L’evoluzione del quadro normativo europeo in materia di cybersecurity sta producendo effetti profondi non solo sulle misure tecniche e organizzative richieste alle imprese, ma anche sulla funzione stessa della contrattualistica ICT. La Direttiva (UE) 2022/2555 (NIS2), come attuata in Italia dal D.Lgs. 4 settembre 2024, n. 138, non si limita infatti a introdurre nuovi obblighi di sicurezza, ma impone un cambiamento strutturale nel modo in cui le organizzazioni devono concepire e governare le proprie interdipendenze tecnologiche. In un ecosistema digitale caratterizzato da un’elevata esternalizzazione di servizi, infrastrutture e processi critici, il perimetro della sicurezza non coincide più con i confini organizzativi dell’impresa, ma si estende lungo l’intera catena di fornitura.In tale contesto, la contrattualistica ICT non può più essere interpretata come uno strumento accessorio o meramente difensivo, finalizzato a disciplinare rapporti commerciali o a trasferire il rischio su soggetti terzi. Al contrario, essa assume una funzione sempre più centrale nella costruzione dell’architettura di sicurezza dell’organizzazione, diventando il luogo in cui si definiscono, si formalizzano e – soprattutto – si rendono esigibili le misure di protezione dei sistemi e dei dati. La NIS2, attraverso l’enfasi posta sulla gestione del rischio e sulla sicurezza della supply chain, richiede infatti che il rapporto con i fornitori sia governato non solo in termini giuridici, ma anche in termini operativi e sostanziali.È proprio questa trasformazione a determinare una progressiva ridefinizione del ruolo delle clausole contrattuali, e in particolare di quelle a contenuto sanzionatorio. Se nel modello tradizionale la funzione principale del contratto era quella di allocare responsabilità e disciplinare le conseguenze dell’inadempimento, nel nuovo contesto regolatorio il contratto diventa uno strumento di governo attivo del rischio. In tale prospettiva, anche istituti apparentemente consolidati e “statici”, come la clausola penale, sono chiamati a svolgere una funzione diversa e più sofisticata, contribuendo non solo a reagire all’inadempimento, ma a prevenirlo, incidendo direttamente sui comportamenti dei fornitori e sulla loro capacità di rispettare gli standard di sicurezza richiesti.Indice degli argomenti