Un imprenditore del Nord-Est riceve una notifica dall'Agenzia per la Cybersicurezza Nazionale: la sua azienda — fornitore di servizi ICT a clienti industriali, con oltre sessanta dipendenti — è stata inserita nell'elenco dei soggetti NIS2 come entità importante. La domanda che si pone, e che si pongono migliaia di amministratori in tutta Italia, non è "cosa deve fare il responsabile informatico", ma qualcosa di più personale: "rischio qualcosa io, come amministratore?"
La risposta, tecnicamente, è sì. E non in modo generico.
Il cambio di paradigma: dalla delega IT alla responsabilità apicale
La Direttiva (UE) 2022/2555 del 14 dicembre 2022, comunemente nota come NIS2, è stata recepita nell'ordinamento italiano con il decreto legislativo 4 settembre 2024, n. 138, pubblicato nella Gazzetta Ufficiale del 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Il decreto abroga il precedente D.Lgs. 65/2018 e introduce un significativo ampliamento del perimetro soggettivo, estendendo gli obblighi a 18 settori (11 altamente critici e 7 critici) e oltre 80 tipologie di soggetti pubblici e privati.
La vera discontinuità rispetto al passato non è numerica, è qualitativa. Non si tratta di un semplice aggiornamento tecnico, ma di un cambiamento strutturale che impatta governance, responsabilità del management, supply chain e continuità operativa. In altri termini, la sicurezza informatica abbandona definitivamente la stanza dei server per entrare nell'ordine del giorno del consiglio di amministrazione.
L'art. 23 del D.Lgs. 138/2024 introduce un cambio di paradigma nella governance della cybersicurezza, che non è più confinata alle funzioni tecniche, ma diviene elemento strutturale della direzione aziendale. La norma stabilisce che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti sono tenuti ad approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica, a sovraintendere all'implementazione degli obblighi di cui al Capo IV e all'art. 7, e a seguire una formazione specifica in materia di sicurezza informatica, promuovendo l'offerta periodica di una formazione analoga ai dipendenti.
Non è una previsione simbolica. L'art. 23 introduce una forma di responsabilità personale: le persone fisiche che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale per i soggetti essenziali e importanti, o che fanno parte degli organi di amministrazione e degli organi direttivi di tali soggetti, possono essere ritenute responsabili dell'inadempimento in caso di violazione del decreto da parte del soggetto di cui hanno rappresentanza.
Sulla natura documentale di questa responsabilità occorre un chiarimento pratico. Le Linee Guida ACN di settembre 2025 hanno individuato undici documenti strategici che devono essere formalmente approvati dagli organi apicali, tra cui: il piano di gestione del rischio, i piani di business continuity e disaster recovery, il piano di trattamento del rischio, il piano di gestione delle vulnerabilità, il piano di risposta agli incidenti e il piano di formazione in materia di sicurezza informatica. Approvare quei documenti, e farlo con cognizione di causa, è oggi un atto gestorio nel pieno senso del termine, non una formalità burocratica da delegare alla segreteria.
Il nesso con la responsabilità degli enti ex D.Lgs. 231/2001 è il punto dove la questione si fa più delicata. NIS2, DORA e il D.Lgs. 231/2001 hanno costruito, senza coordinamento esplicito, un sistema in cui la cybersecurity mal gestita può avere conseguenze penali, amministrative e civili per le persone fisiche e non solo per gli enti. Nel tempo, l'elenco dei cosiddetti "reati presupposto" si è ampliato, includendo fattispecie sempre più legate alla tecnologia, alla privacy e alla sicurezza dei dati. La NIS2, in questo senso, rafforza e completa il quadro 231, estendendo il principio della "colpa organizzativa" anche all'ambito digitale.
In tale scenario si innesta un orientamento giurisprudenziale ormai consolidato. La Corte di Cassazione, con la sentenza n. 13414 del 2026, si è pronunciata sull'onere motivazionale del giudice in materia di sequestro preventivo nei confronti degli enti ex D.Lgs. 231/2001. La Cassazione ha sottolineato che la responsabilità amministrativa dell'ente ai sensi del D.Lgs. 231/2001 non costituisce una conseguenza automatica o riflessa del reato presupposto: essa richiede un accertamento autonomo e specifico in ordine alla sussistenza del criterio di imputazione oggettiva — l'interesse o il vantaggio dell'ente — e alla cosiddetta "colpa di organizzazione". Il principio è cruciale: un Modello Organizzativo adeguato e genuinamente funzionante rimane lo scudo principale per escludere la responsabilità dell'ente; la sua assenza, o la sua ineffettività, diventa invece il fulcro dell'accusa.
Sempre sul punto, la Cassazione penale, con sentenza n. 7563/2026, ha rafforzato l'orientamento sulla responsabilità solidale dei soggetti che ricoprono funzioni gestionali nelle strutture societarie anche non complesse, chiarendo che la responsabilità amministrativa ex D.Lgs. 231/2001 deve tener conto anche di risparmi minimi come vantaggio per l'ente, con implicazioni significative per la compliance aziendale. Il messaggio è che non esistono soglie dimensionali al di sotto delle quali il rischio ex 231 possa essere trascurato.
