Ultime novità: il Codice della Cybersicurezza è stato pubblicato, visita la pagina dedicata.

Delega di funzioni, organi direttivi e responsabilità nel decreto NIS: i chiarimenti dell’ACN e i punti (ancora) irrisolti

HomeDelega di funzioni, organi direttivi e responsabilità nel decreto NIS: i chiarimenti dell’ACN e i punti (ancora) irrisolti

Delega di funzioni, organi direttivi e responsabilità nel decreto NIS: i chiarimenti dell’ACN e i punti (ancora) irrisolti

da | Set 26, 2025 | Diritto d'Impresa

delega di funzioni NIS 2 e responsabilità del consiglio di amministrazione nella cybersicurezza secondo ACN

La delega di funzioni, nel diritto d’impresa, rappresenta da sempre un istituto controverso e foriero di numerose criticità applicative. Essa è stata oggetto di ampio dibattito sia in ambito penalistico, in relazione all’esonero del vertice societario da responsabilità per omesso impedimento di reati commessi dai delegati, sia in ambito civilistico, con riferimento alla responsabilità per inadempimenti contrattuali o danni arrecati alla società, sia, infine, nell’ambito del diritto amministrativo, in relazione ai profili di responsabilità contabile e alla gestione delle risorse.

In tale cornice giuridica, la disciplina in materia di cybersicurezza introdotta dal decreto NIS 2 ripropone, con nuova intensità, il tema della delega, sollevando interrogativi sul grado di responsabilità degli organi amministrativi e direttivi e sui limiti delle attività effettivamente delegabili.

L’obiettivo del presente contributo è analizzare le disposizioni del decreto NIS 2, con particolare attenzione all’art. 23 del D. Lgs. 138/2024, e ai chiarimenti forniti dall’Agenzia per la Cybersicurezza Nazionale (ACN), al fine di comprendere chi siano i soggetti chiamati a rispondere degli obblighi di governance in materia di cybersicurezza e quali margini residuino per l’operatività della delega di funzioni.

La questione non è meramente tecnica, poiché dalle scelte interpretative discendono ricadute significative per la responsabilità dei vertici societari e per la stessa organizzazione dei sistemi di gestione della sicurezza informatica.

Organi amministrativi e direttivi nel decreto NIS 2

Il decreto NIS 2 individua con chiarezza gli organi responsabili della gestione della cybersicurezza all’interno delle organizzazioni classificate come soggetti essenziali o soggetti importanti. L’art. 23 del decreto stabilisce che gli organi di amministrazione e gli organi direttivi sono titolari di specifici obblighi, i quali vanno ben oltre la mera supervisione formale, imponendo un ruolo attivo nella definizione e nel controllo delle strategie di sicurezza informatica.

Ai sensi della Determinazione ACN n. 283727/2025, con la locuzione “organi di amministrazione” si fa riferimento principalmente al consiglio di amministrazione o ad organi ad esso assimilabili, dotati di potere di direzione e gestione; gli “organi direttivi”, invece, sono da intendersi quali strutture interne che partecipano, in base alla natura giuridica dell’ente, al governo dell’organizzazione e alla determinazione delle sue politiche.

Gli obblighi normativi si articolano in tre aree principali: in primo luogo, l’approvazione delle modalità di implementazione delle misure di gestione dei rischi; in secondo luogo, la sovrintendenza all’effettiva attuazione degli obblighi previsti dal decreto; infine, la responsabilità diretta per eventuali violazioni. A tali doveri si affianca un impegno specifico in materia di formazione, sia personale sia destinata ai dipendenti, affinché l’intera struttura aziendale acquisisca consapevolezza sui rischi informatici e sulle misure da adottare.

Invero ai sensi dell’art. 23 del D. Lgs. 138/2024:

«1. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:

  1. a) approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell’articolo 24;
  2. b) sovrintendono all’implementazione degli obblighi di cui al presente capo e di cui all’articolo 7;
  3. c) sono responsabili delle violazioni di cui al presente decreto.
  4. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
  5. a) sono tenuti a seguire una formazione in materia di sicurezza informatica;
  6. b) promuovono l’offerta periodica di una formazione coerente a quella di cui alla lettera a) ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.
  7. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche di cui agli articoli 25 e 26».

Ne risulta un quadro di responsabilità diretta e personale che segna un significativo avanzamento rispetto alla normativa previgente, poiché non consente agli organi direttivi di limitarsi a un ruolo meramente formale, ma li investe di un dovere sostanziale di vigilanza e di governo della cybersicurezza.

