Con l’entrata in vigore del D.Lgs. n. 138/2024, che recepisce la Direttiva UE NIS 2, la cybersicurezza diventa un elemento strategico e strutturale della governance aziendale.

La circolare Assonime n. 23 del 4 novembre 2025 chiarisce infatti che gli organi amministrativi e i manager delle imprese sono ora direttamente responsabili della gestione del rischio informatico e possono incorrere in sanzioni e revoche in caso di omissioni o negligenze.

Un nuovo modello di gestione del rischio digitale

Il decreto eleva la sicurezza informatica da misura tecnica a funzione di governo aziendale, imponendo alle imprese di adottare presidi organizzativi, procedurali e tecnologici per prevenire e gestire gli attacchi informatici.

La finalità è quella di rafforzare la resilienza digitale del sistema produttivo nazionale e tutelare la sicurezza economica del Paese di fronte alle crescenti minacce cyber.

Il quadro normativo è completato dalle determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN), che ha definito:

  • gli assetti organizzativi minimi obbligatori per le imprese soggette;
  • gli obblighi di segnalazione degli incidenti significativi;
  • e un insieme di FAQ interpretative per guidare l’attuazione pratica delle norme.

Ambito di applicazione e soggetti coinvolti

L’ambito di applicazione del decreto è ampio e definito secondo tre criteri concorrenti:

  1. Dimensioni dell’impresa;
  2. Attività esercitata;
  3. Grado di esposizione al rischio o rilevanza sistemica.

In base a tali parametri si distinguono:

  • i soggetti essenziali, cui si applicano obblighi più stringenti;
  • i soggetti importanti, cui si applicano regole di intensità minore.

Il perimetro si estende inoltre:

  • ai gruppi societari, imponendo controlli e responsabilità anche in capo alla capogruppo;
  • e all’intera catena del valore, introducendo obblighi di monitoraggio e supervisione dei rischi cyber anche per fornitori e partner.

Il ruolo degli amministratori e dei manager

Assonime evidenzia come il decreto incida direttamente sui compiti dell’organo amministrativo, chiamato ad assicurare:

  • un adeguato assetto organizzativo in materia di sicurezza informatica;
  • la valutazione periodica dei rischi cyber;
  • la pianificazione e supervisione delle misure di prevenzione e risposta agli incidenti;
  • la segnalazione tempestiva degli eventi significativi all’ACN.

La mancata o inadeguata attuazione delle misure di sicurezza può determinare:

  • sanzioni interdittive per le persone fisiche responsabili;
  • responsabilità civile per danni derivanti da negligenza o omissione;
  • revoca o sostituzione dell’amministratore per inadeguatezza gestionale.

In tal modo, la cybersicurezza entra a pieno titolo tra i doveri fiduciari e organizzativi dell’organo di gestione, al pari della compliance ambientale, fiscale e di sicurezza sul lavoro.