La NIS2 impone ai consigli di amministrazione (CdA) di registrarsi sulla piattaforma governativa e assumersi responsabilità formali su governance, budget e formazione in materia di cyber security. ACN motiva questa scelta con basi normative italiane e esigenze di governance aziendale. Nel 2025, molti dei CdA che hanno ricevuto richieste di registrazione son stati spiazzati dall’obbligo di dover riconoscere in modo così formale la propria responsabilità nella sicurezza informatica, nonostante la presenza di CISO o responsabili IT. Le numerose richieste di chiarimento dimostrano la diffusione del dubbio sul coinvolgimento diretto dei CdA. Secondo ACN, tale obbligo non è una semplice formalità, ma serve a rendere consapevoli giuridicamente e organizzativamente i membri dei CdA nei confronti degli obblighi di cybersecurity.
NIS2 e gli obblighi del CDA: nulla di diverso da quanto previsto dal codice civile
Il principale riferimento giuridico è il Decreto Legislativo 138/2021, che recepisce la NIS2 e che semplicemente ribadisce responsabilità già presenti nel codice civile, in particolare quelle dei membri del consiglio di amministrazione.
Il decreto non introduce nuove responsabilità, ma chiarisce che quelle civili si applicano anche alla cyber security, oggi considerata rischio strategico.
Secondo il diritto italiano, il CdA è responsabile dell’allocazione delle risorse, dell’approvazione delle strategie e della supervisione dei rischi; la cyber security rientra quindi nella governance, non solo come questione tecnica. In cosa si traduce quindi concretamente la responsabilità del CDA in ottica di cybersicurezza? Nell’assunzione di tre responsabilità principali :
La prima riguarda l’approvazione del piano di implementazione che deve seguire gli obblighi previsti dalle linee guida: un insieme di attività programmatorie che il CdA deve approvare a livello strategico. Il CdA non deve entrare nel merito tecnico, ma deve approvare direzione, priorità e budget.
La seconda responsabilità è la vigilanza sui tempi di attuazione, ossia deve chiedere aggiornamenti e verificare l’avanzamento del piano.
La terza responsabilità riguarda l’allocazione delle risorse: devono essere destinate risorse adeguate, in termini finanziari e di personale, quando necessario.
La formazione del consiglio di amministrazione
La NIS2 prevede anche un obbligo di formazione per i membri del CdA ed è importante sottolineare che tale formazione non verte sugli aspetti tecnici, per questi ci sono già i vari referenti IT . Il corso mira a sensibilizzare i membri del CdA sulle loro responsabilità e a permettergli di comprendere la natura dei rischi, valutare il piano che approvano e verificare la coerenza delle risorse stanziate. Inoltre, deve vigilare affinché il personale dell’organizzazione riceva formazione adeguata in base al proprio ruolo, differenziata, proporzionata e coerente con il rischio introdotto da ciascuna
Sottolineiamo inoltre che l’obbligo di governance non è un vezzo puramente italiano ma è stato introdotto nel NIST Cybersecurity Framework 2.0 del NIST (una delle massime istituzioni in termini di cybersicurezza) come una delle funzioni essenziali nel corretto processo di gestione della cybersecurity.
La responsabilità permane anche in caso di delega
Il CdA ovviamente dovrà delegare tutti gli aspetti tecnici ad un team di esperti informatici e nessuno si aspetta che possa entrare nel merito delle attività tecniche proposte. Ciò non toglie che questa delega non elimina la responsabilità di vigilanza.
Questo è il modello di governance richiesto dalla NIS2: un CdA informato, consapevole e vigilante, che conosce il piano, assegna risorse e monitora l’avanzamento. Per questo la registrazione formale dei membri del CdA in piattaforma rappresenta il primo atto del processo di governance.