Punto di contatto e sostituto: ruolo e limiti di responsabilità

Accanto agli organi di amministrazione e direttivi, il decreto NIS 2 introduce la figura del punto di contatto e del suo sostituto, come disciplinati dalla Determinazione ACN n. 283727/2025. Tali soggetti hanno la funzione primaria di garantire la costante interlocuzione tra l’organizzazione e l’Autorità nazionale competente NIS, curando l’attuazione degli adempimenti previsti dal decreto e gestendo, anche tramite il Portale NIS, i flussi informativi inerenti agli aggiornamenti annuali e alle notifiche di incidenti di cybersicurezza.

È tuttavia fondamentale sottolineare come, ai sensi delle FAQ pubblicate dall’ACN (PDC.3 e seguenti), il punto di contatto non assuma una responsabilità propria in ordine agli obblighi imposti dal decreto, ma svolga una funzione di collegamento e di cura dell’attuazione.

In altri termini, egli non risponde delle violazioni, in quanto l’art. 23 del decreto NIS 2 attribuisce la responsabilità ultima e non delegabile agli organi di amministrazione e direttivi. Analoga posizione si rinviene per il sostituto del punto di contatto, il quale, pur essendo abilitato a svolgere le medesime attività operative e ad interloquire direttamente con l’Autorità, rimane un soggetto di supporto privo di autonoma responsabilità giuridica.

Questa distinzione appare di grande rilievo sistematico: il legislatore ha inteso concentrare la responsabilità strategica in capo ai vertici societari, evitando che figure tecniche o operative, pur essenziali per l’attuazione quotidiana delle misure di cybersicurezza, si trovino a rispondere di obblighi che richiedono invece decisioni di indirizzo e governo.

La delega di funzioni nel diritto d’impresa: quadro generale

La delega di funzioni rappresenta uno degli istituti più problematici del diritto d’impresa, poiché consente al vertice societario di trasferire ad altri soggetti determinati compiti gestionali e, in parte, le relative responsabilità. La sua disciplina non si rinviene in un’unica fonte normativa, ma emerge dall’elaborazione giurisprudenziale e dall’applicazione trasversale nei diversi rami dell’ordinamento.

In sede penalistica, ad esempio, la Corte di Cassazione ha più volte ribadito che la delega può costituire causa di esclusione della responsabilità del vertice qualora presenti requisiti rigorosi: deve essere conferita per iscritto, circoscrivere con precisione l’ambito di competenza, attribuire al delegato reali poteri decisionali e di spesa, e deve essere effettivamente accettata dal delegato stesso. In difetto di tali condizioni, la responsabilità penale per l’omesso impedimento di reati permane in capo al soggetto apicale, ai sensi dell’art. 40, comma 2, c.p.

In ambito civilistico, la delega di funzioni si inserisce nel sistema delle responsabilità degli amministratori delineato dagli artt. 2381 e 2392 c.c., operando come strumento di ripartizione interna degli obblighi di gestione. L’amministratore che abbia conferito correttamente una delega può sottrarsi a responsabilità per inadempimenti imputabili al delegato, salvo che abbia omesso di vigilare sul corretto esercizio delle funzioni trasferite.

Analogamente, nel diritto amministrativo e contabile, la giurisprudenza contabile ha riconosciuto che la delega, se formalizzata e rispettosa dei requisiti di concretezza ed effettività, può esonerare l’organo delegante da responsabilità per danni arrecati alla pubblica amministrazione dal delegato.

Ciò che emerge trasversalmente è un principio costante: la delega di funzioni non può mai riguardare le scelte di indirizzo strategico e l’obbligo generale di vigilanza, che restano in capo all’organo apicale. La delega, quindi, non opera come strumento di deresponsabilizzazione totale, ma come meccanismo di distribuzione funzionale che consente un’organizzazione più efficiente dell’impresa.

In questo quadro, la disciplina introdotta dal decreto NIS 2 si inserisce pone in linea con una scia consolidata, ribadendo la centralità degli organi amministrativi e direttivi nella governance della cybersicurezza, ma al tempo stesso aprendo spazi di riflessione sul possibile utilizzo della delega per le attività di attuazione operativa.

I chiarimenti dell’ACN sulla delega di funzioni nel decreto NIS 2

Il nodo della delega di funzioni in materia di cybersicurezza è stato affrontato dall’Agenzia per la Cybersicurezza Nazionale (ACN) nelle FAQ pubblicate nei mesi estivi del 2025, le quali costituiscono un primo tentativo di precisazione interpretativa dell’art. 23 del D. Lgs. 138/2024.

Nella FAQ ODA.8 l’Agenzia ha chiarito che «gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti possono delegare al proprio interno lo svolgimento delle attività finalizzate all’assolvimento degli obblighi di cui all’articolo 23, commi 1 e 2 del decreto NIS».

Tuttavia, lo stesso documento precisa che la delega incontra limiti invalicabili: «ferma restando in capo agli organi di amministrazione e agli organi direttivi […] la responsabilità ai sensi dell’articolo 23 del decreto NIS di (i) approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica […] (ii) sovrintendere alla loro implementazione […] (iii) essere responsabili delle violazioni […] (iv) seguire una formazione in materia di sicurezza informatica; (v) promuovere l’offerta periodica di formazione per i dipendenti coerente con quella seguita dagli organi di amministrazione e direttivi».

