La sicurezza delle informazioni è diventata una priorità imprescindibile per le organizzazioni che operano in un mondo sempre più interconnesso e vulnerabile. Il D.lgs. 138/2024 che ha recepito la Direttiva NIS 2, rappresenta una risposta normativa volta a rafforzare la resilienza delle infrastrutture critiche e dei sistemi informativi e di rete.
Uno dei requisiti principali di questo decreto è l’approvazione, da parte degli organi di amministrazione e direttivi, di un piano di implementazione delle misure di sicurezza.
Ma cosa prevede realmente questo piano? Quali sono i contenuti essenziali? E come si concilia questo strumento con le risorse limitate a disposizione delle organizzazioni?
Indice degli argomenti
Piano implementativo del decreto NIS: contenuti essenziali
Secondo quanto previsto dall’articolo 23, comma 1, lettera a) del D.lgs. 138/2024, il piano di implementazione delle misure di sicurezza deve essere approvato formalmente dagli organi di governance dell’organizzazione.
Ma la sua funzione va ben oltre un semplice adempimento burocratico: il piano rappresenta il cuore pulsante della strategia di sicurezza di ogni soggetto essenziale o importante. Tra i contenuti di un buon piano di implementazione troviamo:
- le misure di sicurezza: suddivise per priorità, con indicazione di tempi e responsabilità specifiche;
- i budget assegnati: fondamentali per assicurare che ogni misura sia economicamente sostenibile e compatibile con le risorse disponibili;
- le giustificazioni delle priorità: ogni misura deve essere motivata in base al rischio che è volta a mitigare e alle risorse allocate, bilanciando le necessità di sicurezza con i limiti economici dell’organizzazione.
È interessante osservare che, oltre alle misure tecniche, il decreto pone un forte accento sull’importanza della formazione. In particolare, l’articolo 23, comma 2, prevede l’obbligo di attivare percorsi formativi dedicati sia agli organi di governance sia ai collaboratori, con l’obiettivo di garantire una piena comprensione delle minacce e dei relativi protocolli di risposta.
Stesura e aggiornamento del piano
La stesura iniziale del piano deve essere preceduta da una rigorosa fase di Gap Analysis, svolta in conformità al “framework di sicurezza” stabilito dall’articolo 24 del decreto. Questo framework contiene la tassonomia delle misure di gestione dei rischi di cyber sicurezza che devono essere adottate. Al termine di questa fase, le misure identificate devono essere prontamente implementate e monitorate, assicurando una gestione continua e proattiva dei rischi.
Il piano non può essere considerato un documento statico. Al contrario è necessaria una revisione periodica, ad intervalli regolari o in occasione di eventi significativi che impattano la sicurezza delle informazioni, come incidenti di sicurezza o cambiamenti organizzativi.
Questo processo di revisione è fondamentale per garantire che le misure implementate siano sempre allineate con le evoluzioni delle minacce tecnologiche.
Ruolo del CISO nel piano di implementazione
Un attore chiave nella stesura e nell’aggiornamento del piano è il Chief Information Security Officer (CISO), figura centrale per garantire che le scelte strategiche dell’organizzazione in materia di sicurezza siano coerenti con le normative e le migliori pratiche.
Il CISO deve non solo coordinare l’implementazione delle misure, ma anche vigilare affinché ogni aggiornamento del piano risponda alle nuove sfide poste dall’evoluzione tecnologica e dalle minacce emergenti.
La revisione: un processo continuo e dinamico
Il piano deve essere sottoposto a revisione periodica, per tenere conto delle modifiche sia interne (nuove tecnologie, cambiamenti organizzativi) sia esterne (evoluzione delle minacce). Questo implica un processo continuo, poiché le minacce tecnologiche sono in costante evoluzione, e le misure di contrasto devono adattarsi di conseguenza.
La revisione è necessaria anche in caso di eventi relativi alla sicurezza delle informazioni che abbiano evidenziato vulnerabilità nei sistemi, così come in presenza di modifiche organizzative significative.
Infine, la revisione del piano include:
- lo stato di avanzamento delle misure adottate;
- le motivazioni alla base di eventuali ritardi o modifiche rispetto a quanto pianificato;
- la versione aggiornata del documento.
Di seguito riportiamo un esempio di approvazione di un verbale del CDA di un’organizzazione che rientra del perimetro di applicazione della NIS 2.
