Cosa cambia per gli amministratori secondo Assonime

Con l’entrata in vigore del recepimento italiano della Direttiva NIS2, la cybersicurezza non è più solo una questione tecnica o informatica: diventa un tema di governance aziendale e di responsabilità diretta degli organi di amministrazione. A sottolinearlo è la Circolare Assonime 23/2025, che analizza gli effetti del nuovo quadro normativo e mette in evidenza un punto chiave: la gestione del rischio cyber deve essere presidiata dal vertice, con obblighi che coinvolgono in modo esplicito gli amministratori e il management.

Un cambio di paradigma: dal reparto IT al CdA

La NIS2 spinge le organizzazioni verso un modello in cui la sicurezza informatica viene trattata come un vero rischio strategico, al pari di quelli finanziari o operativi. Secondo l’impostazione richiamata da Assonime, non basta più “avere procedure”: serve dimostrare che esiste una supervisione effettiva e che la cybersicurezza è integrata nei processi decisionali.
In questo scenario, il ruolo degli amministratori si rafforza su più fronti: dalla definizione delle politiche di sicurezza alla verifica della loro applicazione, fino al monitoraggio dei rischi e alla gestione degli incidenti.

Obblighi concreti e responsabilità

La circolare evidenzia come la NIS2 introduca un livello di responsabilizzazione più marcato per i vertici aziendali, soprattutto in relazione a:

• misure di gestione del rischio cyber e continuità operativa,
• controllo della supply chain e dei fornitori,
• capacità di risposta agli incidenti,
• procedure di notifica e comunicazione,
• formazione e consapevolezza interna.

L’elemento centrale è che la conformità non può essere solo formale: la direttiva richiede un presidio strutturato, documentato e continuativo.

Il punto più delicato: sanzioni e impatto reputazionale

Oltre agli obblighi, Assonime richiama anche il tema delle conseguenze in caso di inadempienza. Le autorità di controllo potranno intervenire con misure correttive e sanzioni, ma il rischio non è soltanto economico: una gestione inefficace della cybersicurezza può tradursi in danni reputazionali, blocchi operativi e perdita di fiducia da parte di clienti e stakeholder.

Perché questa circolare è rilevante

La Circolare Assonime 23/2025 è utile perché traduce la NIS2 in una lettura orientata alla governance: un supporto pratico per aziende e amministratori che devono comprendere cosa significhi, oggi, “essere responsabili” della resilienza digitale.
Il messaggio è chiaro: la cybersicurezza diventa una priorità di direzione, e gli organi apicali non possono più limitarla a un tema delegato all’IT.