Assonime, con la circolare n. 23 del 4 novembre 2025, analizza il decreto legislativo n. 138/2024 che recepisce la direttiva UE NIS 2, introducendo obblighi per la gestione del rischio di cybersicurezza. Il decreto eleva la sicurezza informatica a elemento strategico per le imprese, incidendo direttamente sulle responsabilità degli amministratori. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito condotte operative e chiarimenti interpretativi, inclusi assetti organizzativi minimi e obblighi di segnalazione. L’ambito di applicazione è ampio e si basa su dimensioni, attività e rischio, distinguendo tra soggetti essenziali e importanti. Il perimetro si estende anche ai gruppi societari e alla catena del valore. La circolare approfondisce il ruolo dell’organo amministrativo e il regime di responsabilità, evidenziando le sanzioni interdittive per le persone fisiche e le responsabilità civilistiche in caso di mancata o inadeguata attuazione delle misure di sicurezza.

Assonime ha pubblicato la circolare n. 23 del 4 novembre 2025 dal titolo “Il governo del rischio di cybersicurezza: obblighi e responsabilità degli amministratori” con cui analizza il decreto legislativo 4 settembre 2024, n. 138, che ha recepito nel nostro ordinamento la direttiva UE 2022/2555 (cd. NIS 2).

Il decreto in parola ha introdotto un insieme di prescrizioni in funzione della prevenzione e gestione del rischio sicurezza informatica (cybersicurezza), al fine di rafforzare la resilienza digitale delle imprese per far fronte alle minacce informatiche e ai rischi sistemici per il Paese. Il decreto prevede una serie di obblighi che incidono direttamente sui compiti e sulle responsabilità dell’organo amministrativo, elevando la sicurezza informatica a elemento essenziale delle strategie e dell’organizzazione dell’impresa.

Il quadro delle regole è completato dalle determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) che specificano in modo puntuale le condotte dei soggetti coinvolti nell’ampio ambito di applicazione del decreto, nonché dalle FAQ elaborate dalla stessa Agenzia per guidare l’interpretazione delle norme e fornire un modello operativo cui le imprese devono conformarsi per costruire il proprio sistema di gestione della sicurezza informatica.

Assonime evidenzia che l’ambito di applicazione delle norme è ampio ed è definito sulla base di tre criteri concorrenti:

1) dimensioni dell’impresa,

2) attività esercitata,

3) grado di esposizione al rischio e/o rilevanza sistemica.

In base a tali criteri si distinguono i soggetti essenziali dai soggetti importanti, cui corrispondono obblighi di intensità diversa. Il perimetro così delineato è poi ulteriormente esteso da un lato, dall’appartenenza del soggetto NIS a un gruppo societario e, dall’altro, dalla previsione di obblighi di monitoraggio e controllo del rischio cyber sull’intera catena del valore del soggetto NIS.

Assonime, dopo una ricognizione dell’ambito di applicazione del decreto e dei chiarimenti forniti dall’ACN su alcune criticità interpretative delle regole, con la circolare si sofferma in particolare sul ruolo dell’organo amministrativo nell’adeguamento del quadro di gestione dei rischi per la sicurezza informatica, nonché sui riflessi sull’organizzazione aziendale esaminando i principali contenuti dell’assetto organizzativo minimo delineato dalle determinazioni dell’ACN, e le misure di attuazione degli obblighi di segnalazione degli incidenti significativi.

Da ultimo, l’analisi si concentra sul regime di responsabilità amministrativa dei soggetti NIS previsto dal decreto, nonché sulle sanzioni interdittive applicabili alle persone fisiche e sulle responsabilità civilistiche dell’organo amministrativo per la mancata o inadeguata implementazione dell’assetto organizzativo in funzione cyber.

Copyright © - Riproduzione riservata

Per approfondire questo argomento leggi anche: Cybersicurezza: i chiarimenti dell’ACN commentati da Assonime Maddalena Gnudi

Per accedere a tutti i contenuti senza limiti abbonati a IPSOA Quotidiano Premium 1 anno € 118,90 (€ 9,90 al mese) Acquista Primi 3 mesi € 19,90 poi € 35,90 ogni 3 mesi Acquista Sei già abbonato ? Accedi

Fonte: https://www.ipsoa.it/documents/quotidiano/2025/11/06/cybersicurezza-assonime-approfondimento-obblighi-responsabilita-amministratori