NIS2 articolo 20: 5 responsabilità che i consigli di amministrazione non possono più delegare
Alexandre Durand
Direttore editoriale — Esperto di cybersicurezza
L'articolo 20 della direttiva 2022/2555 sposta formalmente la cybersicurezza nel consiglio di amministrazione. In Italia l'ACN (Agenzia per la Cybersicurezza Nazionale) vigila sull'applicazione. Cinque responsabilità pesano ora personalmente sugli organi direttivi delle entità essenziali e importanti — nessuna può essere completamente delegata a IT, CISO o comitato di controllo.
Responsabilità 1 — Approvare formalmente le misure di gestione del rischio
Il consiglio deve "approvare" (non solo prendere atto) le misure dell'articolo 21: politica di analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, crittografia, controllo degli accessi, autenticazione multifattoriale, igiene informatica, sicurezza del personale, valutazione dell'efficacia. L'approvazione va verbalizzata, almeno annualmente, con votazione documentata.
Responsabilità 2 — Supervisionare l'attuazione nel tempo
Il consiglio riceve report periodici sullo stato dei piani di trattamento del rischio, sugli incidenti, sui risultati dei pentest, sul consumo di budget e sulla conformità ai framework interni (ISO 27001, NIST CSF). La cadenza trimestrale si sta imponendo come standard di mercato per i soggetti essenziali. Un consiglio che approva un budget cybersicurezza allo 0,3 % del fatturato senza interrogarsi sulla mediana di settore (circa 1-2 % secondo ENISA) non può dimostrare di aver esercitato la supervisione.
Responsabilità 3 — Rispondere personalmente in caso di inadempimento
L'articolo 32, paragrafo 6, consente all'ACN di imporre divieti temporanei di esercitare funzioni dirigenziali in caso di violazioni gravi. La responsabilità è valutata secondo il criterio della diligenza: un dirigente che ha approvato misure proporzionate, le ha supervisionate e ha allocato risorse ragionevoli non sarà ritenuto personalmente responsabile di un incidente isolato. Un dirigente che ha ignorato allerte ripetute del CISO o rifiutato budget documentati come necessari, sì.
Responsabilità 4 — Seguire una formazione dedicata
L'articolo 20, paragrafo 2, obbliga i membri degli organi direttivi a seguire una formazione che consenta loro di identificare rischi e pratiche di gestione. La partecipazione deve essere documentata. Un modulo di 4-8 ore all'anno, rinnovato a ogni cambio di mandato, è considerato proporzionato. Le linee guida ACN richiedono inoltre la formazione regolare del personale — senza di essa, gli obblighi di cyberigiene e sicurezza del personale previsti dall'articolo 21 non possono realisticamente essere soddisfatti.
Responsabilità 5 — Allocare risorse adeguate
Approvare senza budget è un'approvazione vuota. Il consiglio valida annualmente il budget cybersicurezza (come quota del budget IT), gli organici dedicati (CISO, SOC, ingegneri sicurezza) e i servizi esterni contrattualizzati. I soggetti essenziali maturi destinano 8-12 % del budget IT alla cybersicurezza, con almeno un CISO a tempo pieno che riporta al comitato esecutivo.
Cosa esamina l'ACN in un'ispezione
Verbali del consiglio sulla cybersicurezza, delibere formali di approvazione, report periodici del CISO, attestati di formazione, politica di sicurezza firmata, piano pluriennale di budget, mappa dei rischi validata e registro degli incidenti. L'assenza di tracce scritte viene trattata come mancanza di diligenza.
Da dove partire
Quattro passi nei primi dodici mesi. Uno: inserire la cybersicurezza come punto permanente dell'ordine del giorno del consiglio, almeno trimestralmente. Due: organizzare una sessione di formazione iniziale per tutti i membri, con attestato nominativo. Tre: richiedere al CISO un dossier strutturato — mappa dei rischi, piano di trattamento, budget, indicatori. Quattro: approvare formalmente il dossier in seduta, con verbale dettagliato.
*Questo articolo è solo a scopo informativo e non costituisce consulenza legale.*