Questi obblighi, individuati dall’art. 23 del decreto NIS 2, assumono la natura di obblighi di indirizzo e pianificazione strategica e, come tali, non sono suscettibili di delega.

La successiva FAQ ODA.9 ribadisce infatti che «la responsabilità ex articolo 23 del decreto NIS discende per legge in capo agli organi di amministrazione e direttivi» e che le attribuzioni appena richiamate “non sono delegabili”. Diversamente, la delega può riguardare soltanto «lo svolgimento delle attività finalizzate all’attuazione dei predetti obblighi», vale a dire gli aspetti più operativi connessi all’implementazione delle misure di cybersicurezza, senza che ciò comporti un trasferimento della responsabilità in capo al delegato.

Ne deriva che l’ACN delinea un sistema duale: da un lato, compiti di alto livello strategico, che restano inderogabilmente in capo agli organi amministrativi e direttivi; dall’altro, attività esecutive o tecniche, che possono essere delegate ma senza che la delega produca un esonero totale di responsabilità.

Resta infatti fermo, come ricorda l’Agenzia, quanto disposto dagli artt. 2381 e 2392 c.c., i quali ribadiscono il dovere generale di vigilanza degli amministratori deleganti. In tal senso, l’istituto della delega di funzioni nel decreto NIS 2 si conforma al modello tradizionale del diritto societario, che ammette la distribuzione di compiti, ma mantiene intatta la responsabilità degli organi apicali per le scelte strategiche e per la sorveglianza sull’operato dei delegati.

Profili critici e questioni irrisolte sulla delega di funzioni in cybersicurezza

Nonostante lo sforzo chiarificatore compiuto dall’ACN attraverso le FAQ ODA.8 e ODA.9, il tema della delega di funzioni nel contesto del decreto NIS 2 continua a sollevare rilevanti incertezze interpretative.

In particolare, appare problematica la definizione del perimetro delle attività che, pur potendo essere formalmente delegate, rimangono nella sostanza indissolubilmente connesse alla responsabilità strategica degli organi amministrativi e direttivi.

L’art. 23 del D. Lgs. 138/2024 stabilisce che tali organi devono approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica e sovrintendere alla loro implementazione. Ora, se è vero che la prima attività integra un obbligo di alta direzione, non suscettibile di alcuna delega, assai più difficile risulta tracciare un confine netto fra il dovere di “sovrintendere” e le “attività finalizzate all’attuazione” che, secondo l’ACN, sembrerebbero poter essere delegate.

Il concetto di sovrintendere implica infatti un controllo costante sull’attività di attuazione, così che la linea di demarcazione tra vigilanza strategica e gestione operativa si rivela labile. In concreto, il rischio è che una parte delle funzioni delegate continui ad attrarre la responsabilità degli organi apicali, anche laddove l’errore o l’omissione siano imputabili al delegato. Ne deriva una potenziale “zona grigia” nella quale l’efficacia liberatoria della delega di funzioni rimane incerta, esponendo i vertici societari a responsabilità difficilmente delimitabili.

Questa ambiguità appare tanto più rilevante in un settore come quello della cybersicurezza, nel quale l’attuazione delle misure richiede un elevato grado di specializzazione tecnica, che mal si concilia con il carattere prevalentemente strategico e di governo proprio degli organi di amministrazione e direttivi.

L’assenza di un confine chiaro tra attività di indirizzo e attività di esecuzione rischia dunque di compromettere la funzione stessa della delega di funzioni, trasformandola in uno strumento di mera distribuzione operativa, privo di reale capacità di incidere sulla sfera delle responsabilità.

Valutiamo in concreto la soluzione più adeguata. Supporto legale esperto in materia di cybersicurezza

La disciplina della delega di funzioni in materia di cybersicurezza, come delineata dal decreto NIS 2 e chiarita dall’ACN, evidenzia la centralità degli organi di amministrazione e direttivi nel governo strategico della sicurezza informatica, pur consentendo forme di delega operativa.

Rimane tuttavia una significativa incertezza interpretativa sul confine tra attività delegabili e non delegabili, che rischia di generare criticità applicative. In un simile contesto, assume rilevanza per imprese e pubbliche amministrazioni dotarsi di strumenti organizzativi adeguati, in grado di coniugare efficienza operativa e allocare in modo giusto le responsabilità.

Il nostro Studio legale, sotto la guida dell’Avv. Luca D’Agostino, vanta una specifica expertise in materia di cybersicurezza ,e offre supporto qualificato nell’implementazione dei modelli organizzativi e delle strategie di gestione del rischio informatico.

Contattaci per un confronto!

Contatti