Blog / Italiano / NIS2 e responsabilità del management: co
NIS2 responsabilità dirigenti D.Lgs 138 2024 sanzioni NIS2 governance aziendale

NIS2 e responsabilità del management: cosa rischiano personalmente amministratori e dirigenti italiani

9 min read
L'Art. 23 del D.Lgs. 138/2024 prevede sanzioni personali fino a 10 milioni di euro e la sospensione temporanea dalle funzioni dirigenziali per i vertici aziendali inadempienti alla NIS2. Scopri cosa rischiano concretamente CEO, CFO e membri del CDA e come documentare la propria conformità prima degli audit ACN 2026.
NIS2 e responsabilità del management: cosa rischiano personalmente amministratori e dirigenti italiani

NIS2 e responsabilità del management: cosa rischiano personalmente amministratori e dirigenti italiani

Se stai leggendo questo articolo, probabilmente hai appena sentito parlare della NIS2 in una riunione di consiglio, da un avvocato o da un articolo di giornale. E forse la tua prima reazione è stata: "È una questione per il reparto IT, ci penseranno loro." Ecco il problema: questa volta non funziona così. La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, ha introdotto qualcosa di radicalmente nuovo rispetto a qualsiasi normativa di cybersecurity precedente. Ha spostato la responsabilità direttamente sulle spalle degli organi di vertice aziendale — amministratori delegati, membri del CDA, direttori generali, CFO.

Non si tratta di sanzioni all'azienda che tu, come manager, puoi osservare da lontano. Si tratta di conseguenze che colpiscono te personalmente: la tua posizione, la tua carriera, il tuo patrimonio reputazionale. E il dettaglio che più di tutti ha sorpreso i vertici aziendali italiani nelle ultime settimane è uno solo: l'articolo 23 del D.Lgs. 138/2024 prevede la possibilità di sospensione temporanea dalle funzioni dirigenziali. Non una multa all'azienda. La sospensione di te, in quanto persona.

In questo articolo analizziamo con precisione cosa prevede la norma, quali rischi concreti corre il management italiano e — soprattutto — cosa puoi fare adesso per essere in regola prima che arrivi un audit dell'ACN.

Cosa dice esattamente l'Art. 23 del D.Lgs. 138/2024 sugli organi di amministrazione

Sei pronto per gli audit ACN 2026?
Verificare la conformità NIS2 prima che lo faccia l'ACN è la mossa più intelligente che un dirigente possa fare oggi. I nostri esperti analizzano la tua postura di sicurezza e ti aiutano a documentare la governance in modo da proteggere te e la tua azienda dalle sanzioni personali previste dal D.Lgs. 138/2024.
Richiedi assessment NIS2 gratuito

L'articolo 23 del decreto legislativo 138/2024 — il testo normativo con cui l'Italia ha recepito la Direttiva europea NIS2 — è il cuore della responsabilità del management. Il legislatore italiano ha fatto una scelta precisa: non limitarsi a sanzionare l'ente giuridico, ma responsabilizzare direttamente le persone fisiche al vertice.

La norma stabilisce che gli organi di amministrazione e di direzione dei soggetti essenziali e dei soggetti importanti sono tenuti a:

  • approvare le misure di gestione del rischio di cybersecurity adottate dall'organizzazione;
  • supervisionare l'attuazione di tali misure;
  • seguire una formazione specifica in materia di cybersecurity, con obbligo di mettere a disposizione analoga formazione per tutti i dipendenti in modo regolare.

La norma non dice "l'azienda deve formare i dipendenti". Dice che i membri del CDA devono formarsi personalmente. E in caso di violazione di questi obblighi, le conseguenze non si limitano a una sanzione pecuniaria per la società.

Il punto più critico riguarda le misure sanzionatorie previste in capo alle persone fisiche responsabili: l'autorità competente — l'ACN, Agenzia per la Cybersicurezza Nazionale — può richiedere la sospensione temporanea dall'esercizio delle funzioni dirigenziali nei confronti del soggetto responsabile delle violazioni. È una previsione senza precedenti nel panorama regolatorio italiano sulla cybersecurity.

Le sanzioni che rischia il management: da 7 a 10 milioni o sospensione dalle funzioni

Il quadro sanzionatorio del D.Lgs. 138/2024 — in particolare l'articolo 38 — distingue nettamente tra soggetti essenziali e soggetti importanti, categorie che comprendono migliaia di aziende italiane in settori come energia, trasporti, finanza, sanità, infrastrutture digitali, manifatturiero avanzato e molti altri.

Per i soggetti essenziali, le sanzioni amministrative possono arrivare fino a:

  • 10 milioni di euro oppure il 2% del fatturato annuo mondiale totale, se superiore;
  • sospensione temporanea delle certificazioni o autorizzazioni;
  • divieto temporaneo per le persone fisiche responsabili di svolgere funzioni dirigenziali.

