Il D.Lgs. n. 138/2024, che recepisce nell’ordinamento italiano la Direttiva NIS 2, ha introdotto un insieme di prescrizioni in funzione della prevenzione e gestione del rischio sicurezza informatica (cybersicurezza), al fine di rafforzare la resilienza digitale delle imprese per far fronte alle minacce informatiche e ai rischi sistemici per il Paese.
Il decreto prevede una serie di obblighi che incidono direttamente sui compiti e sulle responsabilità dell’organo amministrativo, elevando la sicurezza informatica a elemento essenziale delle strategie e dell’organizzazione dell’impresa.
Al riguardo si registra un importante intervento di Assonime (Associazione per le Società per Azioni italiane) con circolare n. 23 del 4 novembre 2025 dal titolo “Il governo del rischio di cybersicurezza: obblighi e responsabilità degli amministratori”
Ed invero, il D.Lgs. n. 138/2024 all’art. 38 individua le sanzioni applicabili dall’Autorità nazionale competente NIS. Segnatamente, la mancata osservanza degli obblighi imposti dall’art. 23 e l’inottemperanza alle disposizioni adottate dall’Autorità nazionale competente NIS ai sensi dell’articolo 37, sono punite con le seguenti sanzioni:
a) per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, se tale importo è superiore, il cui minimo è fissato nella misura di un ventesimo del massimo edittale;
b) per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE, se tale importo è superiore, il cui minimo è fissato nella misura di un trentesimo del massimo edittale;
c) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti essenziali, con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.
La omessa compliance alla normativa NIS2 produce dunque seri rischi a carico di aziende e pubbliche amministrazioni e loro governance.
Vuoi verificare se la tua organizzazione è conforme alla Direttiva NIS 2?
Il team AV Legal supporta imprese e pubbliche amministrazioni nella gestione del rischio cyber, nell’adeguamento ai nuovi obblighi e nella definizione delle responsabilità dell’organo amministrativo.
📩 segreteria@av-legal.it
☎️ +39 085 219 36 69
🌐 www.av-legal.it