Assonime ha analizzato le novità introdotte nel mese di settembre scorso dal decreto legislativo n. 138/2024 per il recepimento della direttiva UE NIS 2. Il decreto eleva la sicurezza informatica a elemento strategico per le imprese, incidendo direttamente sulle responsabilità degli amministratori.
Il decreto mira ad un efficiente attività di prevenzione e gestione del rischio sicurezza informatica, al fine di rafforzare la resilienza digitale delle imprese per far fronte alle minacce informatiche e ai rischi sistemici per il Paese, prevedendo un complesso quadro regolatorio completato dalle determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Quest’ultime specificano condotte operative e chiarimenti interpretativi, inclusi assetti organizzativi minimi e obblighi di segnalazione. L’ambito di applicazione è ampio e si basa su dimensioni, attività e rischio, distinguendo tra soggetti essenziali e importanti. Il perimetro si estende anche ai gruppi societari e alla catena del valore.
La Circ. n. 23/2025 di Assonime effettua una prima ricognizione dell’ambito di applicazione del decreto, e dei chiarimenti forniti dall’ACN su alcune criticità interpretative. Si sofferma poi sul ruolo dell’organo amministrativo nell’adeguamento del quadro di gestione dei rischi per la sicurezza informatica, nonché sui riflessi sull’organizzazione aziendale.
Da ultimo la circolare approfondisce il ruolo dell’organo amministrativo e il regime di responsabilità e relative sanzioni. Il potere di irrogare sanzioni amministrative pecuniarie e interdittive non solo nei confronti dell’ente, ma anche nei confronti delle persone fisiche che all’interno dello stesso hanno un ruolo nell’ambito della cybersecurity, è affidata all’ Agenzia Nazionale.
1. Sanzioni pecuniarie e interdittive a carico degli enti
L’entità della sanzione varia, infatti, in base al tipo di condotta, alla qualifica di soggetto essenziale o importante dell’ente, e alla natura giuridica dello stesso.
· Per il mancato adempimento degli obblighi degli organi amministrativi (art. 23), degli obblighi di gestione del rischio e segnalazione incidenti, o per l'inottemperanza alle intimazioni dell'ACN: la sanzione massima è di €10 milioni o il 2% del fatturato mondiale per i soggetti Essenziali, e di €7 milioni o l'1,4% del fatturato mondiale per i soggetti Importanti.
· Per il mancato adempimento degli obblighi di registrazione, comunicazione e aggiornamento delle informazioni: la sanzione massima è dello 0,1% del fatturato annuo per i soggetti Essenziali e dello 0,07% per gli Importanti.
· È prevista una sanzione accessoria interdittiva (sospensione temporanea di certificati/autorizzazioni) solo per i soggetti Essenziali non pubblici, in caso di persistente inottemperanza alle diffide dell'Agenzia.
2. La responsabilità delle persone fisiche
Il Decreto estende la responsabilità per l'inadempimento delle disposizioni a "qualunque persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale". A tali soggetti, inclusi gli organi amministrativi e direttivi, è applicabile la sanzione accessoria dell'incapacità a svolgere funzioni dirigenziali in caso di inottemperanza alle diffide dell'ACN. Il regime sanzionatorio si basa sul principio della responsabilità personale e per colpa (art. 3, L. 689/1981).
Non esiste una responsabilità dell'organo in quanto tale. L'imputazione segue il riparto dei ruoli e delle responsabilità in concreto attribuite (artt. 2381 e 2392 c.c.). Gli amministratori non esecutivi rispondono solo se non hanno impedito fatti pregiudizievoli pur essendone a conoscenza o nella possibilità di esserlo, in virtù del loro dovere di agire informati. Tuttavia, la delega non ha effetto liberatorio per illeciti derivanti da gravi carenze organizzative imputabili alle scelte di governance aziendale, rimanendo in capo a tutti i membri il dovere di vigilare sulla complessiva politica di sicurezza informatica.
3. La responsabilità dell'organo amministrativo per mancata/inadeguata implementazione dell'assetto cyber
La mancata implementazione degli assetti cyber può comportare una responsabilità civilistica in capo agli amministratori per i danni arrecati al patrimonio sociale, ai soci e ai creditori.
Secondo la giurisprudenza in linea generale, infatti, la mancata implementazione di adeguati assetti può essere considerata una grave forma di irregolarità gestoria, che può portare alla revoca dell'organo amministrativo da parte del tribunale su richiesta dei soci o del collegio sindacale. Gli amministratori possono, inoltre, essere chiamati a rispondere personalmente e solidalmente dei danni arrecati.
Se, infatti, l’obbligo generale di istituire assetti organizzativi previsto dall’articolo 2086 del codice civile rappresenta un dovere specifico a contenuto indeterminato o “aperto” che lascia agli amministratori un margine di discrezionalità nella scelta del comportamento da adottare tra più soluzioni possibili, per l’implementazione dell’assetto in funzione di cybersicurezza il decreto NIS impone agli amministratori doveri più stringenti rispetto alla normalità delle decisioni organizzative imprenditoriali, vincolando il giudizio sull’adeguatezza del relativo assetto oltre che alle dimensioni e al grado di esposizione al rischio del soggetto, anche alle nuove finalità che lo stesso assetto è chiamato a perseguire (gestione del rischio cyber e mitigazione degli impatti degli incidenti), ai criteri individuati dal decreto stesso (approccio multirischio, proporzionalità, conoscenze tecniche avanzate), nonché al contenuto minimo obbligatorio predefinito dalle determinazioni dell’ACN, con l’effetto di ridurre il margine di discrezionalità tecnica degli amministratori.
WST Law & Tax