Cybersicurezza: Assonime analizza le nuove responsabilità degli amministratori con la circolare n. 23/2025
Assonime, associazione fra le società italiane per azioni, con la pubblicazione della circolare n. 23 del 4 novembre 2025, ha fornito un'analisi dettagliata del D. Lgs. 4 settembre 2024, n. 138, che recepisce la Direttiva UE 2022/2555 (NIS 2).
La circolare, intitolata “Il governo del rischio di cybersicurezza: obblighi e responsabilità degli amministratori”, mette in luce come la nuova normativa elevi la sicurezza informatica a elemento strategico e centrale della governance aziendale, incidendo in modo diretto e significativo sui compiti e sulle responsabilità degli organi amministrativi.
L'analisi di Assonime evidenzia un fondamentale cambio di paradigma: il rischio cyber non è più considerato una questione meramente tecnica, delegabile alle funzioni IT, ma si trasforma in un rischio d'impresa che deve essere presidiato al vertice aziendale.
Il decreto legislativo, infatti, introduce: “(...) un insieme di prescrizioni in funzione della prevenzione e gestione del rischio sicurezza informatica (cybersicurezza), al fine di rafforzare la resilienza digitale delle imprese per far fronte alle minacce informatiche e ai rischi sistemici per il Paese (…)”.
La circolare si sofferma su diversi aspetti chiave della nuova disciplina, completata dalle determinazioni e dalle FAQ dell'Agenzia per la Cybersicurezza Nazionale (ACN), che forniscono un modello operativo per le imprese.
Punti Salienti dell'Analisi di Assonime
1. Ambito di Applicazione e Soggetti Coinvolti
1. Ambito di Applicazione e Soggetti Coinvolti
Assonime chiarisce che l'ambito di applicazione della normativa è ampio e si basa su tre criteri concorrenti: dimensioni dell'impresa, attività esercitata e grado di esposizione al rischio. Ciò porta a una distinzione tra "soggetti essenziali" e "soggetti importanti", ai quali corrispondono obblighi di diversa intensità. Il perimetro di applicazione è ulteriormente esteso sia all'appartenenza a un gruppo societario sia agli obblighi di controllo sull'intera catena del valore (supply chain).
2. Il Ruolo Centrale e Non Delegabile dell'Organo Amministrativo
Il punto focale dell'analisi è il ruolo dell'organo amministrativo. L'articolo 23 del D. Lgs. 138/2024 affida al Consiglio di Amministrazione tre doveri specifici che l'ACN ha qualificato come obblighi di indirizzo e pianificazione strategica, e quindi non delegabili:
- Approvare le modalità di implementazione delle misure di gestione dei rischi.
- Sovrintendere alla loro attuazione, incluse le procedure di notifica degli incidenti.
- Curare la formazione in materia di cybersicurezza.
Assonime sottolinea come questa previsione normativa crei una "interessante commistione" tra diritto amministrativo e diritto societario, poiché un'autorità amministrativa (l'ACN) incide direttamente sulle regole di governance, influenzando l'interpretazione delle materie riservate alla competenza del C.d.A. secondo il Codice Civile.
Sebbene la pianificazione strategica non sia delegabile, la circolare riconosce che, in linea con l'art. 2381 c.c., le funzioni attuative possono essere delegate a uno o più amministratori, fermo restando il dovere di "alta vigilanza" e la responsabilità ultima del plenum consiliare.
3. Impatto sugli Assetti Organizzativi e sulla Business Judgment Rule
La circolare evidenzia inoltre che la cybersicurezza deve essere integrata negli adeguati assetti organizzativi ex art. 2086 c.c. e nel sistema di controllo interno.
La discrezionalità del C.d.A. nelle scelte organizzative risulta "incanalata in un perimetro normativo definito", che riduce significativamente lo spazio di applicazione della business judgment rule. L'inadeguatezza degli assetti cyber, infatti, può far emergere profili di responsabilità per violazione dei doveri di diligenza, specialmente quando la norma, come in questo caso, dettaglia contenuti minimi e criteri tecnici da.
4. Regime Sanzionatorio e Responsabilità
4. Regime Sanzionatorio e Responsabilità
Infine, l'analisi di Assonime si concentra sul severo regime di responsabilità.
La circolare distingue tre livelli:
- Responsabilità amministrativa dell'ente: Sanzioni pecuniarie per il soggetto NIS.
- Sanzioni interdittive personali: Applicabili alle persone fisiche con funzioni di amministrazione e direzione in caso di inottemperanza alle diffide dell'ACN.
- Responsabilità civilistiche: La mancata o inadeguata implementazione dell'assetto organizzativo cyber configura una "grave irregolarità gestoria" e una potenziale violazione dei doveri di diligenza, con conseguenti azioni di responsabilità.
In sintesi, la circolare di Assonime chiarisce che la conformità alla Direttiva NIS 2 non è un semplice adempimento settoriale, ma un elemento strutturale del governo dei rischi che richiede un coinvolgimento diretto e consapevole del Consiglio di Amministrazione, chiamato a guidare una trasformazione che abbraccia strategia, organizzazione e accountability.