Vai al contenuto principale
NIS2Certify
Torna alla panoramica

NIS2 e responsabilità personale dei dirigenti: cosa deve sapere ogni amministratore

Di NIS2Certify
nis2responsabilita-dirigentigovernancearticolo-20amministratori

La maggior parte delle normative sulla cybersicurezza si rivolge all'organizzazione. NIS2 fa un passo in più: si rivolge a te personalmente come dirigente.

L'articolo 20 della Direttiva NIS2 pone la responsabilità della cybersicurezza esplicitamente in capo all'organo di gestione. Se la tua organizzazione non implementa misure adeguate, tu — come singolo amministratore — puoi essere ritenuto personalmente responsabile.

Cosa dice esattamente l'articolo 20?

La NIS2 si Applica alla Tua Organizzazione?
1
La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
No
2
La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
No
3
La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
No
La NIS2 non si applica direttamente alla tua organizzazione.
La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!
La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applica
Possibile applicazione
Non si applica

1. Approvare le misure di gestione del rischio

Il CdA deve approvare formalmente le misure dell'articolo 21 — politiche di sicurezza, valutazioni dei rischi, piani di risposta agli incidenti e allocazione delle risorse.

2. Supervisionare l'attuazione

L'approvazione da sola non basta. Il CdA deve monitorare attivamente che le misure approvate siano effettivamente attuate.

3. Essere personalmente responsabile

Se l'organizzazione non rispetta gli obblighi NIS2, i singoli dirigenti possono essere ritenuti personalmente responsabili: sanzioni personali, divieto temporaneo di funzioni dirigenziali, divulgazione pubblica.

4. Seguire formazione in cybersicurezza

I dirigenti devono seguire formazione per identificare i rischi e valutare l'adeguatezza delle misure in atto.

Perché è diverso dalle altre normative?

GDPRNIS2
Chi è responsabile?L'organizzazioneL'organizzazione e i singoli dirigenti
Conseguenze personali?RaramenteEsplicitamente previsto
Formazione del CdA?Non richiestaSì — obbligatoria
Supervisione attiva?ImplicitaEsplicitamente richiesta

Sanzioni

Per l'organizzazione

  • Soggetti essenziali: fino a 10 M€ o 2% del fatturato mondiale
  • Soggetti importanti: fino a 7 M€ o 1,4% del fatturato mondiale

Per i singoli dirigenti

  • Sanzioni finanziarie personali — separate dalle sanzioni aziendali
  • Divieto temporaneo di esercitare funzioni dirigenziali
  • Danno reputazionale — divulgazione pubblica
  • Responsabilità civile — possibili azioni legali da parte degli azionisti

La difesa "non lo sapevo" non funziona

NIS2 richiede esplicitamente formazione e supervisione attiva. L'ignoranza non è una difesa sostenibile.

Cosa devono fare i dirigenti ora?

  1. Comprendere gli obblighi — articoli 20 e 21 della direttiva NIS2
  2. Valutare la situazione attuale — quali misure dell'articolo 21 sono in atto?
  3. Seguire formazione in cybersicurezza — non facoltativo sotto NIS2
  4. Formalizzare la supervisione — report regolari di cybersicurezza al CdA
  5. Approvare le politiche di sicurezza — punto fisso all'ordine del giorno
  6. Allocare risorse adeguate — budget insufficiente = responsabilità condivisa
  7. Documentare tutto — decisioni del CdA, formazioni, misure attuate
  8. Monitorare i rischi di catena — comprendere le dipendenze chiave dai fornitori

Inizia con un quickscan NIS2 gratuito

Il nostro quickscan NIS2 gratuito valuta la tua preparazione su tutte le 10 categorie di misure dell'articolo 21. Condividi i risultati con il tuo CdA.

Leggi anche

Fai il quickscan gratuito →

    NIS2 e responsabilità personale dei dirigenti: cosa deve sapere ogni amministratore — NIS2Certify