nis²insights.com

In vigore dal 17 ott 2024·Giorno 565·

Governance18 apr. 202510 min

Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegare

L’articolo 20 della direttiva 2022/2555 porta formalmente la cybersecurity in consiglio. Ecco le cinque responsabilità che ricadono ora personalmente sugli amministratori.

Articolo 20 NIS2: 5 responsabilità del consiglio che gli amministratori non possono delegareGovernance

La direttiva NIS2 — formalmente la direttiva (UE) 2022/2555 — è entrata in vigore il 17 ottobre 2024. Gli Stati membri dovevano averla recepita nel diritto nazionale entro la stessa data. Diciotto mesi dopo, il quadro europeo è disomogeneo, ma uno spostamento è universale: ogni organizzazione che rientra nell'ambito di applicazione ha oggi un'esposizione personale a livello di consiglio.

Ciò che colpisce non è il volume degli obblighi. La NIS2 codifica un insieme di pratiche che qualunque programma di sicurezza ragionevolmente maturo già implementa. La novità è che la responsabilità grava ora, in modo esplicito e personale, sugli organi di direzione — e che le autorità nazionali competenti possono sanzionarli direttamente ai sensi dell'articolo 32.

L'articolo 20 della direttiva — intitolato semplicemente «Governance» — è al centro di questo spostamento. Si compone di due paragrafi. Letto in senso stretto, elenca due doveri. Letto in contesto, con i considerando 80 e 81 e i corrispondenti paragrafi dell'articolo 21, fissa cinque responsabilità che ricadono personalmente sugli amministratori e che non sono delegabili.

1. Approvare il programma di cybersecurity — con comprensione documentata

L'articolo 20, paragrafo 1, è inequivocabile: gli organi di direzione approvano le misure di gestione dei rischi di cybersicurezza adottate dai soggetti per conformarsi all'articolo 21. Il peso giuridico è su approvano, non su sono informati.

Presso le autorità nazionali competenti europee — ANSSI in Francia, BSI in Germania, INCIBE in Spagna, ACN in Italia, NCSC-IE in Irlanda — la stessa aspettativa emerge dalle linee guida pubblicate: approvare implica una comprensione documentata. Un verbale del consiglio che riporti una discussione sostanziale del registro dei rischi del soggetto, dei rischi residui accettati e delle scelte di compromesso tra trattamento del rischio e costo operativo. Una firma senza questa traccia documentale è, nei fatti, una posizione di partenza per un'azione di vigilanza, non una difesa contro di essa.

Approvare non è firmare. È prendere una posizione documentata, contestabile, in piena consapevolezza del registro dei rischi.

L'elemento non delegabile, qui, è la comprensione, non l'atto della firma. I consigli possono fare affidamento sulla raccomandazione del CISO o di una funzione equivalente — non possono affidarvisi senza metterla in discussione.

2. Vigilare sull'attuazione in modo continuativo

La seconda parte dell'articolo 20, paragrafo 1, è spesso trascurata: gli organi di direzione devono anche vigilare sull'attuazione. Un'approvazione a un singolo istante non basta. Il considerando 80 lo rende esplicito, inquadrando la vigilanza come obbligo continuativo legato al ruolo di governance dell'organo di direzione.

In pratica, vigilare significa:

  • Un punto fisso all'ordine del giorno del consiglio, non nascosto sotto «varie ed eventuali».
  • Un cruscotto di rischio che riporti il delta dalla seduta precedente, non lo stato statico.
  • Un canale di escalation chiaro dal CISO o funzione equivalente al presidente del consiglio quando emergono rischi materiali tra una revisione programmata e l'altra.

Un consiglio che approva il programma a marzo e torna a parlare di cybersecurity solo a ottobre non sarà conforme a questa aspettativa, in pressoché tutti gli Stati membri.

3. Accettare la responsabilità personale — compresa l'interdizione dalle funzioni dirigenziali

La clausola finale dell'articolo 20, paragrafo 1, è il punto in cui la direttiva mostra i denti: gli organi di direzione possono essere ritenuti responsabili delle inadempienze dei soggetti agli obblighi dell'articolo 21. La dimensione finanziaria è fissata all'articolo 34: fino a 10 milioni di euro o al 2 % del fatturato annuo mondiale per i soggetti essenziali, applicandosi l'importo più elevato; fino a 7 milioni di euro o all'1,4 % per i soggetti importanti.

La dimensione non finanziaria è più impressionante e meno discussa. L'articolo 32, paragrafo 5, autorizza gli Stati membri a prevedere la sospensione temporanea di qualunque persona fisica che svolga funzioni dirigenziali a livello di amministratore delegato o di rappresentante legale, oppure il divieto temporaneo di esercitare funzioni dirigenziali in tale soggetto. In termini chiari: un'interdizione dalle funzioni dirigenziali.

Diversi Stati membri hanno recepito questa disposizione in modo deciso nel diritto nazionale. Il messaggio per il consiglio: accettare queste responsabilità non è più una questione di cultura aziendale. È un'esposizione personale, e nessuna polizza D&O copre una squalifica regolatoria.

