti devono approvare le misure di gestione del rischio di cybersecurity, ne monitorano l’attuazione, e rispondono personalmente in caso di violazione.

Non è una responsabilità tecnica delegabile al team IT. È una responsabilità di governance che appartiene al Board e al management.

Chi è soggetto: la mappa aggiornata

NIS2 si applica a due categorie di soggetti, definite in base al settore di attività e alle dimensioni.

I soggetti essenziali (Allegato I) operano in settori critici: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione di servizi ICT B2B, pubblica amministrazione centrale, spazio.

I soggetti importanti (Allegato II) comprendono: servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e distribuzione di alimenti, produzione di dispositivi medici, di dispositivi elettronici, di macchinari e veicoli, e i fornitori digitali (marketplace online, motori di ricerca, piattaforme di social network).

La soglia dimensionale è alternativa: 50 o più dipendenti oppure fatturato annuo superiore a 10 milioni di euro. Basta superare una delle due.

Un aspetto spesso sottovalutato riguarda la supply chain: anche le aziende che non rientrano direttamente nel perimetro possono trovarsi soggette agli obblighi NIS2 in via indiretta, perché i soggetti essenziali e importanti sono tenuti a gestire il rischio dei loro fornitori ICT critici. Se fornisci software, servizi cloud o servizi gestiti a banche, ospedali, utility o PA, i tuoi clienti ti chiederanno presto di dimostrare la tua postura di sicurezza — contrattualmente.

Cosa significa “responsabilità personale” in concreto

L’articolo 23 del D.Lgs. 138/2024 è la norma che ha cambiato le regole del gioco per il management. Stabilisce tre cose:

Primo: gli organi di gestione devono approvare le misure di gestione del rischio di cybersecurity adottate dall’organizzazione. Non è sufficiente che il CISO o il CTO le abbiano implementate — il Board deve averle approvate formalmente.

Secondo: gli organi di gestione devono monitorare l’attuazione di queste misure. Non basta approvare un documento una volta all’anno: serve un sistema di reportistica periodica che dimostri che il management è informato dello stato reale della sicurezza.

Terzo: in caso di violazione degli obblighi NIS2, l’ACN può applicare sanzioni che includono — per i soggetti essenziali — la sospensione temporanea dalla carica dei responsabili della gestione. Questa misura è temporanea e legata alla durata della non-conformità, ma è una conseguenza diretta che colpisce le persone fisiche, non solo l’organizzazione.

Le sanzioni pecuniarie arrivano fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per i soggetti essenziali, 7 milioni di euro o l’1,4% per i soggetti importanti.

Tre conseguenze concrete per il CTO

1. Le misure di sicurezza devono essere documentate e approvate, non solo implementate. Avere un firewall configurato correttamente non è sufficiente. Il framework di sicurezza — le misure adottate, il livello di rischio accettato, le decisioni prese — deve essere formalizzato in un documento approvato dall’organo di gestione. Se arriva un’ispezione ACN, la prima cosa che viene chiesta è la documentazione delle misure di sicurezza, non il loro funzionamento tecnico.

2. La cascata di notifica degli incidenti è rapida e non ammette improvvisazione. NIS2 impone un sistema di notifica in tre fasi: pre-alert all’ACN entro 24 ore dall’identificazione di un incidente significativo, notifica dettagliata entro 72 ore, rapporto finale entro un mese. Ogni fase ha requisiti di contenuto specifici. Il pre-alert deve essere inviato nelle prime 24 ore anche quando l’analisi tecnica è ancora in corso — la completezza non è richiesta, ma il rispetto della finestra temporale sì. Gestire questa sequenza senza procedure pre-definite e testate è praticamente impossibile sotto pressione.

3. Il perimetro della sicurezza include rischi che vanno oltre la cybersecurity tecnica. NIS2 adotta un approccio multi-rischio: le misure di sicurezza devono coprire non solo le vulnerabilità software e gli attacchi informatici, ma anche i rischi fisici (accesso non autorizzato ai sistemi) e i rischi ambientali (continuità dell’alimentazione elettrica, resilienza rispetto a eventi naturali). Un CTO che ha strutturato la sicurezza solo attorno al perimetro digitale ha un framework incompleto.

Tre conseguenze concrete per il CDA

1. La cybersecurity entra nell’agenda del Board. NIS2 richiede che il Board approvi le misure di gestione del rischio cyber. Questo non significa che il CDA debba capire come funziona un penetration test — significa che deve ricevere report periodici sulla postura di sicurezza dell’organizzazione, essere informato degli incidenti significativi, e avere evidenza documentale di aver esercitato questo ruolo di supervisione.

2. La formazione del management è un obbligo normativo. Il D.Lgs. 138/2024 prevede che i membri degli organi di gestione seguano una formazione specifica sulla gestione del rischio cyber. Non è una raccomandazione: è un adempimento che deve essere documentato. In caso di ispezione, la mancanza di questa formazione è una non-conformità autonoma, indipendentemente dallo stato tecnico della sicurezza.

3. I contratti con i fornitori ICT devono essere revisionati. I soggetti NIS2 sono responsabili della sicurezza della loro supply chain ICT. I contratti con cloud provider, software vendor e MSP devono contenere clausole specifiche: obblighi tecnici minimi, SLA di sicurezza misurabili, diritti di audit, obblighi di notifica degli incidenti verso il cliente. Se i contratti esistenti non le contengono, la prossima rinegoziazione è il momento per inserirle.

Cosa deve esserci prima di un’ispezione ACN

Tre documenti che il management deve avere — non come esercizio formale, ma come strumenti realmente operativi:

  • Il framework di gestione del rischio approvato, con le misure di sicurezza adottate, il livello di rischio accettato e la data di approvazione da parte dell’organo di gestione.
  • L’Incident Response Plan testato, con la catena di notifica definita (chi fa cosa nelle prime 24 ore), i template di documentazione per ogni fase della cascata NIS2, e la prova che il piano è stato testato con uno scenario simulato.
  • Il registro delle attività di formazione del management, con data, contenuto e partecipanti della formazione obbligatoria sulla gestione del rischio cyber.

Vuoi verificare se la tua azienda rientra nel perimetro NIS2 e cosa ti manca per essere conforme?

Richiedi la Gap Analysis

Leggi anche

AI Compliance

AI Act: i 5 obblighi chiave per i SaaS italiani

Timeline, sanzioni e passi operativi per chi usa API di OpenAI o modelli proprietari.

7 min
Data Transfer

USA Data Transfer: Guida 2025

Data Privacy Framework e Transfer Impact Assessment. Come gestire legalmente i trasferimenti verso AWS, Google, Stripe.

9 min