NIS2: il CISO rischia il penale? Guida dirigenti IT 2026

Quando la cybersecurity diventa una questione personale: NIS2, DORA e il nuovo ruolo del CISO

Il tema del CISO sotto processo non e’ piu’ fantascienza giuridica. Per anni la sicurezza informatica è stata considerata “roba da tecnici”. Un problema dell’ufficio IT, delegato a chi sapeva mettere le mani su firewall e antivirus. Con l’entrata in vigore della direttiva NIS2 e del regolamento DORA, questa visione è cambiata radicalmente.

Oggi la responsabilità CISO NIS2 non è più confinata al reparto tecnologico. La normativa europea ha spostato il baricentro verso i vertici aziendali, coinvolgendo direttamente amministratori delegati, membri del board e figure apicali nella governance della sicurezza informatica. Per le PMI italiane, spesso abituate a strutture organizzative snelle, questo cambio di paradigma ha implicazioni concrete e immediate.

Il messaggio del legislatore europeo è chiaro: un incidente informatico non è più solo un guasto tecnico, ma un evento che può generare responsabilità personale sicurezza informatica a carico di chi avrebbe dovuto prevenirlo.

Cosa prevedono NIS2 e DORA per le aziende italiane

La direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) ha ampliato significativamente la platea dei soggetti obbligati. Non parliamo più solo di infrastrutture critiche: i NIS2 obblighi aziende coinvolgono ora anche medie imprese che operano in settori come la manifattura, l’alimentare, la gestione dei rifiuti, i servizi postali e la pubblica amministrazione.

Tra i punti centrali della normativa troviamo:

• Obbligo di governance della sicurezza a livello di vertice aziendale: il board deve approvare le misure di gestione del rischio cyber e supervisionarne l’attuazione.
• Formazione obbligatoria: gli organi direttivi devono seguire percorsi formativi in materia di cybersecurity.
• Notifica degli incidenti: le aziende devono segnalare gli incidenti significativi entro 24 ore dalla scoperta, con un rapporto completo entro 72 ore.
• Sanzioni rilevanti: le multe possono raggiungere i 10 milioni di euro o il 2% del fatturato globale annuo.

Il regolamento DORA (Digital Operational Resilience Act), invece, si rivolge in modo specifico al settore finanziario e ai suoi fornitori ICT, imponendo requisiti stringenti di resilienza operativa digitale. Per le PMI che forniscono servizi tecnologici a banche e assicurazioni, rientrare nel perimetro DORA significa adeguarsi a standard elevati di continuità e sicurezza.

Il ruolo del CISO nella nuova cornice normativa

Il Chief Information Security Officer si trova oggi in una posizione delicata. Da un lato, è il referente tecnico per la sicurezza dell’organizzazione. Dall’altro, le nuove normative gli attribuiscono una visibilità — e un’esposizione — che prima non aveva.

La responsabilità CISO NIS2 si articola su più livelli. Se il CISO è anche dirigente o membro dell’organo direttivo, le responsabilità sono dirette e personali. Se invece opera come funzione di staff, la sua esposizione dipende dal grado di autonomia decisionale e dalle deleghe formali ricevute.

In entrambi i casi, documentare le decisioni prese, le risorse richieste e le segnalazioni effettuate al management diventa fondamentale. Un CISO che ha formalmente evidenziato una vulnerabilità critica e si è visto negare il budget per correggerla si trova in una posizione molto diversa da chi non ha mai sollevato il problema.

Il decreto legislativo 231 e la cybersecurity: un intreccio pericoloso

Quando parliamo di CISO sotto processo, il decreto legislativo 231 cybersecurity rappresenta forse l’aspetto meno conosciuto ma più insidioso di questa evoluzione normativa. Il D.Lgs. 231/2001/2001 disciplina la responsabilità amministrativa delle persone giuridiche per reati commessi nel loro interesse o a loro vantaggio.

Tra i reati presupposto rientrano i delitti informatici (art. 24-bis), introdotti già nel 2008. Questo significa che un’azienda può essere ritenuta responsabile — e sanzionata con multe, interdizioni e persino la confisca — se un reato informatico viene commesso a causa di carenze organizzative nella prevenzione.

