Il DL 138/2024, che ha recepito nel nostro ordinamento la direttiva europea NIS 2, ha introdotto alcune prescrizioni volte alla prevenzione e gestione del rischio sicurezza informatica anche per le imprese.

La norma prevede una serie di obblighi a carico dell’organo amministrativo ponendo la sicurezza informatica quale parte necessaria della strategia ed organizzazione d’impresa.

In particolare il Decreto prevede all’art. 23 che gli Organi di amministrazione e direttivi devono approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica,  sovrintendono all'implementazione degli obblighi e rispondendo delle relative violazioni.

Tre sintetiche considerazioni:

• primo, tali  obblighi non possono più considerarsi semplici attività tecniche delegabili ad una singola funzione dell’impresa (ad esempio l’IT), ma devono ritenersi oggetto di necessaria valutazione e attuazione da parte del CdA. Quest’ultimo potrà conferire eventuale delega gestoria interna ad un AD e quindi conferire successivamente una delega di funzioni a dirigenti ma con specifiche caratteristiche di forma e di sostanza;
• secondo: le attività sopra indicate integrano obblighi di adeguati assetti di cui all’art. 2086 cc e pertanto il loro inadempimento potrebbe comportare anche una responsabilità personale degli amministratori;
• terzo: tra le modalità di implementazione delle misure di gestione del rischio vi rientra anche la revisione delle clausole contrattuali che direttamente o indirettamente possano avere un impatto sui sistemi informatici della società.

Per informazioni e chiarimenti scrivere a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.