La cybersicurezza entra nei cda: l’authority avverte che le decisioni strategiche non si possono delegare
- 15 Luglio 2026
- Posted by: Tony
- Categoria: Economia
La cybersicurezza sale fino ai vertici aziendali dopo l’aggiornamento delle Faq relative alla direttiva Nis 2: l’Agenzia per la cybersicurezza nazionale, guidata da Andrea Quacivi, ha precisato che le scelte strategiche in materia di sicurezza informatica devono essere deliberate direttamente dagli organi societari e non possono essere semplicemente prese atto dalle strutture tecniche.
Nel chiarimento l’Agenzia sottolinea che le decisioni strategiche spettano in via esclusiva ai consigli di amministrazione o, quando previsto, agli organi monocratici. L’obbligo riguarda in particolare l’approvazione dei documenti richiamati dal articolo 23 del decreto attuativo della direttiva: si tratta di atti che individuano indirizzi, strategie e piani di governo della sicurezza digitale.
Ruoli distinti: governance e gestione operativa
La nuova interpretazione traccia una netta separazione tra funzioni di governance e attività operative. Ai vertici aziendali compete la definizione degli indirizzi strategici, la valutazione del rischio complessivo e l’approvazione della pianificazione a lungo termine; alle strutture tecniche spetta invece l’attuazione pratica attraverso procedure, istruzioni operative e controlli quotidiani.
Questo approccio mantiene la possibilità di delegare l’esecuzione delle misure concrete a manager e team specialistici, ma non consente di trasferire la responsabilità ultima delle scelte politiche e di allocazione delle risorse. L’intento è garantire che decisioni ad alto impatto — come l’investimento in infrastrutture, la scelta di fornitori critici o la definizione di policy di resilienza — siano assunte al livello decisionale più adeguato.
Documentazione: un unico atto o più atti coordinati
L’Agenzia riconosce libertà organizzativa rispetto alla forma documentale: le imprese soggette alla Nis 2 possono raccogliere indirizzi, piani e misure in un documento unico oppure distribuirli in atti distinti ma armonizzati. Ciò che conta è la coerenza del sistema documentale e la capacità di distinguere con chiarezza le decisioni strategiche dalle procedure operative.
La scelta del formato dovrà tener conto della struttura organizzativa, della dimensione aziendale e della complessità dei servizi erogati: gruppi complessi potrebbero preferire un insieme di atti coordinati, mentre realtà più piccole potranno optare per un documento integrato che agevoli la tracciabilità delle responsabilità.
Aggiornamenti tecnici e ruolo del consiglio
Un ulteriore chiarimento riguarda gli aggiornamenti successivi: le modifiche di natura tecnica o le revisioni operative non richiedono automaticamente una nuova approvazione del consiglio di amministrazione. È infatti possibile che la manutenzione dei contenuti tecnici — come le patch, le check‑list operative o le modifiche procedurali — venga gestita direttamente dalle strutture competenti, purché rimanga chiaro quale sia il limite tra autonomia tecnica e decisione strategica.
Questo meccanismo permette di mantenere agilità operativa nel rispondere a vulnerabilità emergenti, senza appesantire il lavoro del vertice aziendale con ogni singolo aggiornamento tecnico, garantendo però che le scelte che incidono su indirizzi e risorse tornino nelle sedi di governance.
Implicazioni per la governance e per il rischio legale
La novità ha ricadute significative sulla responsabilità degli amministratori: assegnare in modo esplicito la competenza sulle politiche di cybersicurezza aumenta le aspettative nei confronti dei vertici aziendali in termini di competenze, supervisione e rendicontazione. I consigli dovranno dotarsi di meccanismi di controllo interni, formazione specifica e, dove necessario, consulenze esterne per valutare efficacemente il rischio digitale.
Dal punto di vista operativo e finanziario, la ridefinizione dei compiti può portare a una revisione dei budget dedicati alla sicurezza, a maggiori richieste di trasparenza verso gli investitori e a un impatto sui costi assicurativi per la cyber‑risk transfer. Per le imprese italiane soggette alla direttiva (operatori di servizi essenziali e fornitori digitali critici), la compliance richiederà un più stretto coordinamento tra governance, funzione IT e funzioni di controllo.
Supporto operativo e strumenti di implementazione
Per rispettare le nuove indicazioni le aziende dovranno potenziare strumenti di reporting verso il board, creare dashboard di rischio aggiornate e stabilire processi chiari per l’escalation degli incidenti. Inoltre, sarà utile integrare la pianificazione della cybersicurezza con le strategie di continuità operativa e con i piani di investimento IT, così da evitare frammentazioni nelle decisioni che possono compromettere la resilienza complessiva.
Il ruolo delle funzioni di audit interno e di compliance diventerà centrale nel monitoraggio dell’aderenza a quanto deliberato dal vertice, mentre i rapporti con fornitori terzi richiederanno clausole contrattuali più rigorose su sicurezza, responsabilità e auditabilità.
In sintesi
- La centralità della governance nella cybersicurezza aumenta la responsabilità dei consigli e può spingere le aziende a rivedere budget e strutture decisionali per allineare investimenti e strategie di rischio.
- Dal punto di vista degli investitori, una governance più chiara sui temi digitali migliora la trasparenza e può ridurre il premio al rischio associato a imprese con gap organizzativi nella sicurezza informatica.
- Per il mercato italiano, l’adeguamento alla Nis 2 potrà generare una domanda maggiore di servizi specialistici, consulenze e soluzioni tecnologiche, creando opportunità per fornitori locali e per iniziative di partnership pubblico‑private.