Torna al Blog
LegalTech & IA

NIS2: il CdA non può scaricare la cyber security sul CISO (e le nuove FAQ ACN lo confermano)

Comitato Editoriale NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
14 luglio 2026
10 min di lettura
NIS2: il CdA non può scaricare la cyber security sul CISO (e le nuove FAQ ACN lo confermano)

Il CdA non può delegare la responsabilità: le nuove FAQ ACN sulla NIS2

Featured Snippet Bait: Le nuove FAQ dell'ACN chiariscono che, ai sensi della NIS2, la responsabilità della cyber security rimane in capo al Consiglio di Amministrazione, anche in presenza di un CISO. Le attività operative possono essere delegate, ma non la responsabilità finale.

Se pensavi che nominare un CISO ti mettesse al riparo da ogni responsabilità, le nuove FAQ dell'ACN ti faranno ricredere. L'Agenzia per la Cybersicurezza Nazionale ha pubblicato un documento che spiega, senza troppi giri di parole, che il Consiglio di Amministrazione resta il vero responsabile della cyber security aziendale. Niente più scaricabarile: il CdA deve governare e supervisionare la materia, punto.

Delega operativa, non di responsabilità

Le FAQ specificano che le attività operative possono essere delegate al CISO o ad altri ruoli tecnici, ma la responsabilità finale è e resta del CdA. È un po' come quando affidi la guida della macchina a un autista: se lui sbaglia, tu sei comunque il proprietario del veicolo e ne rispondi. Allo stesso modo, il CdA non può lavarsi le mani dicendo 'ma io ho delegato'.

Questa precisazione è cruciale per le aziende che rientrano nel perimetro NIS2. La direttiva europea, recepita in Italia con il decreto legislativo n. 138/2024, impone obblighi stringenti in materia di sicurezza informatica. E ora l'ACN ha messo nero su bianco che il vertice aziendale deve essere coinvolto attivamente.

Cosa deve fare il CdA per essere compliant?

Il Consiglio di Amministrazione deve approvare le politiche di cyber security, monitorare l'implementazione delle misure e assicurarsi che ci siano risorse adeguate. Non basta un 'ok' formale: serve un coinvolgimento continuo. Le FAQ suggeriscono che il CdA dovrebbe ricevere report periodici sullo stato della sicurezza e partecipare a sessioni di formazione specifiche.

In pratica, il CdA deve diventare il 'guardiano' della cyber security, non un semplice spettatore. E se pensi che sia noioso quanto leggere i Termini e Condizioni di un'app, sappi che le sanzioni per inadempienza possono arrivare fino al 2% del fatturato annuo globale. Forse un po' di attenzione in più vale la pena.

Le implicazioni pratiche per le aziende

Le aziende devono rivedere i propri modelli di governance. Non basta più avere un CISO bravo: serve che il CdA sia formato e coinvolto. Le FAQ dell'ACN sono un campanello d'allarme per tutte le organizzazioni che pensavano di aver risolto il problema con una semplice nomina.

Inoltre, la responsabilità del CdA si estende anche alla gestione degli incidenti. In caso di attacco, il Consiglio deve essere in grado di dimostrare di aver adottato tutte le misure necessarie. E non vale la scusa 'non lo sapevo'.

FAQ

La nomina di un CISO esonera il CdA dalla responsabilità NIS2?

No, le FAQ dell'ACN chiariscono che la responsabilità finale della cyber security rimane in capo al Consiglio di Amministrazione. Il CISO può gestire le attività operative, ma il CdA deve governare e supervisionare.

Quali sono le sanzioni per il CdA in caso di violazione NIS2?

Le sanzioni possono arrivare fino al 2% del fatturato annuo globale o a 10 milioni di euro, a seconda di quale sia l'importo maggiore. Inoltre, i membri del CdA possono essere ritenuti personalmente responsabili.

Cosa deve fare il CdA per essere conforme alla NIS2?

Il CdA deve approvare le politiche di cyber security, monitorare l'implementazione, assicurare risorse adeguate, ricevere report periodici e partecipare a formazione specifica. La delega operativa è possibile, ma non quella di responsabilità.

Checklist Compliance NIS2 per il CdA

  • Approvare le politiche di cyber security
  • Nominare un CISO (se applicabile)
  • Ricevere report periodici sulla sicurezza
  • Partecipare a sessioni di formazione
  • Assicurare risorse adeguate
  • Monitorare l'implementazione delle misure
Progresso compliance50%
NakedPact Logo

Comitato Editoriale NakedPact

Articolo ideato dalla redazione di NakedPact. La nostra missione è analizzare, semplificare e svelare le clausole vessatorie e i rischi nascosti presenti nei contratti di uso quotidiano, per proteggere i cittadini e i consumatori.

Sei titolare di un sito web?

Sei titolare di un sito web?

Vuoi comunicare ai tuoi utenti la tua trasparenza nel trattare i dati? Utilizza in maniera dinamica il nostro badge e mostra la conformità della tua piattaforma.

🛡️ Proteggi i tuoi diritti con un clic

Non rischiare di firmare clausole abusive. Installa l'estensione gratuita di NakedPact per Chrome o Firefox e analizza all'istante qualsiasi contratto sul web.

Non fidarti, verifica.

Ora che sai quali sono i rischi, non firmare alla cieca. Carica il tuo contratto su NakedPact e lascia che l'Intelligenza Artificiale trovi le clausole nascoste per te. È 100% gratuito.

Analizza il tuo Contratto Ora

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.