La sicurezza informatica non è più soltanto un tema tecnico, ma un elemento centrale della governance aziendale. A ribadirlo è la circolare Assonime n. 23 del 4 novembre 2025, dedicata all’applicazione del d.lgs. 138/2024, con cui l’Italia ha recepito la direttiva europea NIS2 per il rafforzamento della resilienza digitale del Paese.
La normativa coinvolge una vasta platea di soggetti — imprese private e numerose pubbliche amministrazioni — imponendo misure obbligatorie per prevenire e gestire gli attacchi informatici. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha già definito i requisiti operativi: iscrizione alla piattaforma ACN, identificazione dei responsabili interni della cybersicurezza, valutazione e gestione dei rischi, programmi di formazione, monitoraggio costante delle misure adottate e segnalazione tempestiva degli incidenti.
Focus sugli amministratori
La parte più innovativa del decreto riguarda direttamente l’organo amministrativo: la cybersicurezza diventa responsabilità di governance.
Pianificazione delle difese, controllo dell’operatività dei presidi, investimenti adeguati e formazione del personale rientrano formalmente tra i doveri degli amministratori.
In caso di mancato adeguamento agli standard, la responsabilità non sarà solo organizzativa:
–revoca degli amministratori da parte del tribunale in caso di gravi irregolarità gestorie
–sanzioni interdittive individuali in caso di mancata attuazione delle diffide ACN
–responsabilità personale e solidale per i danni a patrimonio sociale, soci e creditori
In presenza di un amministratore unico, tutti i compiti e i rischi ricadono su quella figura. Nelle società con consiglio di amministrazione senza deleghe, l’intero board è responsabile; se invece le deleghe sono attribuite solo ad alcuni componenti, questi rispondono direttamente, pur restando in capo al CdA il potere-dovere di controllo.
Investire nel digitale non è più un’opzione
L’analisi di Assonime sottolinea che un semplice piano di misure non basta: l’efficacia delle soluzioni adottate è criterio determinante di valutazione.
La discrezionalità degli amministratori è ridotta: è richiesto un livello elevato di protezione, adeguato al contesto di minacce in costante evoluzione.
Il messaggio è netto: tagliare sui budget cyber significa esporsi a rischi aziendali e personali.
Infine, la circolare richiama la necessità di coordinare le misure NIS2 con quelle previste dal Regolamento UE 2016/679 (GDPR): privacy e cybersicurezza camminano congiuntamente, e i fondi per l’una non possono essere disgiunti da quelli per l’altra.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
Giustizia, via libera proroghe su tirocinio magistrati, mobilità e intercettazioni
Estesi i termini per la riduzione del tirocinio dei magistrati, la mobilità del personale e il funzionamento delle sezioni distaccate di Ischia, Lipari e Portoferraio
Conflitto di interessi e ruolo istituzionale: i limiti fissati dal Consiglio Nazionale Forense
Un avvocato Consigliere dell'Ordine accusato di aver perseguito interessi personali e di parte in contrasto con i doveri istituzionali. Il Consiglio Nazionale Forense conferma: incompatibile…
Articolo 85 D.L. 18/2020 – Disposizioni In Materia Di Giustizia Contabile
1. Le disposizioni di cui agli articoli 83 e 84 si applicano, in quanto compatibili e non contrastanti con le disposizioni recate dal presente articolo,…
