Obblighi degli amministratori nell’ambito della cybersicurezza: l’analisi Assonime

Nella nuova Circolare (n. 23, pubblicata lo scorso 4 novembre), Assonime analizza le implicazioni per gli amministratori di società di capitali delle novità di cui al d.lgs. 4 settembre 2024, n. 138. Tale decreto, nel recepire la direttiva UE 2022/2555 (cd. NIS 2), ha introdotto alcune norme in funzione della prevenzione e gestione del rischio sicurezza informatica (cybersicurezza), al fine di rafforzare la resilienza digitale delle imprese per far fronte alle minacce informatiche e ai rischi sistemici per il Paese.

In particolare, il decreto prevede una serie di obblighi che incidono direttamente sui compiti e sulle responsabilità dell'organo amministrativo, elevando la sicurezza informatica a elemento essenziale delle strategie e dell'organizzazione dell'impresa.

Dopo aver esaminato l'applicazione del decreto e i chiarimenti forniti dall'ACN (Agenzia per la Cybersicurezza Nazionale) su alcune criticità interpretative delle regole, la Circolare Assonime si sofferma sul ruolo dell'organo amministrativo nell'adeguamento del quadro di gestione dei rischi per la sicurezza informatica, nonché sui riflessi sull'organizzazione aziendale. Infine, viene analizzato il regime di responsabilità amministrativa dei soggetti NIS previsto dal decreto, nonché sulle sanzioni interdittive applicabili alle persone fisiche e sulle responsabilità civilistiche dell'organo amministrativo per la mancata o inadeguata implementazione dell'assetto organizzativo nell'ambito della cybersicurezza.