Cybersicurezza in azienda: amministratori in prima linea tra obblighi e responsabilità

La sicurezza informatica non è più soltanto un tema tecnico, ma un elemento centrale della governance aziendale. A ribadirlo è la circolare Assonime n. 23 del 4 novembre 2025, dedicata all’applicazione del d.lgs. 138/2024, con cui l’Italia ha recepito la direttiva europea NIS2 per il rafforzamento della resilienza digitale del Paese.

La normativa coinvolge una vasta platea di soggetti — imprese private e numerose pubbliche amministrazioni — imponendo misure obbligatorie per prevenire e gestire gli attacchi informatici. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha già definito i requisiti operativi: iscrizione alla piattaforma ACN, identificazione dei responsabili interni della cybersicurezza, valutazione e gestione dei rischi, programmi di formazione, monitoraggio costante delle misure adottate e segnalazione tempestiva degli incidenti.

Focus sugli amministratori
La parte più innovativa del decreto riguarda direttamente l’organo amministrativo: la cybersicurezza diventa responsabilità di governance.
Pianificazione delle difese, controllo dell’operatività dei presidi, investimenti adeguati e formazione del personale rientrano formalmente tra i doveri degli amministratori.

In caso di mancato adeguamento agli standard, la responsabilità non sarà solo organizzativa:
–revoca degli amministratori da parte del tribunale in caso di gravi irregolarità gestorie
–sanzioni interdittive individuali in caso di mancata attuazione delle diffide ACN
–responsabilità personale e solidale per i danni a patrimonio sociale, soci e creditori

In presenza di un amministratore unico, tutti i compiti e i rischi ricadono su quella figura. Nelle società con consiglio di amministrazione senza deleghe, l’intero board è responsabile; se invece le deleghe sono attribuite solo ad alcuni componenti, questi rispondono direttamente, pur restando in capo al CdA il potere-dovere di controllo.

Investire nel digitale non è più un’opzione
L’analisi di Assonime sottolinea che un semplice piano di misure non basta: l’efficacia delle soluzioni adottate è criterio determinante di valutazione.
La discrezionalità degli amministratori è ridotta: è richiesto un livello elevato di protezione, adeguato al contesto di minacce in costante evoluzione.

Il messaggio è netto: tagliare sui budget cyber significa esporsi a rischi aziendali e personali.

Infine, la circolare richiama la necessità di coordinare le misure NIS2 con quelle previste dal Regolamento UE 2016/679 (GDPR): privacy e cybersicurezza camminano congiuntamente, e i fondi per l’una non possono essere disgiunti da quelli per l’altra.

---

LEGGI ANCHE