Nel panorama odierno, dove le minacce informatiche sono in costante evoluzione, la Direttiva NIS 2 impone un cambio di paradigma per i dirigenti apicali delle organizzazioni dei soggetti essenziali e importanti.
In particolare, sia la Direttiva che il decreto di recepimento assegnano ai vertici una responsabilità estesa su tre fronti:responsibility, accountability e liability.
Questo nuovo assetto normativo non solo amplifica il ruolo strategico del top management nella protezione dei dati aziendali, ma impone anche un maggiore rigore nella gestione e nella rendicontazione delle attività di sicurezza informatica.
Approfondiamo come queste tre dimensioni ridefiniscono il ruolo dei dirigenti e quali sono le loro implicazioni pratiche nella governance e nella mitigazione dei rischi informatici.
Indice degli argomenti
Leadership nella sicurezza informatica: sfide e opportunità della NIS 2
La Direttiva NIS 2 e il relativo decreto di recepimento non solo ridefiniscono il ruolo dei dirigenti apicali, ma introducono nuove sfide e opportunità per la governance aziendale e la gestione del rischio. Pensiamo a una nave che naviga in acque pericolose: il successo del viaggio dipende dalle decisioni e dalle azioni del capitano e del suo equipaggio.
Allo stesso modo, nel turbolento mare delle minacce informatiche, la leadership del C-Level è essenziale per proteggere le informazioni aziendali e garantire la continuità operativa.
La responsabilità del management non si limita più alla semplice adozione di misure di sicurezza. Con la Direttiva NIS 2, essa si estende alla necessità di rispondere del proprio operato e affrontare le conseguenze legali delle proprie azioni.
Come evidenziato nella tabella seguente, l’articolo 20, comma 1, della stessa Direttiva e l’art. 23 del D.lgs.138/2024 Ai vertici delle organizzazioni dei soggetti essenziali e importanti vengono ora attribuite tre dimensioni di responsabilità: responsibility, accountability e liability.
Tipo di responsabilità | Art.20 NIS 2 | Art. 23 D.lgs.138/2024 |
Gli Stati membri provvedono affinché gli organi di gestione dei soggetti essenziali e importanti: | Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti: | |
Responsibility | approvino le misure di gestione dei rischi di cibersicurezza adottate da tali soggetti per conformarsi all’articolo 21; | approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell’articolo 24; |
Accountability | sovraintendano alla sua attuazione e | sovrintendono all’implementazione degli obblighi di cui al presente capo e di cui all’articolo 7; |
Liability | possano essere ritenuti responsabili di violazione da parte dei soggetti di tale articolo. | sono responsabili delle violazioni di cui al presente decreto. |
Questi concetti si intrecciano per creare un framework di governance che richiede ai dirigenti di essere non solo custodi della sicurezza, ma anche leader proattivi e trasparenti.
D’altro canto, il termine manager deriva dall’antico francese “ménager”, che significa “amministrare una casa” o “prendersi cura”. Quest’ultimo è legato al termine latino “manu agere“, che significa letteralmente “condurre con la mano“.
Questo suggestivo concetto arricchisce l’idea di leadership richiesta oggi dalla NIS 2: i dirigenti devono esercitare un’azione di guida, con competenza e determinazione, attraverso le sfide della cyber security, “conducendo per mano” le loro organizzazioni verso un futuro sicuro e resiliente.
Responsibility: il compito proattivo del Vertice
Definizione e contesto
La “Responsibility”, in generale, si riferisce all’obbligo o dovere di una persona o un’entità di svolgere determinate funzioni o compiti. È un concetto proattivo che implica la presa di decisioni e l’implementazione di azioni per raggiungere determinati obiettivi.
Applicazione nella governance aziendale
In ambito aziendale, la responsibility comporta che gli organi di gestione – quindi i componenti della C-Suite – siano incaricati di definire e attuare politiche e procedure per garantire la sicurezza informatica. Questa responsabilità include:
- la valutazione dei rischi,
- la pianificazione delle misure di mitigazione;
- l’adozione di soluzioni tecnologiche e organizzative adeguate.
