NIS2, la responsabilità diretta della dirigenza

Tra le previsioni che suscitano maggiore interesse per gli esperti di diritto e di sicurezza informatica, la Direttiva NIS2 e il decreto legislativo 138/2024 introducono nuove disposizioni che coinvolgono direttamente gli organi direttivi delle aziende essenziali e importanti nella protezione delle informazioni. Questo significa che chi occupa posizioni di vertice non può più delegare completamente la responsabilità della sicurezza informatica, ma deve occuparsene in prima persona.

Responsabilità diretta degli organi direttivi: perché è importante

Per chi ha seguito le discussioni in ambito europeo, si è reso evidente che fosse necessario attribuire una responsabilità chiara e diretta ai vertici delle organizzazioni considerate essenziali o importanti come previsto dalla Direttiva NIS2. Questa esigenza nasce dall’aumento costante delle minacce informatiche e dalla crescente dipendenza dal digitale a livello globale.

La ragione principale di questa scelta è che queste organizzazioni, identificate con termini come “infrastrutture critiche” o “operatori di servizi essenziali”, hanno un ruolo chiave non solo per i singoli utenti, ma per l’intera collettività. Esse gestiscono settori vitali come la sanità, i trasporti, l’energia e la finanza, tutti ambiti che influiscono direttamente sulla sicurezza e sul benessere delle persone.

Questo aspetto diventa ancora più rilevante se si considera che molte di queste funzioni sono in mano a entità private, talvolta straniere, il che comporta possibili implicazioni strategiche e rischi significativi per la società.

L’iniziativa economica privata deve quindi sempre rispettare l’utilità sociale, evitando di mettere a rischio la sicurezza, la salute e la libertà delle persone.

Grazie a un sistema di sanzioni rigoroso, la sicurezza informatica non è più un’opzione, ma un obbligo concreto per tutte le organizzazioni. Chi ricopre ruoli di responsabilità deve affrontarla con serietà e competenza, evitando soluzioni approssimative o deleghe prive di un reale controllo.

L’evoluzione della sicurezza come responsabilità aziendale

Un altro aspetto importante da considerare è che, con l’introduzione della NIS2, la sicurezza non riguarda più solo la protezione delle capacità produttive di un’azienda, ma è diventata una vera e propria “responsabilità d’impresa” (per approfondire, leggi il nostro articolo sul Rapporto Clusit 2024: attacchi cyber in crescita in Italia). Questo significa che clienti, investitori e utenti finali possono agire legalmente per chiedere tutela in caso di mancata protezione dei dati e dei servizi.

Questa evoluzione non è recente, ma si inserisce in una logica di gestione del rischio più ampia, dove la sicurezza informatica diventa una parte fondamentale del business. Non può più essere vista come un costo superfluo o un elemento sacrificabile per aumentare i profitti, ma come un investimento indispensabile per la continuità aziendale.

Passare da una responsabilità solo teorica a un obbligo concreto implica un cambio di prospettiva significativo per i dirigenti delle aziende.

Nei moderni sistemi normativi, la responsabilità non si limita al rispetto delle leggi, ma richiede anche un’azione proattiva nel predisporre misure di protezione adeguate. Chi gestisce un’organizzazione con una funzione di interesse pubblico deve garantire controlli e strategie efficaci per ridurre i rischi e proteggere l’intera collettività.

Il meccanismo di responsabilità cumulativa nel D. Lgs. 138/2024

Questo modello è ben conosciuto nella cultura giuridica occidentale ed è chiaramente espresso nell’articolo 40 comma 2 del codice penale italiano, dove viene definita la figura del “reato commissivo mediante omissione” con la formula: “non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a causarlo”.

Questo sistema di attribuzione della responsabilità cumulativa si affianca a quella dell’organizzazione ed è un meccanismo innovativo e significativo rispetto, ad esempio, alla responsabilità del titolare del trattamento dei dati, come definito nel Regolamento UE 2016/679.

Fatta eccezione per i casi di impresa individuale o di altra persona fisica – e tralasciando le ipotesi di reato, per cui la responsabilità penale è sempre personale – il “titolare del trattamento” si identifica con l’organizzazione e non si configura una responsabilità cumulativa con la stessa rigidità e severità prevista dalla Direttiva NIS2.

Responsabilità dei dipendenti pubblici e implicazioni future

La responsabilità non riguarda solo le aziende private. Anche i dipendenti pubblici con ruoli di leadership devono rispondere in caso di mancato rispetto delle norme. La Direttiva NIS2 richiama le norme sulla responsabilità disciplinare, amministrativa e contabile dei funzionari pubblici.

