La cyber sicurezza non è più una semplice questione tecnica, ma una responsabilità collettiva che influisce profondamente sulla stabilità delle infrastrutture critiche, sia pubbliche che private.
In questo contesto, l’Unione Europea e l’Italia hanno avviato un percorso di aggiornamento normativo per rispondere alle crescenti minacce cibernetiche. La Direttiva NIS 2 fornisce un quadro di riferimento a livello europeo, mentre il D.lgs. 138/2024 rappresenta l’adattamento italiano, calibrato sulle peculiarità nazionali.
Dal confronto tra i due provvedimenti emerge un elemento chiave: la governance.
Questo articolo si propone di analizzare le differenze tra i due corpus normativi, mettendo in luce le implicazioni operative e pratiche.
Perché, in fin dei conti, la sfida della cyber sicurezza si gioca sulla capacità di guidare il cambiamento e di assumersi le responsabilità in modo efficace.
Indice degli argomenti
Governance in evoluzione: dalla NIS 2 al decreto di recepimento
Nel panorama della cybersicurezza, la governance gioca un ruolo fondamentale per garantire un’efficace gestione del rischio e una pronta reattività agli incidenti. La Direttiva NIS 2 si concentra sugli “organi di gestione“, conferendo a tali entità la responsabilità di approvare le misure di gestione del rischio cibernetico e di sovrintendere alla loro implementazione.
Il D.lgs. 138/2024, invece, adotta una terminologia diversa, facendo riferimento agli “organi di amministrazione e direttivi“.
Introduce, così, un’ulteriore distinzione che riflette un approccio alla governance più strutturato.
Organi di gestione vs organi di amministrazione e direttivi
Dal punto di vista della scienza dell’organizzazione, gli organi di gestione sono visti come i decisori chiave che prendono decisioni strategiche, tra cui quello in ambito cibernetico e che sono incaricati di:
- garantire, in modo congruente, l’adozione di misure di sicurezza;
- sovrintendere alla loro attuazione attraverso l’approvazione di un budget.
Si tratta, in sostanza, dei membri del C-Level come ad esempio: il CEO (Chief Executive Officer), Amministratore delegato, responsabile delle decisioni strategiche dell’organizzazione, il CFO (Chief Financial Officer), Direttore finanziario, responsabile della definizione della strategia finanziaria dell’organizzazione, il CIO (Chief Information Officer), Direttore dei sistemi informativi, responsabile delle scelte tecnologiche e dei sistemi informatici.
Questa terminologia richiama una struttura organizzativa “flat”, caratterizzata da un unico livello decisionale e di riporto. Tale approccio, estremamente snello, pone l’accento sulla rapidità di reazione e sulla capacità di prendere decisioni strategiche e operative in modo efficace e tempestivo a livello organizzativo.
D’altra parte, il concetto di organi di amministrazione e direttivi, indicato dal D.lgs. 138/2024, introduce, invece, una struttura gerarchica più complessa e formalizzata.
Gli organi di amministrazione si occupano delle decisioni di alto livello, mentre quelli direttivi hanno la responsabilità operativa, su delega dei primi, di supervisionare l’attuazione delle misure decise e riportare agli organi di amministrazione l’esito della valutazione di efficacia di tali misure.
Questo modello riflette, quindi, un maggior controllo interno, con una chiara separazione tra chi pianifica e fornisce le risorse e chi esegue.
In termini pratici, questa differenza implica un sistema di governance con più livelli di supervisione e controllo.
Responsabilità gestionale e operativa sulle misure di sicurezza
Quanto finora evidenziato appare molto chiaro confrontando il primo comma dell’art 23 “Organi di amministrazione e direttivi” del decreto di recepimento con il primo comma dell’art 20 “Governance” della NIS 2.