Quando scatta la responsabilità penale

La CISO responsabilità penale non è un’ipotesi teorica. Gli scenari in cui può concretizzarsi sono diversi:

• Omessa adozione di misure di sicurezza adeguate che favorisce la commissione di reati informatici da parte di dipendenti o collaboratori.
• Mancato aggiornamento del Modello 231 per includere i rischi cyber tra quelli mappati e presidiati dall’Organismo di Vigilanza.
• Carenze nella formazione del personale che portano a incidenti evitabili, come attacchi di phishing andati a segno per assenza di awareness training.
• Gestione negligente di un data breach che aggrava le conseguenze per gli interessati e configura violazioni del GDPR con risvolti penali.

Per le PMI che hanno adottato un Modello 231 — o che stanno valutando di farlo — è essenziale integrare il rischio cyber nella mappatura dei rischi-reato. Un modello che ignora la dimensione informatica è oggi un modello incompleto e potenzialmente inefficace come scudo difensivo.

Cosa devono fare concretamente le PMI italiane

Il quadro normativo può sembrare complesso, ma le azioni da intraprendere sono identificabili con chiarezza.

Primo: coinvolgere il vertice aziendale. La cybersecurity non può più essere delegata in toto al reparto IT. Il consiglio di amministrazione o l’amministratore unico devono essere informati e partecipare attivamente alle decisioni strategiche in materia di sicurezza.

Secondo: mappare i rischi e documentare tutto. Ogni decisione relativa alla sicurezza informatica — dall’acquisto di un software alla scelta di non investire in un determinato controllo — deve essere tracciata. La documentazione è la prima linea di difesa in caso di contenzioso.

Terzo: aggiornare il Modello 231. Chi ha un modello organizzativo deve verificare che i reati informatici siano adeguatamente presidiati. Chi non lo ha, dovrebbe considerare seriamente di adottarne uno, anche alla luce delle nuove esposizioni introdotte da NIS2.

Quarto: investire nella formazione. Non solo per il personale tecnico, ma per tutti i dipendenti e soprattutto per il management. La normativa NIS2 lo richiede esplicitamente per gli organi direttivi.

Quinto: definire ruoli e responsabilità. Chi fa cosa in caso di incidente? Chi ha il potere di spesa per la sicurezza? Chi risponde davanti alle autorità? Queste domande devono avere risposte chiare e formalizzate prima che si verifichi un problema.

Un cambio di mentalità, non solo di compliance

Il vero cambiamento introdotto da NIS2 e DORA non è solo normativo. È culturale. La sicurezza informatica esce dall’ambito tecnico per entrare in quello della responsabilità d’impresa, al pari della sicurezza sul lavoro o della compliance fiscale.

Per le PMI italiane, spesso il tessuto produttivo su cui si regge l’economia del Paese, questo significa che ignorare la cybersecurity non è più solo rischioso dal punto di vista operativo. È rischioso dal punto di vista legale e personale per chi amministra l’azienda.

La buona notizia è che adeguarsi non richiede necessariamente investimenti enormi. Richiede però consapevolezza, metodo e la volontà di trattare la sicurezza informatica come quello che è diventata a tutti gli effetti: una responsabilità di chi guida l’impresa.

Casi reali: quando la teoria diventa cronaca giudiziaria

Non si tratta di scenari astratti. Negli ultimi anni, diversi procedimenti giudiziari in Italia e in Europa hanno coinvolto figure apicali per carenze nella gestione della sicurezza informatica.

Nel 2023, il Garante Privacy ha sanzionato un’azienda sanitaria italiana per 1,5 milioni di euro dopo un attacco ransomware che ha esposto i dati di 500.000 pazienti. L’indagine ha evidenziato che il management era stato avvisato delle vulnerabilita’ infrastrutturali mesi prima dell’incidente, senza prendere provvedimenti. La responsabilita’ e’ ricaduta non solo sull’azienda, ma personalmente sull’amministratore delegato e sul responsabile IT.