4. Seguire una formazione, di persona

L'articolo 20, paragrafo 2, è insolitamente diretto per una direttiva europea: gli Stati membri provvedono affinché i membri degli organi di direzione dei soggetti essenziali e importanti siano tenuti a seguire una formazione. Tenuti. Non incoraggiati, non invitati.

Anche la formazione non è delegabile. Una lettura ricorrente è che il CISO possa «informare» il consiglio al posto di una formazione formale. Non è ciò che dice l'articolo. La direttiva enuncia esplicitamente l'obiettivo: i membri dell'organo di direzione devono acquisire conoscenze e competenze sufficienti per individuare i rischi e valutare le pratiche di gestione dei rischi di cybersicurezza e il loro impatto sui servizi forniti dal soggetto.

La direttiva non fissa un volume orario, e i recepimenti nazionali variano. Dalle linee guida pubblicate dalle autorità nazionali competenti, una soglia difendibile somiglia a questa:

  • Un programma di ingresso di 6-12 ore per i nuovi amministratori, che copra la direttiva stessa, il panorama di minacce del soggetto e il registro dei rischi.
  • Una sessione annuale di aggiornamento di 2-4 ore sulle variazioni materiali dalla sessione precedente.
  • Presenza e contenuti documentati. Una semplice lista dei partecipanti con data e materiali utilizzati basta.

È la responsabilità su cui i consigli falliscono più spesso. È anche la più semplice da sistemare.

5. Garantire la formazione a livello di intero soggetto

La seconda frase dell'articolo 20, paragrafo 2, viene a volte archiviata come dichiarazione di intenti: gli Stati membri incoraggiano i soggetti essenziali e importanti a offrire ai dipendenti, su base regolare, una formazione analoga. Il verbo incoraggiano è più morbido di impongono.

Resta, tuttavia, una responsabilità del consiglio. L'articolo 21, paragrafo 2, lettera g) — al quale l'articolo 20 rinvia espressamente — elenca «le pratiche di igiene informatica di base e la formazione in materia di cybersicurezza» tra le categorie di misure che i soggetti essenziali e importanti adottano. Non è un incoraggiamento; è un obbligo. Il ruolo del consiglio ai sensi dell'articolo 20 è assicurarsi che l'obbligo dell'articolo 21 sia effettivamente soddisfatto.

In altre parole: il consiglio non può formare personalmente ogni dipendente, ma può — e deve — verificare che esista un programma di formazione per i dipendenti, che abbia una cadenza misurabile e che i tassi di completamento gli vengano riportati.

Come si presenta quando è fatto bene

Nelle linee guida pubblicate dalle autorità nazionali competenti europee, tre segnali ricorrono sistematicamente.

Primo: un verbale del consiglio degli ultimi dodici mesi che attesti una discussione sostanziale del programma di cybersecurity. Non una semplice presa d'atto.

Secondo: un registro dei rischi datato, con responsabilità a livello esecutivo, tracciabile fino alle azioni intraprese dalla precedente revisione del consiglio.

Terzo: la prova che il programma di sicurezza è stato sottoposto a revisione indipendente — da una funzione di internal audit o da un valutatore esterno — negli ultimi dodici mesi, e che le conclusioni sono state portate in consiglio.

Nessuno di questi punti è ambiguo. Sono documenti. Esistono o non esistono. Il lavoro dei prossimi dodici mesi, per i consigli che non hanno ancora agito, è assicurarsi che esistano.

Fonti

  1. Direttiva (UE) 2022/2555, articolo 20 («Governance»).
  2. Direttiva (UE) 2022/2555, articolo 21 («Misure di gestione dei rischi di cybersicurezza»), in particolare il paragrafo 2, lettera g).
  3. Direttiva (UE) 2022/2555, articolo 32, paragrafo 5 (sospensione e divieto di esercitare funzioni dirigenziali).
  4. Direttiva (UE) 2022/2555, articolo 34 (condizioni generali per l'imposizione di sanzioni amministrative pecuniarie).
  5. Direttiva (UE) 2022/2555, considerando 80 e 81 (governance e formazione dell'organo di direzione).
  6. Linee guida di attuazione pubblicate dalle autorità nazionali competenti: ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE), nonché dall'ENISA.

Altri articoli

Notifica di incidente NIS2: la guida pratica delle 72 oreGestione incidenti

Notifica di incidente NIS2: la guida pratica delle 72 ore

11 apr. 2025·Leggere · 9 min
Sicurezza della catena di approvvigionamento NIS2: 5 clausole da richiedere ai fornitoriCatena di approvvigionamento

Sicurezza della catena di approvvigionamento NIS2: 5 clausole da richiedere ai fornitori

9 apr. 2025·Leggere · 7 min
Un modello pragmatico di registro dei rischi per l’articolo 21 NIS2Gestione del rischio

Un modello pragmatico di registro dei rischi per l’articolo 21 NIS2

2 apr. 2025·Leggere · 6 min