Cyber Risk e responsabilità legale: quali rischi per i CDA?

Il contesto è cambiato in modo radicale: il rischio cyber è diventato un rischio d’impresa reale e potenzialmente elevato, con impatti diretti sul business, sulla reputazione, sulla continuità operativa e, soprattutto, sulla responsabilità personale degli amministratori.
Non stiamo più parlando di “attacchi hacker” da contenere, ma di eventi sistemici in grado di bloccare impianti produttivi, esporre dati sensibili, generare danni economici e scatenare conseguenze legali rilevanti.


Ed è per questo che sempre più spesso la domanda non è più “quanto siamo protetti?” ma piuttosto “chi risponde se qualcosa va storto?”

Governare il rischio cyber è oggi una responsabilità del board

L’errore più diffuso, anche nelle organizzazioni strutturate, è pensare che la sicurezza informatica sia “compito dell’IT” e che basti approvare un budget o nominare un CISO per assolvere a ogni dovere.
Ma questo approccio è ormai superato.
Le autorità di regolazione, i legislatori e persino i tribunali stanno chiarendo un punto essenziale: la responsabilità ultima del governo del rischio cyber ricade sul CDA.
Non si tratta di sostituirsi ai tecnici, ma di chiedere le informazioni giuste, porre le domande corrette, comprendere i dati essenziali e vigilare sulle decisioni. Il tutto con un livello di coinvolgimento che sia dimostrabile e coerente con la dimensione e la criticità dell’organizzazione.

Un contesto normativo sempre più esigente e chiaro

A supportare e rafforzare questo principio ci sono oggi normative esplicite che identificano chiaramente il board tra i soggetti responsabili della sicurezza.

Vediamone le due normative attualmente più rilevanti:

NIS2 (EU Directive 2022/2555)
Estende l’obbligo di adozione di misure di sicurezza non solo agli operatori critici, ma a un vasto numero di settori strategici.
L’elemento nuovo e centrale è che l’alta dirigenza (incluso il CDA) deve supervisionare direttamente le misure adottate e la loro efficacia, assumendosene la responsabilità legale in caso di negligenza.

DORA (Digital Operational Resilience Act)
Pensata per il settore finanziario e assicurativo, impone che la resilienza digitale venga trattata a livello strategico, e che il board approvi, monitori e riesamini periodicamente le politiche di gestione del rischio ICT

Dal rischio operativo al rischio di responsabilità personale

La conseguenza di questo scenario è molto concreta: in caso di grave incidente cyber, oggi non si guarda più solo al CISO o al responsabile IT, ma al livello di vigilanza esercitato dal board e se emerge una mancanza di attenzione, supervisione o documentazione, la responsabilità può ricadere direttamente sugli amministratori.

Questo vale in sede amministrativa, civile e, in alcuni casi, anche penale.
In parallelo, anche il rischio reputazionale personale sta aumentando, soprattutto in ambiti regolati o in aziende quotate, dove la pressione di media, azionisti e autorità di vigilanza è elevata.

Governance e cultura del rischio: la risposta non è tecnica

In questo contesto, la vera sfida non è “installare più sicurezza”, ma rendere il rischio cyber leggibile, comprensibile e governabile anche dal board.
Serve un cambio culturale, che porti la sicurezza informatica nel radar della strategia d’impresa, con strumenti adeguati a far dialogare mondi diversi: tecnico, legale, gestionale.

• Integrare il rischio cyber nel framework di Enterprise Risk Management;
• Ricevere report non tecnici, ma orientati al business: impatti, esposizione, priorità;
• Valutare la readiness normativa dell’organizzazione rispetto a NIS2, DORA, GDPR;
• Chiedere indicatori oggettivi, aggiornati e facilmente interpretabili;
• Pretendere una governance chiara su chi fa cosa, con quali strumenti e con quale accountability.

Nessuno pretende che i membri del consiglio di amministrazione diventino esperti di cybersecurity.
Ma oggi non è più accettabile che il rischio informatico venga percepito come una questione tecnica da delegare a occhi chiusi.
Le minacce digitali sono diventate parte integrante dei rischi aziendali perché possono avere impatti reali, misurabili, e in molti casi irreversibili.
Per questo motivo, il ruolo del board non è entrare nel dettaglio tecnico, ma garantire che l’organizzazione sia strutturata, consapevole e in grado di rispondere in modo efficace, documentato e proporzionato.
E in un mondo in cui il digitale è la base dell’impresa, il rischio cyber è, a tutti gli effetti, rischio d’impresa.

Abbiamo realizzato un questionario pensato per chi si occupa concretamente di cyber risk per aiutarti a valutare il livello di preparazione della tua organizzazione rispetto alla Direttiva NIS2.

👉 Scopri subito il tuo livello di conformità.