Sullo sfondo, la Determinazione ACN n. 379907 del 18 dicembre 2025 — pubblicata il 24 dicembre 2025 e applicabile dal 15 gennaio 2026 — ha sostituito la precedente Determinazione n. 164179/2025, stabilendo le specifiche di base per l'adempimento degli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS. La determinazione è corredata da quattro allegati tecnici: l'Allegato 1 contiene le misure di sicurezza di base per i soggetti importanti (37 misure, 87 requisiti); l'Allegato 2 le misure per i soggetti essenziali (43 misure, 116 requisiti); gli Allegati 3 e 4 definiscono rispettivamente gli incidenti significativi di base per soggetti importanti ed essenziali. Questi allegati non sono mere linee guida: definiscono il parametro in base al quale l'ACN valuta l'adeguatezza dei sistemi adottati, e quindi il confine tra adempimento e inadempienza.
Le scadenze operative e il regime sanzionatorio
Il calendario del 2026 è serrato e le scadenze non sono slittabili. Dal 1° gennaio 2026 sono diventate operative le notifiche degli incidenti significativi al CSIRT Italia. Dal 1° gennaio al 28 febbraio 2026, le aziende soggette hanno dovuto registrarsi o aggiornare la registrazione sul portale ACN. Tra il 15 aprile e il 31 maggio 2026 è previsto l'aggiornamento annuale delle informazioni e la comunicazione dei fornitori rilevanti. Dal 1° maggio al 30 giugno 2026, le organizzazioni devono aggiornare l'elenco e la categorizzazione delle attività e dei servizi NIS2. Entro il 31 ottobre 2026 devono essere pienamente operative le misure di sicurezza di base richieste dalla normativa, momento dal quale l'ACN potrà avviare attività ispettive e sanzionatorie.
Quanto alle sanzioni, resta ferma l'applicazione delle sanzioni previste dall'art. 38 del decreto NIS in caso di omissione, ritardo o dichiarazioni mendaci, che possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per i soggetti essenziali; fino a 7 milioni di euro o all'1,4% del fatturato per i soggetti importanti. Le sanzioni possono essere raddoppiate in caso di reiterazione di una violazione.
Un aspetto pratico spesso sottovalutato riguarda la catena di fornitura. L'effetto più significativo di queste disposizioni sarà quello di innescare un meccanismo a cascata lungo l'intera filiera produttiva: i soggetti NIS, per rispettare i propri obblighi normativi, saranno costretti a richiedere ai propri fornitori standard di sicurezza più elevati. Questi ultimi, a loro volta, dovranno adeguarsi o rischiare di perdere commesse importanti. La NIS2 finirà così per diventare, indirettamente, uno spartiacque per definire chi potrà continuare a operare all'interno di supply chain strutturate e chi, invece, rischierà una progressiva esclusione dal mercato.
Sul piano operativo, la vera insidia non risiede nell'adozione formale delle misure, ma nella loro effettività. In prospettiva ottobre 2026, la vera criticità non sarà tanto "avere su carta" tutte le misure di base, quanto dimostrare la coerenza sistemica tra il perimetro degli asset, l'analisi del rischio formalizzata e riesaminata, le scelte organizzative (ruoli, responsabilità, reporting agli organi di amministrazione), i controlli tecnici implementati, le verifiche periodiche e le azioni correttive.
Il principio vigilantibus iura subveniunt — il diritto tutela chi vigila — trova in questo contesto una declinazione concreta e quasi paradossale: il diritto non solo tutela chi è vigile, ma espone personalmente chi ha omesso di esserlo, pur avendone l'obbligo formale. La posizione di garanzia dell'amministratore di un'azienda soggetta alla NIS2 è oggi una posizione normativa, non solo morale.
Come scriveva Luigi Ferrajoli nel suo lavoro sul garantismo come teoria del diritto, la legge deve misurare i propri effetti non sull'intenzione del legislatore ma sulle conseguenze reali per le persone in carne e ossa. La NIS2, interpretata in questo senso, non è un esercizio burocratico europeo: è la misura del rischio che ogni amministratore assume ogni mattina aprendo la porta della propria azienda, nell'epoca in cui i perimetri da difendere non sono più fisici.
Il percorso di adeguamento richiede quindi una decisione strategica del vertice aziendale, da tradurre in quattro passi concreti. Primo: mappare con precisione se l'azienda rientra nel perimetro NIS2 e in quale categoria, valutando anche l'esposizione indiretta come fornitore di soggetti qualificati. Secondo: aggiornare il Modello Organizzativo 231 per coprire espressamente i rischi informatici, coordinando la governance NIS2 con quella dell'Organismo di Vigilanza. Terzo: formalizzare, con delibera, l'approvazione dei documenti strategici richiesti dalle Linee Guida ACN, evitando che restino adempimenti delegati unilateralmente alla funzione IT. Quarto: istituire un sistema di notifica interna che consenta all'organo apicale di essere informato tempestivamente degli incidenti significativi, rispettando le finestre temporali strettissime previste dalla norma — pre-allarme entro 24 ore dalla scoperta di un incidente significativo, seguito da una notifica integrata entro 72 ore, oltre a un report completo entro un mese.
Il ciclo di adeguamento è strutturalmente aperto: le misure di base rappresentano il livello di partenza, non il traguardo. La cybersicurezza, nel diritto italiano post-NIS2, assume la fisionomia di dovere di governo e di rendicontazione permanente. Chi ha già vissuto il percorso di adeguamento al GDPR sa che l'autorità non arriva al momento dell'incidente per giudicare le intenzioni, ma per verificare cosa era stato predisposto prima. Con la NIS2 il meccanismo è analogo, ma le responsabilità personali degli organi di vertice sono molto più esplicite — e le sanzioni, sensibilmente più alte.
Redazione - Staff Studio Legale MP
