NIS2 e responsabilità del Board: sicurezza e governance lungo l’intera filiera produttiva

Il recepimento italiano della Direttiva NIS2, attraverso il Decreto Legislativo 138/2024 (noto come Decreto NIS), segna una svolta profonda nella gestione della sicurezza informatica d’impresa.
Per la prima volta, la legge non si rivolge soltanto ai responsabili tecnici, ma chiama in causa direttamente il Board e il Top Management, attribuendo loro obblighi di indirizzo, supervisione e controllo.

La Cybersecurity esce così dalle sale server e approda al tavolo del Board e del Top Management, diventando una componente strutturale della governance aziendale.

Non si tratta più di “gestire incidenti”, ma di governare il rischio digitale con la stessa attenzione dedicata ai rischi finanziari, legali o reputazionali.

Nel settore manifatturiero, questa responsabilità assume un peso ancora maggiore.
Gli allegati 1 e 2 del Decreto, in particolare il punto 1.3, chiariscono che gli obblighi di sicurezza si estendono ai sistemi industriali OT, agli asset critici e a tutti gli attori della supply chain. Ogni fornitore, integratore, subappaltatore o partner tecnologico diventa parte del perimetro di rischio e, di conseguenza, parte del perimetro di responsabilità del Board.

In un contesto in cui processi, tecnologie e fornitori sono sempre più interconnessi, la gestione del rischio assume una dimensione sistemica. Solo una leadership consapevole può orchestrare risorse, capitale umano e processi, costruendo un modello di sicurezza sostenibile e durevole.
Non si tratta quindi di aggiungere nuovi controlli, ma di integrare la sicurezza nelle logiche di governo dell’impresa, rendendola parte della pianificazione strategica, del budget e delle decisioni di investimento.

Nel manifatturiero, l’accelerazione verso l’Industria 4.0 e ora verso l’Industria 5.0, con l’adozione di tecnologie IoT, sistemi MES e sensori intelligenti, ha moltiplicato esponenzialmente i punti di contatto digitali lungo la catena del valore.

Ogni elemento della filiera è oggi al tempo stesso un’opportunità di efficienza e un potenziale vettore di rischio.

Per il Board, la sfida è chiara: integrare la cybersecurity nella governance aziendale, trasformando la resilienza digitale in un vantaggio competitivo. La differenza tra un approccio passivo e una gestione proattiva non riguarda più solo la conformità normativa: determina la capacità stessa dell’azienda di restare operativa, affidabile e attrattiva nel mercato.

Uno degli aspetti più dirompenti del Decreto NIS è la previsione di responsabilità personale per i membri del Board e del Top Management.

L’articolo 23, comma 1, lettera c, stabilisce che gli organi di amministrazione e direzione dei soggetti essenziali e importanti sono direttamente responsabili delle violazioni degli obblighi di sicurezza previsti dal decreto.

Questo principio introduce un cambio culturale significativo: la cybersecurity diventa materia di responsabilità individuale e non più soltanto organizzativa. Questa responsabilità non si limita al rischio di sanzioni: implica un impatto reputazionale diretto e misurabile. Un incidente significativo dovuto a carenze nella governance della cybersecurity può compromettere la credibilità dei membri del Board, minare la fiducia dei partner e danneggiare l’immagine aziendale. Nel contesto manifatturiero, dove le supply chain sono fortemente interconnesse, un singolo evento può generare effetti a catena su fornitori e clienti, amplificando conseguenze economiche e operative.

Ogni interruzione dei sistemi OT o dei processi produttivi non riguarda solo i dati o le infrastrutture: può causare fermi di produzione, ritardi logistici e problemi di qualità. Un Board che non ha predisposto misure strutturate di resilienza si espone non solo ai regolatori, ma all’intero ecosistema di filiera.

Assumere una prospettiva di responsabilità strategica e personale significa trasformare la compliance normativa in guida concreta alle decisioni operative: definire indicatori chiari, garantire processi di reporting tempestivi, investire in formazione e capitale umano, e adottare tecnologie di protezione diventa parte integrante della leadership del Board. In questo modo, la reputazione non è solo tutelata, ma diventa un asset competitivo, distintivo sul mercato e segnale di affidabilità per clienti, partner e investitori.

La Direttiva NIS2 e il D. Lgs. 138/2024 ridefiniscono il perimetro delle responsabilità in materia di cybersecurity, imponendo un modello di governance integrata in cui ogni funzione aziendale contribuisce alla gestione del rischio, pur mantenendo un presidio centrale di indirizzo e supervisione.
La sicurezza diventa così un ecosistema di competenze e ruoli interconnessi, dove il Board mantiene la regia strategica, ma il valore nasce dalla collaborazione tra funzioni.

Al vertice, il Consiglio di Amministrazione esercita il potere di indirizzo: approva la strategia di sicurezza, supervisiona il rischio e garantisce la tracciabilità delle decisioni. Il CEO traduce questa visione in priorità operative, esercitando leadership trasversale e allocando le risorse necessarie.

Il CISO è il principale architetto operativo del sistema di sicurezza: definisce e attua le misure di protezione, coordina le funzioni coinvolte e mantiene un flusso costante di reporting verso il vertice. In stretta sinergia opera il CIO, che assicura l’integrazione della sicurezza nei sistemi informativi e nei progetti di Digital Transformation, garantendo che ogni innovazione sia “secure by design”.

Il CFO ha un ruolo crescente nel presidio della sostenibilità economica dei piani di sicurezza, nella valutazione delle coperture assicurative e nel monitoraggio degli impatti finanziari degli incidenti.

