Responsabilità personale dell'organo di gestione ai sensi di NIS 2
L'articolo 20 della direttiva NIS 2 assegna tre doveri all'organo di gestione: approvare le misure di gestione dei rischi di cybersicurezza, vigilare sulla loro attuazione e sottoporsi a formazione. Il diritto societario nazionale trasforma la violazione di tali doveri in una pretesa personale contro il singolo.
Cosa dice davvero l'articolo 20
L'articolo 20 della direttiva (UE) 2022/2555 pone il dovere di cybersicurezza in capo all'organo di gestione di ogni soggetto essenziale e importante. L'organo di gestione deve approvare le misure di gestione dei rischi richieste dall'articolo 21, deve vigilare sulla loro attuazione e può essere ritenuto responsabile per le violazioni dell'articolo 21 da parte del soggetto.
L'articolo 20(2) aggiunge un obbligo distinto: i membri dell'organo di gestione devono seguire una formazione per acquisire conoscenze sufficienti a individuare i rischi e a valutare le prassi di gestione dei rischi di cybersicurezza. La direttiva incoraggia inoltre una formazione analoga per i dipendenti.
Si tratta di doveri della persona fisica, non della società. NIS 2 non crea di per sé un'azione privata contro l'amministratore, ma innalza lo standard di condotta rispetto al quale il diritto societario nazionale misura il comportamento dell'amministratore. In Germania, tale standard è la Sorgfaltspflicht di cui al §43 GmbHG e al §93 AktG.
Direttiva UE
Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article.
Articolo 20(1) NIS 2 (Direttiva (UE) 2022/2555). Il dovere è assegnato direttamente all'organo di gestione, non alla società come persona giuridica distinta.
Regolamento di esecuzione UE
Essential and important entities shall establish, apply, and maintain an appropriate cybersecurity risk-management framework setting out the policies, processes, procedures, and roles relevant to the management of cybersecurity risks.
Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato sezione 1. Il regolamento vincola la ristretta categoria di fornitori di infrastrutture digitali e di servizi digitali elencati nell'articolo 1; per tutti gli altri settori è un parametro di qualità, non lo standard vincolante.
Recepimento nazionale
Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen die von diesen Einrichtungen zur Einhaltung ihrer Pflichten nach §30 zu ergreifenden Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen.
§38(1) BSIG (come formulato nel NIS2UmsuCG, la legge tedesca di attuazione di NIS 2). Il §38(3) impone all'organo di gestione di sottoporsi a formazione periodica. L'aggancio della responsabilità personale risiede nel diritto societario generale richiamato dal §38, non nel §38 stesso.
Approvare, vigilare, formarsi
L'articolo 20(1) impone all'organo di gestione di approvare le misure dell'articolo 21 e di vigilare sull'attuazione. L'articolo 20(2) impone la formazione. Entrambi i doveri si attaccano al singolo membro dell'organo di gestione.
Recepimento tedesco
Il §38 BSIG ripete il dovere di approvazione, vigilanza e formazione nel diritto tedesco. Il §38 non indica di per sé un importo di danni; definisce lo standard di condotta. Le sanzioni finanziarie risiedono nel §65 BSIG e colpiscono il soggetto, non l'amministratore.
La Sorgfaltspflicht come ponte verso la responsabilità
Il §43 GmbHG impone al Geschäftsführer di applicare la diligenza di un imprenditore prudente, e il §43(2) lo rende responsabile in solido verso la società per i danni causati da una violazione del dovere. Il §93 AktG fissa lo standard equivalente per il Vorstand di una Aktiengesellschaft. La mancata esecuzione del dovere dell'articolo 20 diventa prova della violazione della Sorgfaltspflicht.
La responsabilità personale corre verso la società, non verso i terzi
Le pretese del §43 GmbHG e del §93 AktG sono pretese della società contro il proprio amministratore. Diventano operative quando l'organo di vigilanza, i soci, un curatore fallimentare o una dirigenza subentrante decidono di farle valere. NIS 2 non crea una pretesa diretta dei regolatori o dei terzi lesi contro il singolo; crea la violazione sottostante.
La Sorgfaltspflicht si misura rispetto alla prassi di settore
I tribunali tedeschi valutano la Sorgfaltspflicht rispetto a ciò che avrebbe fatto un imprenditore prudente nello stesso ruolo e settore. NIS 2 più il regolamento di esecuzione definiscono ora parte di tale parametro per la cybersicurezza. Un organo di gestione che ignora le misure dell'articolo 21 va contro uno standard che ora è scritto nella legge.
