ブログに戻る
LegalTech & IA

NIS2: Il CdA non può scaricare la cyber security sul CISO (e le nuove FAQ ACN lo confermano)

NakedPact 編集委員会
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
2026年7月14日
10 min 読了時間
NIS2: Il CdA non può scaricare la cyber security sul CISO (e le nuove FAQ ACN lo confermano)

Il CISO non è un parafulmine: la responsabilità resta in CdA

Se pensavi che assumere un CISO (Chief Information Security Officer) ti mettesse al riparo dalle responsabilità NIS2, le nuove FAQ dell'Agenzia per la Cybersicurezza Nazionale (ACN) ti faranno ricredere. La nomina di un responsabile della sicurezza informatica non è una delega in bianco: il Consiglio di Amministrazione rimane l'organo titolare della governance e della supervisione in materia di cyber security. In pratica, il CdA non può dire 'l'ho delegato al CISO, non sono affari miei'.

Secondo le FAQ ACN, la responsabilità finale della cyber security ricade sul Consiglio di Amministrazione, che deve approvare le politiche di sicurezza, supervisionare l'implementazione e garantire le risorse necessarie. Il CISO è un esecutore, non un parafulmine.

Delega operativa sì, responsabilità no

Le FAQ specificano che le attività operative possono essere delegate al CISO o ad altri ruoli tecnici, ma la responsabilità di governance rimane in capo al CdA. È come se il presidente di una banca delegasse la gestione della cassaforte a un impiegato: se i soldi spariscono, la colpa è pur sempre del presidente. Allo stesso modo, se un attacco informatico mette in ginocchio l'azienda, il CdA non può nascondersi dietro al CISO.

Cosa deve fare il CdA per essere in regola?

Il Consiglio deve adottare un approccio attivo: approvare la strategia di cyber security, ricevere report periodici dal CISO, assicurarsi che le risorse siano adeguate e, soprattutto, dimostrare di aver esercitato la dovuta diligenza. Le FAQ suggeriscono che il CdA dovrebbe includere la cyber security all'ordine del giorno delle riunioni periodiche, proprio come si fa con i bilanci o le strategie commerciali. Se non lo fate, preparatevi a spiegare al regolatore perché.

Le sanzioni? Salate, come un conto da sushi dopo una notte di lavoro

NIS2 prevede sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale. Per le aziende più grandi, parliamo di cifre che farebbero impallidire anche il CFO più ottimista. E non è solo una questione di multe: la reputazione dell'azienda e la fiducia dei clienti sono in gioco. Come diceva un vecchio proverbio informatico: 'non è paranoia se ti vogliono davvero hackerare'.

FAQ

Il CdA può delegare completamente la cyber security al CISO?

No, la delega può riguardare solo le attività operative, non la responsabilità di governance. Il CdA deve supervisionare e approvare le politiche di sicurezza.

Cosa rischia il CdA se non si adegua a NIS2?

Oltre a sanzioni pecuniarie fino a 10 milioni di euro o al 2% del fatturato, il CdA potrebbe incorrere in responsabilità civile e penale per danni da violazione dei dati.

Quali sono i primi passi che il CdA deve fare per conformarsi?

Il CdA deve nominare un CISO (se non già presente), approvare una strategia di cyber security, istituire report periodici e assicurarsi che le risorse siano adeguate. Le FAQ ACN sono un buon punto di partenza.

Checklist CdA per NIS2

Da fare
Da fare
Da fare
Da fare
Da fare
NakedPact Logo

NakedPact 編集委員会

NakedPact 編集部が作成した記事です。私たちの使命は、一般市民や消費者を保護するために、日常の契約に潜む不当な条項や隠れたリスクを分析、簡素化、および明らかにすることです。

ウェブサイトの所有者ですか?

ウェブサイトの所有者ですか?

ユーザーにデータ処理の透明性を伝えたいですか?当社のバッジを動的に使用して、プラットフォームのコンプライアンスを示しましょう。

🛡️ ワンクリックで権利を守る

不当な条項に署名するリスクを避けてください。Chrome または Firefox 用の無料の NakedPact 拡張機能をインストールして、Web 上のあらゆる契約を即座に分析します。

信用せず、検証せよ。

リスクを知った今、盲目的に署名しないでください。NakedPact に契約書をアップロードして、AI に隠れた条項を見つけさせましょう。完全無料です。

今すぐ契約書を分析する

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.