l’approfondimeto

NIS2, la responsabilità diretta dei vertici nella cybersicurezza: è svolta



Indirizzo copiato

La Direttiva NIS2 e il D.Lgs. 138/2024 impongono ai vertici aziendali una responsabilità diretta nella sicurezza informatica, con obblighi di diligenza e garanzia. La delega non esonera dalla vigilanza, richiedendo competenze specifiche e un approccio proattivo

Pubblicato il 4 feb 2025

Francesco Di Maio

SVP, Corporate Security, Risk & Business Continuity Management, ELTGroup



cybersicurezza security

Tra le previsioni che destano maggiore interesse per il giurista e per il professionista della security, introdotte dalla Direttiva NIS2 – e ancor più del decreto legislativo di recepimento 138/2024 – troviamo le disposizioni che sanciscono il necessario coinvolgimento in prima persona e la responsabilità diretta per la sicurezza delle informazioni per gli “organi di gestione dei soggetti essenziali e importanti”, tradotto nell’ordinamento nazionale con “Organi di amministrazione e direttivi”.

Responsabilità diretta degli organi direttivi: perché è importante

Per chi ha seguito le attività consultive svolte in Europa, l’esigenza di cristallizzare la responsabilità diretta dei soggetti di vertice delle organizzazioni definite essenziali o importanti, a fronte di un’inarrestabile crescita della minaccia e della ormai irreversibile dipendenza globale dal mondo digitale, rappresentava una chiara necessità, che nasceva da alcune considerazioni tutt’altro che banali.

La prima, fondamentale, è che i soggetti che, con diverse etichette usate dal legislatore, possono definirsi “infrastrutture critiche”, “operatori di servizi essenziali” e rispettive varianti, ancorché operatori privati, sono affidatari della tutela di interessi non solo individuali, ma di beni giuridici collettivi di rilevanza primaria nell’ordinamento e che attengono a valori di rango costituzionale: si pensi alla tutela della vita e della pubblica incolumità nei settori della salute pubblica, del trasporto; agli impatti della gestione energetica per un Paese; alla gestione delle infrastrutture finanziarie e a tutti quei settori che sono stati individuati come cruciali per il funzionamento della società, dell’economia, delle istituzioni.

Evidenza tutt’altro che marginale, quando si consideri che tali funzioni essenziali sono prevalentemente nelle mani di soggetti privati, in molti casi neppure nazionali, con possibili impatti di natura strategica e conseguenze inimmaginabili sulle collettività di riferimento.

Evoluzione della sicurezza come responsabilità d’impresa

Un secondo aspetto da valutare è che l’evoluzione della nozione di sicurezza esce dall’ambito tradizionale della protezione delle capacità produttive ma si profila sempre di più come “responsabilità d’impresa”, azionabile in via giudiziaria dagli utenti, dai clienti del prodotto finale, dagli investitori, sempre più solleciti nelle legittime pretese di tutela di interessi individuali e collettivi.

Elaborazione, questa, tutt’altro che recente, che si inquadra nella necessità, di una compiuta rappresentazione del rischio e una gestione sistematica nella quale il fattore “security”, nelle sue diverse varianti, diventa parte integrante del business e non può essere più considerata “un costo”, una voce improduttiva e passiva di bilancio e magari da tagliare per ampliare i margini di redditività aziendale.

Da una attribuzione di responsabilità definita a livello interpretativo all’affermazione espressa ed inequivoca di una serie specifica di doveri che gravano sui vertici organizzativi del soggetto, tuttavia, il peso è ben diverso.

La responsabilità, un principio cardine nei moderni quadri normativi, garantisce che le entità non solo siano conformi alle leggi, ma siano anche proattive nell’apprestare quelle misure e quei controlli che la diligenza professionale richiede per mitigare i fattori di rischio specificamente connessi all’attività esercitata, in funzione di una “posizione di garanzia” che il legislatore disegna, con precisione, in capo a quelle organizzazioni caratterizzate da una “funzione pubblica allargata”.

Il meccanismo di responsabilità cumulativa nel D. Lgs. 138/2024

Questo modello è ben noto nella cultura giuridica occidentale ed in particolare se ne rinviene una chiara espressione nell’articolo 40 comma 2 del codice penale italiano, dove si definisce la figura del “reato commissivo mediante omissione” secondo la chiara formula “non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo”.