Il DPO, invece, assicura la conformità al GDPR e la gestione strutturata dei data breach, lavorando in coordinamento con il CISO e il Risk Manager.

Quest’ultimo – il Risk Manager – integra la dimensione cyber nel sistema complessivo di Enterprise Risk Management (ERM), mentre il Compliance Officer coordina l’allineamento a normative e standard di settore come NIS2, ISO/IEC 27001 o IEC 62443.

Sul piano operativo, il COO assicura che la sicurezza sia effettivamente incorporata nei processi produttivi e nella supply chain, collaborando con l’OT Manager e con il Responsabile Procurement, che valuta e qualifica i fornitori anche in funzione del rischio cyber.

Il CTO garantisce che l’architettura tecnologica evolva secondo principi di sicurezza e innovazione responsabile, mentre il CMO gestisce il rischio reputazionale e tutela i dati di clienti e mercato in caso di incidente.

Il contributo delle Risorse Umane (HR Manager) è cruciale per la diffusione della cultura della sicurezza, la definizione delle policy di accesso e i programmi formativi di sensibilizzazione.
Infine, il Chief Sustainability Officer connette la sicurezza ai criteri ESG, assicurando che la resilienza digitale diventi parte integrante della sostenibilità aziendale.

Il Board e la Direzione Generale sono oggi tenuti a garantire che l’intero ecosistema aziendale, interno ed esterno, operi entro livelli di rischio accettabili. La gestione della cybersecurity lungo la supply chain non è più un ambito tecnico delegabile, ma un processo di governo formalizzato, approvato e supervisionato dal vertice, al pari delle funzioni finanziarie o di compliance.

Questo principio di accountability informata, sancito dal D. Lgs. 138/2024, richiede che il Consiglio eserciti un controllo effettivo e documentabile, assicurando che le decisioni in materia di sicurezza siano consapevoli, proporzionate e coerenti con il livello di esposizione aziendale. In concreto, il Consiglio deve assicurare che:

• i processi di procurement e vendor management includano valutazioni di rischio cyber, criteri di qualifica e clausole contrattuali adeguate a vincolare i fornitori al rispetto degli standard di sicurezza;
• i fornitori critici siano sottoposti a monitoraggio continuo e ad audit proporzionati al loro impatto sui processi produttivi;
• le funzioni IT, OT, compliance e risk management operino in un modello coordinato, capace di condividere informazioni e gestire il rischio in modo integrato;
• le decisioni di outsourcing siano supportate da analisi di impatto e scenari di continuità operativa, così da prevenire interruzioni o dipendenze eccessive da terze parti.

In altre parole, la supply chain deve essere trattata come un’estensione del perimetro aziendale, soggetta al controllo strategico del vertice. La sicurezza non termina ai confini dell’organizzazione, ma si propaga lungo la rete di partner, fornitori e integratori che compongono l’ecosistema produttivo.

Questo approccio riflette una visione moderna della governance: non basta essere conformi, occorre dimostrare controllo e consapevolezza. La capacità del Board di valutare la postura cyber dei propri fornitori è oggi parte integrante della gestione del rischio d’impresa. Un Consiglio che ignora la qualità della sicurezza di filiera non governa davvero il proprio rischio.

Al contrario, un approccio proattivo, basato su audit, rating di sicurezza, obblighi contrattuali e monitoraggio continuo, trasforma la conformità in leva competitiva. Dimostrare resilienza significa diventare un partner più affidabile, un fornitore preferenziale e un attore credibile in ecosistemi industriali sempre più selettivi.

Le catene produttive sono ormai interdipendenti e fragili: un singolo incidente presso un sub-fornitore può paralizzare la produzione, bloccare flussi logistici o compromettere dati industriali sensibili. In questo scenario, la gestione della supply chain diventa una misura tangibile della maturità direzionale.

Il Board che guida la sicurezza di filiera con metodo, integrando governance, tecnologie e cooperazione con i partner, non solo riduce il rischio, ma costruisce fiducia. E la fiducia, oggi, è la vera moneta della competitività industriale.

La NIS2 segna un punto di svolta nella maturità direzionale delle imprese: non introduce soltanto nuovi obblighi, ma impone una revisione profonda del modo in cui il Board interpreta il proprio ruolo.

La sicurezza informatica diventa oggi un linguaggio di governo, un’estensione naturale della strategia aziendale e un banco di prova della leadership. Il Consiglio di Amministrazione è chiamato a esercitare una regia consapevole della resilienza, coordinando persone, processi e tecnologie in un equilibrio dinamico tra continuità operativa, sostenibilità economica e responsabilità verso l’ecosistema di riferimento.

Nel contesto manifatturiero, dove la convergenza IT/OT e la dipendenza da reti di fornitura globali amplificano l’esposizione al rischio, la direzione aziendale non può più limitarsi a reagire. Deve anticipare, integrare, comunicare. La capacità del Board di leggere il rischio cyber come fattore di business e non come anomalia tecnica determina oggi la differenza tra aziende fragili e aziende resilienti.

La NIS2, in questa prospettiva, restituisce centralità al vertice: lo trasforma da destinatario di obblighi a costruttore di fiducia sistemica. Il valore non risiede nella mera conformità, ma nella capacità di tradurre le regole in governance, la governance in cultura e la cultura in vantaggio competitivo. È questa la nuova frontiera della leadership: un modello in cui il Board non si limita a proteggere il presente, ma orchestra la sicurezza come architettura del futuro.