La sicurezza informatica, oggi, ha un volto, un ruolo e una firma. L’ACN ribadisce con assoluta chiarezza che la cyber sicurezza non è più materia tecnica delegabile.
L’articolo 2 della Determinazione ACN del 14 aprile 2025, implementando le prescrizioni dell’art. 23 del D.lgs.138/2024, afferma con nettezza un principio rivoluzionario: le misure di sicurezza di base sono a carico degli organi di amministrazione e direttivi.
Quindi, il CdA e il C-Level devono assumere il controllo operativo e la responsabilità formale. La sicurezza informatica diventa così un dovere giuridico personale, non delegabile, che definisce una nuova architettura della governance digitale: chi guida, risponde in prima persona.
Indice degli argomenti
Il contesto normativo: la cornice della responsabilità
Il D.lgs. 138/2024 all’art. 24 impone ai soggetti essenziali e importanti l’obbligo di adottare misure di gestione dei rischi di cyber sicurezza. Fin qui, nulla di sorprendente.
Ma è l’art. 2, comma 2 della Determinazione del Direttore generale dell’ACN del 14 aprile 2025 a introdurre la svolta più radicale: le misure di sicurezza di base non sono a carico dell’organizzazione nel suo complesso, ma sono formalmente poste in capo agli organi di amministrazione e direttivi.
È una precisazione che pesa come una pietra.
Non si tratta solo di un adempimento tecnico: è un messaggio normativo potente, che ribadisce e rafforza il principio già sancito all’art. 23 del decreto NIS. La responsabilità della sicurezza informatica è personale, concreta, documentabile. Risponde chi governa l’organizzazione.
Il CdA e il C-Level non possono più rifugiarsi dietro la struttura: sono loro, in prima persona, a dover garantire che l’organizzazione sia in grado di prevenire, gestire e assorbire il rischio cibernetico.
Il legislatore e l’ACN mandano un segnale chiaro: la leadership digitale non è una funzione accessoria, è una responsabilità giuridica che ha nome, cognome e firma.
La Determinazione ACN del 14 aprile 2025: il baricentro sale
L’articolo 2 della Determinazione chiarisce che le misure di sicurezza di base, previste negli allegati 1 (per i soggetti importanti) e 2 (per i soggetti essenziali), sono a carico diretto degli organi di amministrazione e direttivi. Quindi i vertici dell’organizzazione, in applicazione di quanto prescritto dall’art. 23 del D.lgs.138/2024, sono chiamati a:
- approvare le modalità di gestione dei rischi;
- garantirne l’implementazione;
- formarsi e promuovere la formazione periodica;
- assumersi la responsabilità in caso di violazioni.
La misura cardine: GV.RR-02 e l’organizzazione della responsabilità
Tra le misure di sicurezza di base imposte dagli allegati 1 e 2 della Determinazione, spicca il requisito GV.RR-02: “I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cyber security sono stabiliti, comunicati, compresi e applicati.
È definita, approvata dagli organi di amministrazione e direttivi, e resa nota alle articolazioni competenti del soggetto NIS, l’organizzazione per la sicurezza informatica e ne sono stabiliti ruoli e responsabilità”.
Il vertice non può più delegare in bianco. Deve disegnare con chiarezza il sistema di responsabilità, renderlo comprensibile e farlo vivere all’interno dell’organizzazione.
La sicurezza diventa architettura organizzativa, governance visibile, impegno documentato.
Questo comporta la piena presa coscienza degli organi direttivi come del resto avevamo già individuato proponendo due modelli di verbali del CDA per realizzare l’accountability “oltre il perimetro” e per approvare – dopo aver completato la registrazione sulla piattaforma ACN – il percorso operativo necessario a tradurre gli obblighi di legge in misure cyber concrete e verificabili.
Risulta in linea con queste argomentazioni, anche il requisito GV.RR-050 “I ruoli, le responsabilità e i correlati poteri inerenti al trattamento e la protezione dei dati personali sono stabiliti, comunicati, compresi e applicati.”
Il nuovo ruolo di CdA e C-Level: da garanti a responsabili
L’articolo 23 del decreto NIS è inequivocabile. Il CdA e gli organi direttivi:
- sono i titolari dell’approvazione delle misure;
- devono sovrintendere all’attuazione;
- sono formati e devono promuovere una cultura della sicurezza in ambito organizzativo;
- rispondono anche personalmente in caso di inadempienza.
Questa configurazione normativa abbatte la zona grigia della delega operativa. La conoscenza e la vigilanza diventano obblighi non eludibili.
Implicazioni operative: come prepararsi alla responsabilità
Per affrontare questo cambiamento servono una mappatura dettagliata dei ruoli e dei poteri (GV.RR-02) e un modello di gestione del rischio formalmente approvato. Inoltre sono necessarie evidenze documentate delle decisioni assunte dal vertice e percorsi di formazione mirati e ricorrenti.
La compliance non è solo tecnica: diventa cultura del rischio.
Verso una leadership digitale consapevole
Il nuovo scenario richiede un cambio di approccio e di mentalità: i vertici devono essere protagonisti, non spettatori.
Serve un modello di leadership che comprenda le minacce, valorizzi la resilienza digitale e trasformi la sicurezza in asset strategico.
Chi dirige oggi deve saper integrare il linguaggio della cybersecurity nella strategia d’impresa. La protezione digitale non è un compito in più: è il nuovo alfabeto della responsabilità.
La responsabilità ha un nome e un cognome
Il tempo delle deleghe cieche è finito. La Determinazione ACN del 14 aprile 2025 ci ricorda che il perimetro della responsabilità coincide con quello del potere decisionale.
Il CdA e il C-Level devono oggi rispondere di scelte concrete, approvate, formalizzate e operative. Chi guida, firma. Chi firma, risponde. E chi risponde, deve sapere.
La cyber sicurezza è diventata finalmente ciò che doveva essere: una responsabilità personale, strategica, ineludibile.