A livello europeo, il caso SolarWinds negli Stati Uniti ha aperto un precedente significativo: la SEC ha avviato procedimenti contro il CISO dell’azienda per aver minimizzato i rischi cyber nelle comunicazioni agli investitori. Sebbene il contesto normativo sia diverso, il principio e’ lo stesso che NIS2 porta in Europa: chi ha la responsabilita’ di gestire il rischio cyber e lo sottovaluta, ne risponde personalmente.

La giurisprudenza italiana sul D.Lgs. 231

I tribunali italiani hanno progressivamente ampliato l’interpretazione dei reati informatici rilevanti ai fini del D.Lgs. 231. La Cassazione, con la sentenza n. 47718/2019, ha confermato che l’inadeguatezza del modello organizzativo in relazione ai rischi informatici puo’ configurare la responsabilita’ dell’ente anche in assenza di dolo specifico da parte dei vertici. Per le PMI, questo significa che la mancata adozione di misure di sicurezza proporzionate al rischio e’ di per se’ un elemento di colpa organizzativa.

Assicurazioni cyber: protezione o illusione?

Molte PMI stanno valutando polizze di cyber insurance come strumento di mitigazione del rischio. E’ una scelta sensata, ma con limiti importanti da conoscere.

Le polizze cyber tipicamente coprono i costi di risposta all’incidente (forensic, notifiche, ripristino), le perdite economiche dirette e, in alcuni casi, le sanzioni amministrative. Tuttavia, la maggior parte delle polizze esclude esplicitamente la responsabilita’ penale personale dei dirigenti e le sanzioni derivanti da negligenza comprovata nella gestione della sicurezza.

In altre parole, un’assicurazione cyber non sostituisce un programma di sicurezza adeguato. Anzi, molte compagnie assicurative richiedono come prerequisito la dimostrazione di misure di sicurezza minime (MFA, backup testati, formazione del personale). Una PMI senza queste misure potrebbe vedersi negare sia la copertura sia il risarcimento.

Checklist operativa: 10 azioni immediate per le PMI

Per evitare di trovarsi con il CISO sotto processo o il board esposto a sanzioni personali, ecco come tradurre in pratica quanto analizzato, ecco una checklist concreta che ogni PMI italiana dovrebbe affrontare entro i prossimi 90 giorni:

1. Nominare un referente cybersecurity con mandato formale e budget dedicato, anche se part-time o esterno
2. Condurre un risk assessment documentato che mappi asset critici, minacce e vulnerabilita’
3. Aggiornare o creare il Modello 231 includendo i reati informatici nella mappatura dei rischi
4. Implementare la formazione obbligatoria per il board e per tutti i dipendenti (NIS2 lo richiede)
5. Attivare l’autenticazione multifattore su tutti gli accessi critici (email, VPN, cloud, gestionali)
6. Testare i backup mensilmente con prove di ripristino documentate
7. Definire un piano di incident response con ruoli, tempi e procedure di notifica (24h/72h NIS2)
8. Formalizzare le deleghe di responsabilita’ in materia di sicurezza IT con atto scritto
9. Verificare la catena di fornitura ICT per i requisiti DORA (se si forniscono servizi al settore finanziario)
10. Documentare ogni decisione relativa alla sicurezza, incluse le richieste di budget negate

Il ruolo del partner tecnologico nella compliance

Per molte PMI italiane, gestire internamente tutti questi aspetti e’ semplicemente impossibile con le risorse disponibili. E’ qui che il ruolo di un Managed Service Provider specializzato diventa strategico.

Un MSP come 10punto10 non si limita a fornire tecnologia: affianca l’azienda nella costruzione di un framework di sicurezza che soddisfi i requisiti normativi, dalla mappatura dei rischi alla documentazione delle misure adottate, dal monitoraggio continuo alla gestione degli incidenti.

Il vantaggio per la PMI e’ duplice: da un lato, accede a competenze e tecnologie enterprise a costi sostenibili; dall’altro, puo’ dimostrare alle autorita’ di aver adottato misure proporzionate e di essersi affidata a professionisti qualificati, un elemento che in caso di contenzioso fa la differenza tra negligenza e diligenza.