L’equivalenza causale del “non impedire” e “cagionare” un evento dannoso o pericoloso, con impatti oggi certamente rilevanti nel “mondo reale digitalizzato” è fatta propria dal legislatore italiano nel combinato disposto degli articoli 23 e 38 del D. Lgs. 138/2024: da un lato si definiscono gli obblighi che gravano sull’operatore di servizi essenziali e importanti; dall’altra si sancisce non solo la responsabilità amministrativa in capo all’entità giuridica, ma anche nei confronti di persone fisiche che esercitano i poteri direttivi e conformativi nell’organizzazione: “Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza”, così testualmente l’articolo 38 comma 5 del D. Lgs. 138/2024.

Questo meccanismo di attribuzione della responsabilità cumulativa si affianca a quella dell’organizzazione ed è un meccanismo innovativo e dal significato particolarmente intenso rispetto, ad esempio, alla nozione di responsabilità del titolare del trattamento dei dati, che ritroviamo nel Regolamento UE 2016/679.

Salvo il caso in cui si versi in ipotesi di impresa individuale o di altra persona fisica – e tralasciando l’ipotesi di condotte di reato, per le quali la responsabilità penale è sempre individuale – il “titolare del trattamento” si identifica con l’organizzazione e non si delinea una responsabilità cumulativa in termini così marcati e stringenti, così come definiti dalla cornice della Direttiva NIS2.

Responsabilità dei dipendenti pubblici e implicazioni future

Espansione di responsabilità prevista anche per i dipendenti pubblici che rivestano una posizione apicale nell’ambito degli ordinamenti specifici, richiamando le “norme in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati”, con l’applicazione dei profili di responsabilità dirigenziale, disciplinare e amministrativo-contabile.

Questa doppia responsabilità è, a ben vedere, piena di significati ulteriori che già oggi possiamo immaginare con effetti espansivi, e che richiede sin da subito un approfondimento su alcuni aspetti specifici.

Identificazione degli organi di amministrazione e direttivi

Il primo tema da definire è quello relativo all’identificazione puntuale degli “Organi di amministrazione e direttivi”.

Qualche elemento di indirizzo proviene direttamente dalla lettura delle norme di riferimento, con il richiamo espresso agli “Organi di gestione dei soggetti essenziali e importanti” (Considerando 137 e articolo 20 della Direttiva) e ai già menzionati “Organi di amministrazione e direttivi” dell’articolo 20 o le persone fisiche “responsabili” di un soggetto essenziale o che agisca in qualità di “rappresentante legale o con autorità di rappresentarlo”, con formule che evocano una responsabilità diretta dei soggetti di vertice dell’organizzazione.

Si pone, quindi, il quesito se questa evidente responsabilità diretta dei vertici organizzativi del soggetto possa essere trasferita, con i meccanismi di delega, ad altri soggetti – di norma i dirigenti delle strutture organizzative preposte a sovrintendere alla sicurezza delle informazioni.

L’istituto della delega, tuttavia, è un oggetto che va maneggiato con cura, comprendendo le implicazioni e il significato stesso del concetto della delega, del trasferimento dei poteri, dell’attribuzione delle risorse.

Il testo letterale dell’impianto normativo fin qui esaminato suggerisce un approccio diverso, che è molto più vicino per impostazione al meccanismo della sicurezza sui luoghi di lavoro, dove sono identificati obblighi non suscettibili di delega da parte del datore di lavoro ed attività, di natura attuativa, che invece possono essere trasferite a determinati soggetti delegati.

La delega e il ruolo di vigilanza dei vertici organizzativi

Ancora l’articolo 23 pare sostenere questa interpretazione:

  • Nel comma 1 lettera a) l’obbligo posto in capo agli organi di amministrazione e direttivi di approvare “le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica” evoca piuttosto da vicino la formula dell’art. 17 del D. Lgs. 81/2008, imponendo espressamente al soggetto di vertice dell’organizzazione, l’obbligo di analizzare e ponderare, secondo la diligenza professionale e la migliore evoluzione della scienza e della tecnica, i fattori di rischio cui l’organizzazione è esposta, definendo le misure precauzionali tecnico-organizzative per mitigarli;
  • La diretta responsabilità delle violazioni del decreto di recepimento;

Ma ancor più forte è il richiamo, sempre nel comma 1 dell’art. 23, a sovrintendere all’implementazione degli obblighi di cui al Capo IV (Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente) e all’articolo 7 (in materia di identificazione e registrazione dei soggetti essenziali e importanti).

