Argomenti trattati
Il Decreto legislativo 138/2024, che recepisce la direttiva NIS2 in Italia, istituisce importanti obblighi per le aziende designate come soggetti NIS. Questi enti sono tenuti ad aggiornare annualmente le informazioni richieste presso il registro predisposto dall’Agenzia Nazionale per la Cybersecurity (ACN). La scadenza fissata dal Decreto è il 31 maggio di ogni anno. Tuttavia, in un comunicato del 23 maggio 2025, l’ACN ha chiarito che le aziende che necessitano di supporto per completare l’aggiornamento potranno farlo fino al 31 luglio. Questa proroga riflette l’approccio collaborativo dell’ACN, volto a supportare le imprese e le pubbliche amministrazioni nella transizione verso la conformità con la NIS2, un processo che richiede risorse e competenze non sempre disponibili, in particolare per le PMI.
Le responsabilità del Consiglio di Amministrazione
Un aspetto cruciale della direttiva NIS2 è il ruolo del Consiglio di Amministrazione. Come stabilito dall’articolo 23 del Decreto, il Consiglio deve essere non solo informato, ma anche formato sui vari aspetti tecnici e legali legati alla sicurezza informatica. Questo implica che le aziende dovrebbero includere nelle loro pianificazioni annuali sessioni di formazione dedicate ai membri del Consiglio per garantire una comprensione chiara delle responsabilità e degli obblighi previsti dalla norma. È fondamentale che questa formazione avvenga prima della scadenza del 31 luglio 2025.
Presa d’atto telematica e designazione dei responsabili
Inoltre, l’ACN ha specificato che la presa d’atto telematica, necessaria per registrare i componenti dell’organo amministrativo come responsabili delle violazioni, può essere effettuata anche dopo il termine del 31 luglio. Questo processo richiede che ogni membro accetti ufficialmente la propria designazione dopo aver ricevuto una comunicazione formale tramite PEC. Sebbene sia consigliabile seguire un ordine temporale nel completare queste registrazioni, il Decreto consente una certa flessibilità in questo rispetto.
Le sanzioni per la non conformità
È importante essere consapevoli delle sanzioni in caso di inadempienza. La mancata registrazione o l’aggiornamento delle informazioni richieste può comportare sanzioni pecuniarie significative, che possono arrivare fino allo 0,1% del fatturato annuo per i soggetti NIS essenziali, e fino allo 0,07% per quelli importanti. Le pubbliche amministrazioni beneficiano di sanzioni ridotte. Questo aspetto sottolinea l’importanza di una gestione accurata e tempestiva degli adempimenti previsti dalla NIS2.
Deleghe interne e responsabilità del Consiglio
Le domande sulle deleghe interne all’organo amministrativo non sono rare. Sebbene sia possibile delegare alcune funzioni per soddisfare gli obblighi di cui all’articolo 23, la responsabilità ultima rimane comunque in capo al Consiglio di Amministrazione. La recente riforma del diritto societario ha introdotto il principio della ‘colpa’, che potrebbe influenzare le valutazioni future riguardo alla responsabilità degli organi di amministrazione nel contesto delle misure di attuazione della NIS2.
Formazione continua e preparazione per il futuro
In un contesto in continua evoluzione come quello della sicurezza informatica, è fondamentale che le aziende non solo rispettino le scadenze, ma investano anche in formazione continua per i loro team. Man mano che il panorama normativo si evolve, le competenze richieste per garantire la conformità diventeranno sempre più cruciali. Le PMI devono quindi prepararsi ad affrontare queste sfide e a implementare strategie efficaci per garantire un adeguato livello di sicurezza e compliance.