La sicurezza informatica non è più soltanto un tema tecnico, ma un elemento centrale della governance aziendale. A ribadirlo è la circolare Assonime n. 23 del 4 novembre 2025, dedicata all’applicazione del d.lgs. 138/2024, con cui l’Italia ha recepito la direttiva europea NIS2 per il rafforzamento della resilienza digitale del Paese.
La normativa coinvolge una vasta platea di soggetti — imprese private e numerose pubbliche amministrazioni — imponendo misure obbligatorie per prevenire e gestire gli attacchi informatici. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha già definito i requisiti operativi: iscrizione alla piattaforma ACN, identificazione dei responsabili interni della cybersicurezza, valutazione e gestione dei rischi, programmi di formazione, monitoraggio costante delle misure adottate e segnalazione tempestiva degli incidenti.
Focus sugli amministratori
La parte più innovativa del decreto riguarda direttamente l’organo amministrativo: la cybersicurezza diventa responsabilità di governance.
Pianificazione delle difese, controllo dell’operatività dei presidi, investimenti adeguati e formazione del personale rientrano formalmente tra i doveri degli amministratori.
In caso di mancato adeguamento agli standard, la responsabilità non sarà solo organizzativa:
–revoca degli amministratori da parte del tribunale in caso di gravi irregolarità gestorie
–sanzioni interdittive individuali in caso di mancata attuazione delle diffide ACN
–responsabilità personale e solidale per i danni a patrimonio sociale, soci e creditori
In presenza di un amministratore unico, tutti i compiti e i rischi ricadono su quella figura. Nelle società con consiglio di amministrazione senza deleghe, l’intero board è responsabile; se invece le deleghe sono attribuite solo ad alcuni componenti, questi rispondono direttamente, pur restando in capo al CdA il potere-dovere di controllo.
Investire nel digitale non è più un’opzione
L’analisi di Assonime sottolinea che un semplice piano di misure non basta: l’efficacia delle soluzioni adottate è criterio determinante di valutazione.
La discrezionalità degli amministratori è ridotta: è richiesto un livello elevato di protezione, adeguato al contesto di minacce in costante evoluzione.
Il messaggio è netto: tagliare sui budget cyber significa esporsi a rischi aziendali e personali.
Infine, la circolare richiama la necessità di coordinare le misure NIS2 con quelle previste dal Regolamento UE 2016/679 (GDPR): privacy e cybersicurezza camminano congiuntamente, e i fondi per l’una non possono essere disgiunti da quelli per l’altra.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
Sciopero dei direttori del Ministero della Giustizia: oltre il 75% di adesioni in tutta Italia
Al centro della mobilitazione vi è la difesa del profilo professionale, messo in discussione dall'ultima bozza di Contratto Collettivo Integrativo proposto dal Ministero.
Avvocati, penale di recesso valida solo se frutto di trattativa vera
La Cassazione boccia le clausole vessatorie nei contratti con i legali: se il cliente non ha avuto modo di negoziare davvero le condizioni, le penali…
Intelligenza artificiale: la foto di un falso attacco al Pentagono ha fatto tremare Wall Street
È diventata virale, su Twitter, la foto di un presunto attacco al Pentagono, dopo essere stata condivisa dall’account “Bloomberg Feed”. Prime example of the dangers…