Documentazione delle procedure
Procedura per l’analisi dei rischi, regolamenti aziendali emanati dal vertice.
Documentazione delle registrazioni
Organigramma, descrizione di funzione/job description, deleghe e procure, Curriculum Vitae delle funzioni che ricoprono ruoli di rilievo nel contesto della NIS2 e registrazione della loro formazione, Piano di implementazione delle misure di gestione dei rischi per la sicurezza informatica.
Esempio: pianificazione ed effettuazione dell’analisi dei rischi
Le funzioni aziendali a vari livelli devono essere coinvolte, sotto la regia del vertice dell’organizzazione, nella:
- individuazione dei rischi;
- valutazione del loro potenziale impatto e probabilità del verificarsi;
- valutazione della accettazione o meno del rischio.
Esempio: definizione di politiche di sicurezza
Gli organi direttivi sono responsabili di rendere i propri collaboratori in grado di creare e mettere in atto politiche che delineano le misure di sicurezza informatica.
Esempio: implementazione di controlli di sicurezza
A vari livelli di responsabili devono assicurare che siano in atto controlli e protocolli per proteggere i dati e i sistemi aziendali, che questi controlli siano efficienti.
Accountability: la trasparenza del C-Level
Definizione e contesto
L’accountability implica che una persona o un’entità non solo ha la responsabilità di svolgere un compito, ma deve anche rispondere del proprio operato, “dandone conto” a un’autorità o a degli stakeholder. Questo concetto include la trasparenza e la verifica dell’operato.
Applicazione nella governance aziendale
In ambito aziendale, l’Accountability si manifesta nel monitoraggio continuo delle attività di sicurezza informatica e nella comunicazione dei risultati ai livelli appropriati di gestione e agli stakeholder esterni, come i regolatori o il pubblico.
Documentazione delle procedure
Vanno documentate:
- la procedura per il trattamento del rischio;
- le procedure per la messa in atto dei controlli/misure e per la verifica sistematica della loro applicazione ed efficacia (compresi quelli sulla catena di fornitura) come emergono dalla analisi dei rischi;
- la procedura per la gestione deli eventi sulla sicurezza delle informazioni;
- le procedure per la pianificazione e gestione degli audit e delle azioni conseguenti, ecc.
Documentazione delle registrazioni
Vanno, inoltre documentate le registrazioni riguardanti:
- l’analisi dei rischi;
- valutazione dello stato di presa in carico del piano di implementazione e suo aggiornamento;
- l’esito della applicazione dei controlli;
- i rapporti di audit;
- i rapporti di azioni correttive;
- gli impatti a seguito di un evento (reale o potenziale) sulla sicurezza delle informazioni;
- gli accordi con i fornitori;
- lo scadenzario;
- la formazione di tutti i collaboratori aziendali;
- i riporti delle varie funzioni aziendali al vertice dell’organizzazione, ecc.
Esempio: reportistica
Gli organi di amministrazione devono documentare e relazionare regolarmente sulle misure di sicurezza adottate e sulla loro efficacia in relazione al piano di implementazione.
Esempio: supervisione e revisione
Bisogna assicurare che vi siano meccanismi di supervisione per verificare che le politiche di sicurezza siano correttamente implementate e laddove si verificassero delle criticità bisogna mettere in atto azioni di remediation (correttive).
Liability: la responsabilità legale del C-Level
Definizione e contesto
La “Liability” si riferisce alla responsabilità legale che una persona o un’entità ha per le proprie azioni o omissioni. In caso di mancata conformità alle leggi o alle normative, l’entità può essere soggetta a sanzioni legali, risarcimenti danni o altre conseguenze giuridiche.