VERBALE DEL CONSIGLIO DI AMMINISTRAZIONE DI [NOME AZIENDA]
In data 21 novembre 2024, alle ore [ora], presso la sede legale di [indirizzo], si è riunito il Consiglio di Amministrazione di [Nome Organizzazione], regolarmente convocato con comunicazione inviata ai consiglieri in data [data convocazione], per deliberare sugli argomenti all’ordine del giorno.
Presenti:
- [Nome Presidente], Presidente del Consiglio di Amministrazione;
- [Nome Consiglieri], Consiglieri di Amministrazione;
- [Nome CISO], Chief Information Security Officer (CISO).
Assenti giustificati:
- [Nome eventuali assenti]
Constatata la presenza del numero legale, il Presidente dichiara aperta la seduta e passa alla trattazione dell’ordine del giorno.
Punto 1: Approvazione del piano di implementazione delle misure di sicurezza ai sensi dell’articolo 23 del D.lgs. 138/2024
Il Chief Information Security Officer (CISO), Sig./Sig.ra [Nome], illustra ai membri del Consiglio il piano di implementazione delle misure di sicurezza redatto in ottemperanza a quanto previsto dall’articolo 23 del D.lgs. 138/2024. Tale piano, destinato a garantire l’adeguamento dell’organizzazione ai requisiti normativi introdotti dal suddetto decreto, si articola nelle seguenti componenti fondamentali:
- tempi di esecuzione: ogni misura prevede precise tempistiche di attuazione;
- funzione responsabile: vengono identificate le strutture organizzative e le figure professionali incaricate della realizzazione delle singole misure;
- budget: per le misure a breve-medio termine è stata effettuata una stima dei costi necessari.
Il Consiglio, dopo ampia discussione, esamina il piano proposto, sottolineando l’importanza di garantire un costante monitoraggio dell’efficacia delle misure adottate.
Il Consiglio di Amministrazione richiede al CISO di apportare alcune modifiche al piano, in particolare relativamente all’adeguamento delle tempistiche per la formazione del personale e alla stima più dettagliata dei costi previsti per le singole misure.
Punto 2: Formazione del Consiglio di Amministrazione e della Direzione
In ottemperanza a quanto disposto dall’articolo 23, comma 2, lettera a) del D.lgs. 138/2024, è stata programmata una sessione formativa “in presenza” destinata ai membri del Consiglio di Amministrazione, alla Direzione e ai primi riporti direzionali, che si terrà in data 6 dicembre 2024. L’obiettivo di questa sessione è fornire un’adeguata conoscenza delle principali tematiche di cybersecurity e degli obblighi normativi a cui l’organizzazione è soggetta.
Punto 3: Formazione del personale aziendale
Il Consiglio approva inoltre l’avvio, entro il 20 dicembre 2024, di un piano di formazione destinato a tutto il personale aziendale in materia di cybersecurity, come richiesto dall’articolo 23, comma 2, lettera b) del D.lgs. 138/2024. Tale piano, la cui conclusione è prevista entro marzo 2025, sarà gestito dalla Direzione Risorse Umane in collaborazione con il CISO. Il Consiglio approva lo stanziamento di un budget complessivo pari a [importo in euro] per la realizzazione delle attività formative.
Conclusioni e delibera finale
Il Consiglio di Amministrazione, dopo aver discusso i punti all’ordine del giorno, delibera all’unanimità di:
- approvare il piano di implementazione delle misure di sicurezza, subordinatamente all’integrazione delle modifiche richieste, con delega al CISO per l’adeguamento del piano secondo le indicazioni fornite;
- programmare la sessione formativa per il Consiglio di Amministrazione e la Direzione in data 6 dicembre 2024;
- avviare il piano di formazione per il personale entro il 20 dicembre 2024 e di approvare il relativo budget.
La seduta si conclude alle ore [ora], e il presente verbale viene letto, approvato e sottoscritto da tutti i presenti.
Il Presidente del Consiglio di Amministrazione
Conclusioni
Abbiamo cercato di evidenziare come il piano di implementazione del D.lgs. 138/2024 è molto più di un adempimento normativo: è un documento operativo, da aggiornare e manutenere costantemente, che risulta essenziale per garantire che le organizzazioni siano pronte a rispondere efficacemente alle sfide poste da un ambiente digitale in continua evoluzione.
Attraverso un approccio dinamico e una revisione periodica, questo piano permette alle organizzazioni di adattarsi proattivamente alle nuove minacce, mantenendo al contempo un equilibrio tra sicurezza e sostenibilità economica.