Per i soggetti importanti, le sanzioni massime sono:

  • 7 milioni di euro oppure l'1,4% del fatturato annuo mondiale totale, se superiore;
  • analoga possibilità di sospensione dalle funzioni per le persone fisiche responsabili.

Questi numeri non sono teorici. Sono operativi dal momento in cui l'ACN avvia un'ispezione o riceve una segnalazione. E la sospensione dalle funzioni dirigenziali — applicabile alla persona fisica, non all'azienda — è la misura che, più di qualsiasi multa, cambia il profilo di rischio personale di ogni amministratore e dirigente italiano soggetto alla normativa.

La domanda che molti CEO si stanno già ponendo è: "Rientro tra i soggetti essenziali o importanti?" La risposta dipende dal settore e dalle dimensioni dell'azienda — ed è una valutazione che va fatta con urgenza, perché la registrazione alla piattaforma ACN è già in corso.

La responsabilità non si delega: perché "l'ho detto all'IT" non basta più

Il cambiamento culturale più importante introdotto dalla NIS2 è proprio questo: la NIS2 governance aziendale Italia non funziona più con la logica della delega tecnica. Prima del D.Lgs. 138/2024, un amministratore poteva ragionevolmente sostenere che la cybersecurity era una responsabilità del CISO o del dipartimento IT. Oggi questo argomento non regge più davanti all'ACN — e probabilmente nemmeno davanti a un giudice.

La norma è esplicita: è l'organo di amministrazione che deve approvare le misure di sicurezza. Non ratificarle passivamente dopo che qualcun altro le ha decise. Approvarle — con consapevolezza, dopo aver ricevuto la formazione adeguata e dopo aver verificato che i rischi siano stati valutati correttamente.

Questo significa che se domani l'ACN aprisse un'ispezione sulla tua azienda e riscontrasse violazioni degli obblighi NIS2, la difesa "me ne occupava il reparto IT" non solo non ti protegge: ti espone ulteriormente, perché dimostra che l'organo di vertice non ha esercitato la supervisione che la legge gli impone.

In termini pratici: ogni decisione in materia di cybersecurity deve essere tracciata, verbalizzata e ricondotta all'approvazione formale del CDA o dell'organo di gestione competente. Non è un optional. È un obbligo legale.

Gli obblighi formativi obbligatori per il CDA entro ottobre 2026

Uno degli aspetti più sottovalutati della norma riguarda i NIS2 CDA obblighi formativi. L'articolo 23 prevede che i membri degli organi di amministrazione acquisiscano conoscenze e competenze sufficienti per identificare i rischi e valutare le pratiche di gestione del rischio di cybersecurity e il loro impatto sui servizi offerti dall'organizzazione.

Non si tratta di diventare tecnici informatici. Si tratta di essere in grado di prendere decisioni informate su un tema che oggi è strategico quanto la gestione finanziaria o la compliance legale. Il termine di riferimento per la piena operatività del quadro normativo è l'ottobre 2026, ma i soggetti già registrati devono adeguarsi progressivamente, e gli audit ACN possono iniziare prima.

Concretamente, ogni membro del CDA di un'azienda soggetta alla NIS2 dovrebbe essere in grado di rispondere a domande come:

  • Quali sono i principali rischi cyber per la nostra organizzazione?
  • Le misure adottate sono proporzionate al profilo di rischio?
  • Come gestiamo gli incidenti e le notifiche obbligatorie all'ACN?
  • La catena di fornitura è stata valutata dal punto di vista della sicurezza?

Se queste domande ti sembrano troppo tecniche, è esattamente il motivo per cui la formazione è obbligatoria — e perché affidarsi a chi sa tradurre la complessità tecnica in linguaggio strategico è una scelta intelligente.

Come dimostrare all'ACN che il management ha adempiuto: la documentazione che serve

In caso di NIS2 ACN audit 2026, l'onere della prova è sostanzialmente a carico del soggetto controllato. Non basta dire di aver fatto le cose per bene: bisogna dimostrarlo con documentazione verificabile. Gli elementi minimi che ogni management team dovrebbe avere pronti includono:

  1. Verbali del CDA che attestano la discussione e l'approvazione delle misure di gestione del rischio cyber;
  2. Registrazioni delle attività formative svolte dai membri dell'organo di amministrazione, con attestati e date;
  3. Policy di sicurezza approvate formalmente e revisionate periodicamente;
  4. Registro degli incidenti e delle notifiche effettuate all'ACN nei tempi previsti (24 ore per la notifica preliminare, 72 ore per la notifica completa);
  5. Valutazione dei rischi della supply chain con evidenza delle azioni correttive adottate;
  6. Piani di business continuity e disaster recovery approvati a livello di CDA.

Tutta questa documentazione deve essere coerente, datata e attribuibile a delibere formali degli organi competenti. Un foglio Excel trovato sul desktop di un tecnico IT non costituisce evidenza di adempimento. Un verbale del CDA firmato, sì.