La Liability comporta, quindi, anche l’aderenza a requisiti contrattuali imposti dal cliente o da terze parti che hanno un interesse nell’organizzazione (come, ad esempio, la holding rispetto alle aziende facenti parte del gruppo).
Applicazione nella governance aziendale
La Liability comporta che gli organi di amministrazione e direttivi siano giuridicamente responsabili per la mancata adozione di misure di sicurezza informatica adeguate.
Questo può includere responsabilità civile, penale o amministrativa, a seconda della gravità della violazione e delle leggi applicabili (si veda a tal proposito quanto indicato nell’art. 38 “Sanzioni amministrative” del D.lgs. 138/2024).
Documentazione delle procedure
Occorre documentare:
- la procedura per la tenuta sotto controllo della documentazione di origine esterna sia sotto forma di normativa che di accordi contrattuali con i clienti e le terze parti;
- la procedura per la gestione delle verifiche da parte di soggetti terzi.
Documentazione delle registrazioni
Bisogna inoltre documentare:
- l’elenco della normativa in vigore;
- le registrazioni della presa in carico della normativa o la motivazione alla base della non applicabilità della stessa;
- le registrazioni di verifiche da parte di terze parti autorizzate.
Esempio: sanzioni legali
In caso di violazioni della sicurezza che comportino incidenti di sicurezza con impatto sull’organizzazione gli appartenenti al C-Level possono essere personalmente soggetti a sanzioni pecuniarie,
Esempio: risarcimento danni
Le vittime di una violazione della sicurezza possono intentare cause legali per ottenere risarcimenti per i danni subiti.
Il Modello Organizzativo NIS 2 (MONIS)
Il MONIS, come strumento di documentazione per un sistema di gestione basato sulla NIS 2, eventualmente integrato con altri sistemi come la ISO/IEC 27001:2022, deve dimostrare che le dimensioni della responsibility, dell’accountability e della liability sono adeguatamente considerate e valorizzate.
In sintesi, le motivazioni dell’importanza di tali fattori vanno ricercati nei sottonotati indubbi vantaggi che porta:
- la definizione e la condivisione chiara e trasparente dei ruoli e delle responsabilità;
- un aumento della velocità e capacità di risposta in caso di incidenti di sicurezza e nell’analisi post-incidente;
- l’identificazione di criteri per la pianificazione, programmazione ed esecuzione delle attività di audit;
- un maggiore presidio della conformità normativa e della presa in carico Incremento della capacità di un aumento della capacità di individuare dei rischi, valutarli e di mettere in atto misure di mitigazione e di innalzare il livello di consapevolezza nell’accettazione dei rischi residui;
- un aumento della fiducia dei dipendenti e delle altre parti interessate nelle capacità dell’organizzazione di far fronte a variazioni, anche repentine, del contesto interno ed esterno con un conseguente indiretto miglioramento della reputazione e dell’efficienza operativa.
Conclusioni
I concetti di responsibility, accountability e liability sono fondamentali per la governance aziendale e la gestione dei rischi informatici, e richiedono un impegno significativo da parte dei dirigenti.
La responsibility implica l’obbligo di definire e implementare misure di sicurezza; l’accountability richiede la trasparenza e la rendicontazione delle azioni intraprese; la liability comporta la responsabilità legale per eventuali violazioni.
Una comprensione approfondita e una corretta applicazione di questi concetti sono essenziali per garantire la conformità normativa e la protezione contro le minacce informatiche. Solo attraverso una gestione consapevole e integrata di questi aspetti, la dirigenza può affrontare con successo le sfide della sicurezza informatica nel contesto aziendale moderno.
NOTA BIBLIOGRAFICA
Per approfondimenti su questo tema è in corso di pubblicazione a cura di SIMONE Editore, il manuale “IL MODELLO ORGANIZZATIVO NIS2 (MONIS) – IL D.LGS.138/2024 IN PRATICA” degli autori Giuseppe Alverone e Monica Perego.