06 Nov NTPlus Diritto: NIS e cybersecurity, nuova ipotesi di responsabilità oggettiva dell’organo amministrativo
La Direttiva (UE) 2022/2555, nota come Direttiva NIS2, rappresenta il principale intervento normativo europeo volto a rafforzare la cybersicurezza di enti pubblici e privati che operano in settori essenziali per il funzionamento della società e dell’economia.
In Italia, il suo recepimento è avvenuto con il Decreto Legislativo n. 138/2024, che introduce una responsabilità oggettiva in capo agli organi di amministrazione e direzione dei soggetti NIS.
La definizione di “organi direttivi” ha inizialmente generato incertezze sull’individuazione delle persone fisiche effettivamente responsabili all’interno di enti e società. Le FAQ pubblicate dall’Autorità nazionale per la cybersicurezza (ACN) fanno finalmente chiarezza: i soggetti responsabili da indicare sono i componenti del Consiglio di amministrazione o di strutture equivalenti, escludendo altre figure apicali subordinate.
Una precisazione coerente con la nozione di “organo” che il diritto attribuisce a chi detiene i poteri di amministrazione e rappresentanza dell’ente.
Stabilito il perimetro sulle persone fisiche responsabili, nell’approfondimento a firma del nostro founding partner Luca Tufarelli e della dott.ssa Gaia Leoncini, pubblicato su Norme&Tributi Plus de Il Sole 24 Ore, vengono analizzate le norme introdotte dal Decreto con riferimento agli “organi amministrativi”, che ai fini dello scritto coincidono con quelli “direttivi”.
Per leggere l’articolo integrale: clicca qui.
