CyberTotem
Tutti gli articoli
NIS2managementgovernanceArt. 20

Art. 20 NIS2: la responsabilità personale dei dirigenti

La NIS2 impone obblighi diretti a CDA e management. Non è una questione IT: i dirigenti possono rispondere personalmente. Cosa prevede la norma e cosa fare.

Team CyberTotem

Quando si parla di NIS2, la maggior parte delle organizzazioni si concentra sull'IT: firewall, patch, backup. Ma la direttiva contiene un articolo spesso sottovalutato che riguarda direttamente il vertice aziendale: l'Art. 20 della Direttiva UE 2022/2555, recepito in Italia nell'Art. 23 del D.Lgs. 138/2024.

L'Art. 20 non parla di tecnologia. Parla di chi governa l'organizzazione.

Cosa dice esattamente l'Art. 20 NIS2

Il testo della direttiva è preciso. Gli organi di gestione delle organizzazioni soggette devono:

  1. Approvare le misure di gestione del rischio di sicurezza informatica adottate dall'organizzazione
  2. Supervisionare attivamente la loro attuazione
  3. Ricevere regolarmente formazione in materia di cybersicurezza, in misura sufficiente per identificare i rischi e valutarne l'impatto sulle attività

E poi il punto più delicato:

"Gli Stati membri provvedono affinché i membri degli organi di gestione delle entità essenziali e delle entità importanti possano essere ritenuti responsabili della violazione del presente articolo da parte di tali entità."

La responsabilità non è solo dell'organizzazione: è personale.

Chi sono gli "organi di gestione"

La direttiva usa un termine ampio: rientrano nella definizione tutte le figure con funzioni di governo e supervisione dell'organizzazione:

  • Amministratori delegati e direttori generali
  • Membri del Consiglio di Amministrazione
  • Soci con poteri di gestione
  • Responsabili della sicurezza informatica designati (CISO/RSSI)
  • Altre figure dirigenziali con responsabilità formale sulla sicurezza

La dimensione dell'azienda non cambia l'obbligo. Anche in una PMI con un CDA di due persone, entrambe i membri ricadono nell'ambito dell'Art. 20.

Perché l'obbligo non è delegabile

Un errore comune è pensare di poter "delegare" la compliance NIS2 all'IT manager o a un consulente esterno. Tecnicamente, alcune attività operative possono essere affidate a terzi. Ma la responsabilità di approvare le misure e supervisionarne l'attuazione non può essere trasferita.

Se l'ACN conduce un'ispezione e riscontra che il CDA non era a conoscenza delle politiche di sicurezza adottate, o che non le aveva formalmente approvate, la violazione ricade sugli organi di gestione — non sull'IT.

L'obbligo di formazione del management

L'Art. 20 prevede esplicitamente che i dirigenti ricevano formazione. Non un corso tecnico sulle vulnerabilità — ma formazione che consenta loro di:

  • Comprendere il quadro normativo NIS2 e le responsabilità personali
  • Approvare le politiche di sicurezza con cognizione di causa
  • Identificare i rischi cyber rilevanti per il business
  • Gestire le comunicazioni in caso di incidente
  • Valutare la supply chain dal punto di vista della sicurezza

Questa formazione deve essere documentata e attestata. In caso di audit o ispezione ACN, il dirigente deve poter esibire prova che ha ricevuto formazione specifica.

Le sanzioni

Le sanzioni previste dalla NIS2 sono calcolate sul fatturato globale annuo dell'organizzazione:

  • Soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato annuo globale (si applica la cifra più alta)
  • Soggetti importanti: fino a 7 milioni di euro o l'1,4% del fatturato annuo globale

Ma le sanzioni non si fermano all'organizzazione. L'Art. 20 prevede che i singoli dirigenti possano rispondere personalmente. In Italia, il D.Lgs. 138/2024 attribuisce all'ACN poteri sanzionatori che includono la possibilità di vietare temporaneamente a una persona fisica di ricoprire funzioni dirigenziali in caso di violazione grave.

Come adeguarsi: tre passi concreti

1. Formalizzare l'approvazione delle politiche di sicurezza

Il CDA deve formalmente approvare le misure di gestione del rischio (Art. 21). Questo va messo a verbale. Non basta che l'IT abbia implementato delle misure: occorre che l'organo di gestione le abbia deliberate.

2. Istituire una supervisione periodica

Almeno una volta all'anno (meglio trimestralmente), il management dovrebbe ricevere un report sullo stato della sicurezza informatica: incidenti registrati, completamento della formazione, stato delle vulnerabilità note, aggiornamenti normativi.

3. Completare un percorso di formazione documentato

Il percorso Management di CyberTotem copre esattamente i temi richiesti dall'Art. 20: quadro normativo NIS2, governance cyber, risk assessment, gestione incidenti, supply chain, business continuity. Al termine viene rilasciato un attestato dirigenziale con riferimento esplicito all'Art. 20 NIS2.

La compliance NIS2 non è una questione IT

Il messaggio centrale dell'Art. 20 è chiaro: la sicurezza informatica è una responsabilità del governo aziendale, non solo del dipartimento tecnico. I dirigenti che ignorano questo obbligo non si trovano in una zona grigia — si trovano fuori dalla norma, con responsabilità personale.

Il tuo CDA ha già completato il percorso formativo richiesto dall'Art. 20? Scopri il percorso Management di CyberTotem.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo