NIS 2 e responsabilità degli amministratori: scadenze imminenti e obblighi inderogabili

La Direttiva NIS 2 ha introdotto un cambio di paradigma nella gestione della responsabilità aziendale, imponendo agli amministratori un livello di esposizione personale senza precedenti. Per effetto della proroga accordata nei giorni scorsi, entro la fine di luglio 2025, i soggetti obbligati dovranno notificare all’Agenzia per la Cybersicurezza Nazionale (ACN) gli amministratori responsabili della conformità, il che darà vita a possibili sanzioni a loro carico.

Le società già registrate al portale ACN dovranno infatti fornire le informazioni aggiuntive richieste, tra cui spicca la notifica degli amministratori tenuti ad assicurare la piena aderenza alle misure previste dalla Direttiva NIS 2. La normativa, nella sua attuazione italiana, si distingue a livello europeo per aver introdotto una disciplina specifica sulla responsabilità personale degli organi apicali.

L’implementazione italiana della Direttiva NIS 2 stabilisce che:

“L’Autorità nazionale competente NIS può disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all’articolo 23 dei soggetti essenziali e dei soggetti importanti, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7.”

Elementi chiave del nuovo regime di responsabilità degli amministratori ai sensi della NIS 2 sono:

• Responsabilità personale: gli amministratori e i dirigenti apicali rispondono direttamente della conformità alla Direttiva NIS 2.

• Sanzioni accessorie: in caso di inadempimento, è prevista la sospensione temporanea dall’esercizio di funzioni dirigenziali.

• Reintegrazione subordinata: la sospensione è revocabile solo con l’adozione di misure correttive efficaci.

Inoltre, l’obbligo di notifica di tutti i componenti del consiglio di amministrazione pone il rischio che l’intero CdA sia sospeso dal proprio ruolo il che potrebbe avere notevoli conseguenze negative per le aziende. Per questo, stiamo suggerendo ai nostri clienti di notificare i dati degli amministratori, ma anche di inviare separatamente ad ACN una comunicazione in cui vengano specificatamente indicati i soggetti a cui il CdA ha delegato l’attuazione della NIS 2 tramite una delibera assembleare.

Questa misura non esenterà il CdA da un obbligo di monitoraggio dell’operato del soggetto delegato (che potrebbe non essere un amministratore e neanche il punto di contatto), ma limiterà il rischio di una responsabilità ed una sanzione generalizzata.

La previsione normativa sulla responsabilità personale degli amministratori ha implicazioni rilevanti:

• Interruzione gestionale: l’inibizione di figure chiave può compromettere la continuità operativa.

• Impatto reputazionale: sanzioni personali possono intaccare l’immagine sia individuale sia aziendale.

• Esposizione legale: le imprese possono incorrere in procedimenti e sanzioni finanziarie per condotte omissive degli amministratori.

Per ridurre il rischio di responsabilità ai sensi della Direttiva NIS 2, le società dovrebbero:

• Dare priorità alla compliance: considerare l’aderenza alla normativa come obbligo strategico.

• Implementare misure efficaci: adottare soluzioni tecniche e organizzative in materia di cybersecurity.

• Definire la governance: attribuire chiaramente ruoli e responsabilità nella gestione della sicurezza informatica.

• Promuovere cultura aziendale: sensibilizzare il personale e investire nella formazione continua.

• Interagire con le autorità: mantenere un dialogo costante con ACN e gli altri enti preposti.

• Effettuare verifiche periodiche: monitorare e aggiornare i presidi esistenti in base all’evoluzione normativa.

La Direttiva NIS 2 rafforza il legame tra governance e sicurezza informatica, elevando la responsabilità degli amministratori a elemento centrale della strategia aziendale. In un contesto normativo sempre più rigoroso, la conformità non è più solo un adempimento tecnico, ma un dovere fiduciario verso l’impresa, i suoi stakeholder e l’intero ecosistema digitale.

Nei prossimi mesi sarà dunque fondamentale che le imprese non si limitino ad adeguarsi formalmente, ma adottino un approccio proattivo alla cybersecurity, integrando la gestione del rischio digitale nei processi decisionali e nella cultura aziendale. Solo così sarà possibile affrontare con efficacia le sfide poste dalla nuova normativa e trasformarle in un vantaggio competitivo sostenibile.

_______

*Giulio Coraggio, Partner DLA Piper

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più