Orientamenti del BSI
Il Bundesamt für Sicherheit in der Informationstechnik (BSI) inquadra il §38 BSIG come un dovere di gestione non delegabile. La Handreichung zur Geschäftsleitungs-Schulung (aprile 2026, v1.0) è un contributo di ricerca, non un programma di studi vincolante; descrive però i contenuti sostanziali che il BSI si aspetta che l'organo di gestione conosca.
Giurisprudenza tedesca di diritto societario
Il Bundesgerichtshof ha da tempo statuito, ai sensi del §43 GmbHG, che un Geschäftsführer deve organizzare la società in modo che i doveri di legge siano effettivamente adempiuti, anche istituendo linee di segnalazione e vigilanza. NIS 2 specifica in dettaglio uno di tali doveri di legge.
ENISA Technical Implementation Guidance
L'Agenzia dell'Unione europea per la cibersicurezza (ENISA) pubblica la Technical Implementation Guidance per le misure dell'articolo 21 NIS 2 e le mappa su ISO 27001, NIST CSF 2.0, ETSI 319 401 e CEN/TS 18026. Gli orientamenti sono non vincolanti ma sono il testo di riferimento che auditor e tribunali trattano come stato dell'arte.
Abbiamo delegato la cybersicurezza al CISO, quindi l'organo di gestione è scarico.
L'articolo 20(1) pone il dovere di approvazione e vigilanza in capo all'organo di gestione stesso. L'esecuzione operativa può essere delegata, ma i doveri di approvare le misure e di vigilare sull'attuazione no. La giurisprudenza sul §43 GmbHG tratta il fallimento organizzativo come una violazione primaria del Geschäftsführer, indipendentemente da chi sia stato incaricato sul piano operativo.
Se un Geschäftsführer non è tecnico, il dovere non può applicarsi a lui personalmente.
L'articolo 20(2) impone ai membri dell'organo di gestione di sottoporsi a una formazione che dia loro conoscenze sufficienti a valutare le prassi di gestione dei rischi di cybersicurezza. La mancanza di competenza è esattamente ciò a cui l'articolo 20(2) risponde; non è una difesa contro il §43 GmbHG.
L'assicurazione D&O copre qualsiasi responsabilità NIS 2.
Le polizze D&O rispondono di norma alle pretese della società contro l'amministratore ai sensi del §43 GmbHG o del §93 AktG, ed è lì che ricade la violazione dell'articolo 20. Le polizze escludono regolarmente le sanzioni regolamentari (ad es. le sanzioni a livello di soggetto del §65 BSIG), gli atti dolosi e le violazioni consapevoli. Le esclusioni, le franchigie e i presupposti di copertura sono specifici della polizza e qui sono descritti, non giudicati a priori.
In pratica il dovere dell'articolo 20 produce tre documenti. Un'approvazione scritta delle misure di gestione dei rischi dell'articolo 21 da parte dell'organo di gestione. Un registro di vigilanza che mostri che l'organo di gestione ha ricevuto aggiornamenti di stato e ha reagito. Un registro di formazione per ciascun membro dell'organo di gestione.
Auditor, assicuratori e, in uno scenario sfavorevole, una dirigenza subentrante o un curatore fallimentare cercheranno questi tre documenti. La loro assenza è ciò che trasforma il dovere dell'articolo 20 in una pretesa ai sensi del §43 GmbHG.
La piattaforma modella il dovere dell'articolo 20 come categoria GOV nel registro degli obblighi NIS 2. L'approvazione delle misure di gestione dei rischi risiede in un requisito di sign-off assegnato all'organo di gestione. La vigilanza è l'audit trail attraverso i requisiti dell'articolo 21. La formazione è tracciata per ciascun membro con prova di completamento.
La questione sostanziale se un tribunale ravviserebbe una violazione della Sorgfaltspflicht in un dato caso è una questione per il consulente legale. La piattaforma produce la documentazione su cui la questione giuridica viene decisa.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 20 e Articolo 21. Fonte: EUR-Lex.
- Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato sezione 1. Fonte: EUR-Lex.
- BSI-Gesetz, §38 (dovere di governance degli organi di gestione) e §65 (sanzioni). Fonte: gesetze-im-internet.de.
- §43 GmbHG (Sorgfaltspflicht del Geschäftsführer). Fonte: gesetze-im-internet.de.
- §93 AktG (Sorgfaltspflicht del Vorstand). Fonte: gesetze-im-internet.de.
- BSI Handreichung zur Geschäftsleitungs-Schulung nach §38(3) BSIG, v1.0 (aprile 2026). Contributo di ricerca non vincolante. Fonte: bsi.bund.de.
- ENISA Technical Implementation Guidance per le misure di gestione dei rischi NIS 2. Fonte: enisa.europa.eu.