6/2/2025
NIS2: Manager a rischio sospensione per violazioni della cybersicurezza
Attenzione Manager! In caso di violazione degli obblighi di cybersicurezza, sono previste sanzioni severe, tra queste anche la sospensione dal lavoro.
La Direttiva NIS2 (D. Legislativo n. 138/2024) non introduce solo obblighi più stringenti per aziende ed enti pubblici, ma sposta l'attenzione su un elemento cruciale: la responsabilità diretta dei manager nella gestione della cybersicurezza. Non si tratta più solo di un problema tecnico relegato agli specialisti IT, ma di una questione strategica che coinvolge direttamente il vertice aziendale.
La difesa dagli attacchi informatici è una priorità quotidiana e impone a imprese, anche di piccole dimensioni, ed enti pubblici una serie di obblighi sempre più stringenti. Questi vanno dalla protezione dei sistemi informativi alla formazione di dirigenti e dipendenti sui rischi cyber, dall’adozione di criteri di sicurezza negli acquisti di strumenti informatici fino alla tempestiva segnalazione di eventuali incidenti alle autorità competenti.
Autosegnalazione all’ACN
I soggetti obbligati devono provvedere all'autosegnalazione presso l’Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025, per essere ufficialmente inseriti nell’elenco dei destinatari degli adempimenti previsti dal D.Lgs. 138/2024.
Inoltre, nella banca dati dell’ACN devono essere indicati i nominativi delle persone fisiche responsabili delle decisioni relative all'attuazione delle misure di cybersicurezza. Per ciascuno di questi soggetti – tra cui dirigenti e rappresentanti legali – devono essere comunicati all’ACN il ruolo ricoperto, i recapiti aggiornati, inclusi indirizzi e-mail e numeri di telefono.
Ai sensi dell’articolo 38, comma 5, del D.Lgs. 138/2024, tali soggetti possono essere ritenuti responsabili per eventuali violazioni delle prescrizioni in materia di cybersicurezza. Su questo aspetto si sofferma anche una recente circolare di Assonime, evidenziandone la portata innovativa.
Violazione degli obblighi di cybersicurezza
In caso di mancato rispetto degli obblighi in materia di cybersicurezza, la circolare evidenzia che il sistema sanzionatorio prevede, oltre a sanzioni pecuniarie e alla sospensione dell’attività per l’impresa, anche l’applicazione di una sanzione amministrativa accessoria nei confronti degli organi amministrativi e direttivi. Tale misura comporta l’incapacità temporanea di esercitare funzioni dirigenziali all’interno dell’organizzazione fino a quando l’operatore soggetto agli obblighi della NIS 2 non avrà adottato le necessarie misure correttive o ottemperato alle diffide dell’ACN per la regolarizzazione.
Responsabilità degli organi di amministrazione e direzione
Secondo Assonime, l’introduzione di responsabilità precise a carico degli organi amministrativi e direttivi rappresenta un passo avanti significativo: amministratori e manager saranno chiamati a partecipare attivamente al processo decisionale sulla cybersicurezza, adottando le opportune determinazioni anche in merito agli investimenti in sicurezza informatica.
Tale principio si applica anche agli enti pubblici, poiché la violazione degli obblighi della NIS 2 può comportare responsabilità dirigenziale, disciplinare e amministrativo-contabile.
____
