NIS 2 e governo del rischio cyber: obblighi degli organi di amministrazione, assetti organizzativi, adempimenti pratici e piano di adeguamento.
Workshop organizzato da General Counsel Association - GCA - Milano 22 Giugno 2026.
L'Avv. Alessandro del Ninno ha ideato e tenuto un workshop executive specialistico dedicato all'attuazione della Direttiva NIS 2 e del decreto legislativo italiano di recepimento, rivolto a General Counsel, Legal Director, Compliance Officer, Segretari del Consiglio di Amministrazione, responsabili Risk, Governance e Cybersecurity. L'incontro ha affrontato la cybersicurezza non più come materia esclusivamente tecnica, ma come elemento essenziale della governance societaria e della gestione del rischio d'impresa, evidenziando il ruolo centrale degli organi di amministrazione nella definizione, supervisione e documentazione delle strategie di cyber resilience.
Attraverso un approccio fortemente operativo, il workshop ha illustrato come tradurre gli obblighi normativi introdotti dalla NIS 2, dal D.lgs. n. 138/2024 e dalle determinazioni dell'Agenzia per la Cybersicurezza Nazionale (ACN) in un modello di governance concretamente implementabile, fornendo alle imprese strumenti pratici per costruire un sistema di compliance strutturato, documentabile e verificabile. Particolare attenzione è stata dedicata alle responsabilità del Consiglio di Amministrazione, alla predisposizione delle delibere societarie, alla definizione degli assetti organizzativi, all'individuazione dei ruoli chiave previsti dalla disciplina NIS e alla costruzione di efficaci flussi di reporting tra funzioni aziendali e organi di vertice.
L'intervento ha approfondito le principali aree di adeguamento richieste dal nuovo quadro regolatorio, dalla definizione del perimetro NIS alla classificazione delle attività e dei servizi, dalla gestione del punto di contatto e dei referenti CSIRT fino agli obblighi di aggiornamento nei confronti dell'ACN. Ampio spazio è stato riservato alla governance della supply chain e dei fornitori rilevanti, analizzando i criteri di individuazione dei fornitori critici, le implicazioni contrattuali, le valutazioni di Business Impact Analysis (BIA), la gestione del rischio derivante da terze parti e le ricadute organizzative sui processi di procurement.
La parte conclusiva del workshop è stata dedicata alla progettazione del percorso di adeguamento alle misure di sicurezza previste dalla NIS 2, affrontando i profili relativi alla gestione degli incidenti cyber, alle procedure di incident reporting, alla predisposizione delle policy aziendali, ai controlli interni, agli audit e alla conservazione delle evidenze documentali richieste dalle autorità competenti. Attraverso numerosi esempi applicativi e casi pratici, il workshop ha fornito ai partecipanti una metodologia concreta per integrare la cybersecurity nei sistemi di corporate governance, trasformando gli obblighi regolatori in un modello di gestione del rischio capace di rafforzare la resilienza dell'organizzazione e la responsabilità degli organi di amministrazione
Programma del Workshop