Questa nuova impostazione potrebbe avere implicazioni significative, richiedendo un adattamento delle pratiche di gestione della sicurezza nelle amministrazioni pubbliche e nelle aziende private.

Identificazione degli organi di amministrazione e direttivi

Uno degli aspetti fondamentali è definire chi rientra nella categoria degli “Organi di amministrazione e direttivi”. La normativa identifica questi soggetti come coloro che hanno poteri decisionali e di controllo all’interno dell’organizzazione.

Un dubbio che sorge è se questa responsabilità possa essere delegata. Come avviene nella sicurezza sul lavoro, alcuni obblighi possono essere trasferiti a dirigenti specializzati, ma altre responsabilità restano in capo ai vertici aziendali.

Delega e vigilanza dei dirigenti aziendali

La Direttiva NIS2 afferma chiaramente che i dirigenti non possono limitarsi a delegare le attività di sicurezza informatica senza supervisionarle. Devono approvare le strategie di gestione del rischio e verificare che siano effettivamente applicate.

Questo significa che devono controllare regolarmente l’efficacia delle misure di sicurezza e garantire che eventuali violazioni siano affrontate in modo tempestivo.

La delega è possibile solo se chi riceve l’incarico ha risorse e mezzi adeguati per svolgere il compito. In caso contrario, la responsabilità rimane a chi ha assegnato la delega.

Formazione obbligatoria e responsabilità diretta

Un altro aspetto cruciale introdotto dalla NIS2 è l’obbligo di formazione in materia di sicurezza informatica per i dirigenti aziendali. Non si tratta solo di sensibilizzazione, ma di acquisire conoscenze e competenze specifiche per gestire la sicurezza informatica in modo strategico.

Questo dimostra ancora una volta che la sicurezza informatica non è più solo un problema tecnico, ma una responsabilità diretta di chi guida le organizzazioni.

Un nuovo paradigma per la sicurezza delle informazioni

L’entrata in vigore della Direttiva NIS2 rappresenta una svolta nel modo in cui le aziende e le pubbliche amministrazioni affrontano la sicurezza informatica. Non può più essere vista come un fattore secondario, ma deve essere parte integrante della strategia aziendale e della responsabilità sociale.

La normativa richiama i principi della Costituzione italiana, in particolare l’articolo 41, che stabilisce che l’iniziativa economica privata deve rispettare l’utilità sociale e non arrecare danni alla sicurezza, alla salute o alla libertà delle persone.

Con un sistema sanzionatorio rigoroso, la sicurezza informatica diventa un obbligo concreto per tutte le organizzazioni. Chi occupa ruoli di responsabilità deve gestirla con competenza e consapevolezza, evitando approcci superficiali o deleghe non adeguatamente supportate, seguendo le linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Supporto specializzato per la conformità alla NIS2

La Direttiva NIS2 stabilisce nuovi standard europei per la resilienza delle infrastrutture critiche e dei sistemi informativi, imponendo obblighi stringenti per molte organizzazioni, incluse le PMI in settori strategici.

Identificare se un’azienda è soggetta alla normativa può richiedere un’analisi approfondita, soprattutto per realtà meno evidenti. Comitel, con il supporto di professionisti qualificati, offre una consulenza personalizzata per:

• Verificare se la tua azienda è soggetta alla Direttiva NIS2, analizzando la situazione attuale e identificando le aree critiche.
• Fornire una valutazione chiara che attesti la tua posizione rispetto alla normativa.

Nel caso in cui l’azienda rientri tra i soggetti obbligati, Comitel è in grado di guidarti in ogni fase del percorso di adeguamento, che include:

• La designazione del Punto di Contatto (POC) e il supporto nella gestione della relativa governance aziendale in materia di cyber security.
• La definizione di un piano su misura per implementare le misure di cyber security richieste dalla normativa.
• Corsi di formazione in presenza o in modalità e-learning, sia per la dirigenza che per tutti i dipenti.
• Il supporto nella notifica degli incidenti di sicurezza e nella gestione degli stessi, garantendo tempi di risposta adeguati e conformi ai requisiti della Direttiva.

Affidarsi a Comitel significa avere al proprio fianco un team di esperti che garantisce un percorso di adeguamento sicuro e strutturato, trasformando gli obblighi normativi in un’opportunità di crescita e rafforzamento della sicurezza aziendale.