Il ruolo del consulente tecnico e legale: perché serve qualcuno che conosca entrambi i lati

La complessità della NIS2 sta nel fatto che non è solo una norma tecnica né solo una norma legale: è entrambe le cose insieme. E questa dualità è esattamente il motivo per cui affidarsi a un singolo avvocato o a un singolo fornitore IT non è sufficiente. Serve un approccio integrato, capace di tradurre gli obblighi normativi in misure tecniche concrete e, al contrario, di documentare le misure tecniche in modo che abbiano valore legale davanti all'ACN.

Se stai cercando una consulenza NIS2 tecnica e legale che non ti obblighi a fare da intermediario tra il tuo studio legale e il tuo fornitore IT, la risposta è un team che sappia operare su entrambi i livelli simultaneamente. Il team di Webristle — con presenza operativa a Roma e Bologna e disponibilità per assessment in sede — è composto da professionisti con competenze sia tecniche che legali-regolamentari, specificamente formati sulla NIS2 e sul contesto normativo italiano del D.Lgs. 138/2024.

Questo significa che quando sediamo al tavolo con un CDA, non portiamo solo una checklist tecnica: portiamo un'analisi di quale sia il profilo di rischio personale degli amministratori, quali delibere vadano adottate con quale tempistica, e quali evidenze documentali siano necessarie per reggere un audit ACN. Se vuoi valutare la situazione della tua azienda senza impegnarti in un percorso lungo, un supporto NIS2 per il management inizia sempre con un assessment iniziale — che può avvenire in sede, nei nostri uffici di Roma o Bologna, o da remoto.

Non aspettare che sia l'ACN a bussare alla porta. In quel momento, avere appena iniziato il percorso di adeguamento non sarà una circostanza attenuante sufficiente.

FAQ: Le domande che CEO e CFO si pongono sulla responsabilità personale NIS2

1. Come faccio a sapere se la mia azienda è un soggetto essenziale o importante ai sensi della NIS2?

La distinzione dipende dal settore di attività e dalle dimensioni dell'impresa. In linea generale, le grandi imprese (oltre 250 dipendenti o fatturato superiore a 50 milioni) nei settori ad alta criticità — energia, trasporti, sanità, finanza, infrastrutture digitali — rientrano nei soggetti essenziali. Le medie imprese negli stessi settori, o le imprese in settori a criticità media, sono tipicamente soggetti importanti. La registrazione alla piattaforma ACN è già obbligatoria e permette di determinare la categoria. Una valutazione con un consulente specializzato richiede poche ore e può evitare mesi di incertezza.

2. Se la mia azienda subisce un attacco informatico, sono personalmente responsabile?

Non automaticamente. La responsabilità personale scatta quando si dimostra che l'organo di amministrazione non ha adottato le misure di gestione del rischio previste dalla norma, non ha supervisionato la loro attuazione, o non ha rispettato gli obblighi di notifica. Un attacco in sé non costituisce violazione della NIS2: la violazione è non aver fatto il necessario per prevenirlo o gestirlo correttamente. Ecco perché la documentazione è fondamentale: dimostra che hai adempiuto ai tuoi obblighi.

3. La sospensione dalle funzioni dirigenziali è davvero applicabile in Italia?

Sì. Il D.Lgs. 138/2024 — che è legge dello Stato italiano dal 17 ottobre 2024 — prevede esplicitamente

Sei pronto per gli audit ACN 2026?
Verificare la conformità NIS2 prima che lo faccia l'ACN è la mossa più intelligente che un dirigente possa fare oggi. I nostri esperti analizzano la tua postura di sicurezza e ti aiutano a documentare la governance in modo da proteggere te e la tua azienda dalle sanzioni personali previste dal D.Lgs. 138/2024.
Richiedi assessment NIS2 gratuito

Related Articles

NIS2 e fornitori: sei obbligato a dichiarare la tua supply chain all'ACN entro ottobre 2026
NIS2 e fornitori: sei obbligato a dichiarare la tua supply chain all'ACN entro ottobre 2026
Con la Determinazione ACN 127437/2026 del 13 aprile 2026, le aziende soggette NIS2 devono mappare e …
9 min read
Hai registrato la tua azienda sul portale ACN: e adesso? Guida pratica all'implementazione NIS2
Hai registrato la tua azienda sul portale ACN: e adesso? Guida pratica all'implementazione NIS2
La registrazione sul portale ACN è solo il primo passo: ora iniziano gli obblighi operativi veri. Qu…
9 min read
Checklist NIS2 2026: Sei Ancora a Rischio di Sanzioni Dopo la Scadenza?
Checklist NIS2 2026: Sei Ancora a Rischio di Sanzioni Dopo la Scadenza?
La direttiva NIS2 è entrata in vigore e molte aziende rischiano ancora pesanti sanzioni per non conf…
7 min read