Questo obbligo ha un significato rilevante, perché ricorda un principio fondamentale ed irrinunciabile nel tema della responsabilizzazione: il soggetto delegante non si libera, per il solo effetto della delega, da ogni e qualsiasi responsabilità, ma anzi ne abbraccia un’altra, molto complessa e non agevole nella gestione, di rendere effettiva la sua capacità direzionale con un’azione costante di vigilanza, di indirizzo, di verifica dei risultati connessi all’esercizio della delega.

Obbligo di vigilanza che non può essere in alcun modo trasferito ad altri soggetti, risultando altrimenti vanificato il principio di garanzia e protezione sotteso alla norma stessa e che trova specifica conferma nella prescrizione verso tali soggetti dell’informazione “su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche” effettuate dall’organizzazione, come momento di diretta partecipazione alla gestione del processo complesso che è la sicurezza delle informazioni.

Corollario a questo principio è che la delega di esercizio dell’attuazione, che nei termini appena esposti è ben ammissibile, attesa la natura specialistica e tecnica dell’attività e che consente di attribuire a centri di competenza la gestione efficace della sicurezza, soprattutto in organizzazioni complesse, presuppone che il delegato disponga effettivamente dei mezzi necessari per adempiere ai compiti delegati, in termini di risorse umane e materiali, risultando altrimenti la delega inefficace per l’adempimento del dovere di protezione (nel rispetto, quindi, dell’articolo 24 del D. Lgs. 138/2024).

Formazione obbligatoria e responsabilità diretta

Ulteriore considerazione, che sottolinea la spiccata forza della nozione di responsabilizzazione degli organi di gestione e direttivi, voluta dal legislatore europeo e nazionale, è l’obbligo cui gli stessi vertici organizzativi sono sottoposti, non solo di promuovere la formazione del personale, ma soprattutto di essere tenuti, essi stessi, “a seguire una formazione in materia di sicurezza informatica”: formazione, non solo mera sensibilizzazione e dunque l’acquisizione di un corredo di competenze e conoscenze, proprie della funzione, che consenta loro di poter realmente acquisire le capacità di governo della sicurezza delle informazioni, quale parte specifica ed essenziale dello “statuto organizzativo” del soggetto.

Uno spartiacque per la sicurezza delle informazioni

Siamo appena agli inizi dell’attuazione di questa innovativa impostazione, che segna uno spartiacque importante che dissolve l’ambigua posizione spesso tenuta verso la sicurezza delle informazioni e, più in generale, verso la security delle organizzazioni.

Il bene “sicurezza” è sempre più parte degli statuti ordinamentali delle imprese – in particolare quelle che hanno in capo posizioni di garanzia verso interessi qualificati – e delle pubbliche amministrazioni: questo rilievo è oggi indirizzato alla più corretta applicazione dell’articolo 41 della Costituzione italiana, che ci ricorda sempre come l’iniziativa economica privata sia libera, ma deve essere esercitata nel rispetto dell’utilità sociale e senza arrecare danni alla salute, all’ambiente, alla sicurezza, alla libertà e alla dignità umana.

La security è, quindi una dimensione che non può essere più considerata secondaria o accidentale: richiede una partecipazione diretta da parte dei vertici delle organizzazioni pubbliche e private, con immediata assunzione di profili di responsabilità da gestire con competenza e consapevolezza.

Viene perciò ridisegnato un più esteso profilo di responsabilità sociale d’impresa, dove i diritti e le libertà degli individui, esterni ed interni alle organizzazioni, richiedono una consistente e coerente gestione dei rischi ed una partecipazione convinta e attiva non solo del personale, ma anche da parte di tutti coloro che rivestono ruoli di responsabilità apicale all’interno delle imprese e delle pubbliche amministrazioni e che diventano i veri garanti dell’efficacia del presidio di protezione della sicurezza.

Responsabilità oggi non più solo teorica, ma presidiata da un rigoroso sistema sanzionatorio, effettivo, dissuasivo e che non ammette elusioni.

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4