D. Lgs 138/2024 – Art. 23. Organi di amministrazione e direttivi | NIS 2 – Art 20 “Governance” |
1. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti: a. approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell’articolo 24; | Gli Stati membri provvedono affinché gli organi di gestione dei soggetti essenziali e importanti approvino le misure di gestione dei rischi di cibersicurezza adottate da tali soggetti per conformarsi all’articolo 21, sovraintendano alla sua attuazione e possano essere ritenuti responsabili di violazione da parte dei soggetti di tale articolo. |
b. sovrintendono all’implementazione degli obblighi di cui al presente capo e di cui all’articolo 7 (nda art. 7 “Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti”); c. ….. |
Il confronto tra il D.lgs. 138/2024 e la NIS 2 mette in luce una distinzione apparentemente sottile, ma giuridicamente significativa, nell’uso dei termini “modalità di implementazione delle misure” e “le misure“.
Infatti:
- per il D.lgs.138/2024, gli organi “approvano le modalità di implementazione delle misure” e “sovrintendono all’implementazione degli obblighi”. Questa formulazione evidenzia una prospettiva più orientata alla gestione amministrativa e organizzativa, dove il focus non è tanto sulle misure in sé, ma sul come queste misure debbano essere attuate. L’accento è posto sulle modalità di implementazione; il che lascia intendere che chi approva potrebbe non entrare nel merito delle misure stesse, limitandosi a valutare e autorizzare il processo, i tempi e i mezzi necessari per la loro esecuzione. In altre parole, il manager potrebbe avere un approccio di supervisione più distaccato, in cui dà l’ok alle risorse necessarie, senza necessariamente comprendere a fondo la natura delle misure stesse;
- per la NIS 2, invece, gli organi devono “approvare le misure” e “sovraintendere alla loro attuazione”. Questo linguaggio implica un livello più profondo di comprensione e coinvolgimento da parte dei soggetti responsabili. Approvare direttamente le “misure” significa che chi approva deve avere una piena consapevolezza del loro contenuto e delle implicazioni operative. Non si tratta solo di approvare un processo, ma di assicurarsi che le misure siano appropriate e adeguate agli obiettivi prefissati. Qui il manager è chiamato a un ruolo più attivo e tecnico, dove l’approvazione richiede competenze specifiche, analisi dei rischi, e valutazioni di conformità.
Pertanto, la differenza tra “approvare le modalità di implementazione” e “approvare le misure” si riflette direttamente nel diverso grado di responsabilità e competenza richiesto.
Nel primo caso (D.lgs. 138/2024), la funzione gestionale si limita a garantire che il processo di implementazione sia organizzato in modo efficiente, potendo anche delegare gli aspetti più tecnici e operativi. Il rischio in questo contesto è che l’organo approvante possa non avere una visione chiara degli effettivi dettagli operativi delle misure, limitandosi ad approvare una procedura senza comprenderne le conseguenze o l’efficacia.
Nel secondo caso (NIS 2), “approvare le misure” richiede un livello di coinvolgimento e competenza decisamente superiore. Il manager deve essere in grado di comprendere appieno le misure tecniche e organizzative necessarie per raggiungere gli obiettivi di sicurezza, valutando non solo i tempi e i costi, ma anche l’efficacia e l’adeguatezza delle stesse rispetto al contesto specifico dell’organizzazione.
Questo comporta la necessità di avere una preparazione più approfondita, o comunque di essere supportato da esperti in materia.
Dalla “competenza operativa” alla “supervisione amministrativa”
Un manager che approva “le modalità di implementazione” potrebbe adottare un approccio più distaccato, delegando e dicendo, per esempio: “Vi fornisco le risorse e stabilisco le tempistiche, ma non mi preoccupo dei dettagli tecnici”. È un paradigma meno esigente che può lasciare spazio a una minore comprensione delle misure stesse e, di conseguenza, a un potenziale abbassamento della soglia di responsabilità individuale.
Invece, un manager che “approva le misure” è coinvolto in maniera più diretta, essendo chiamato a comprendere le implicazioni operative e tecniche delle scelte fatte. Di conseguenza, la NIS 2 pone un obbligo più gravoso sugli organi decisionali, richiedendo una comprensione integrale del sistema di sicurezza informatica e delle misure adottate, anziché una semplice autorizzazione formale.
La NIS 2 esige, quindi, che gli organi decisionali vadano oltre la supervisione superficiale, imponendo una conoscenza profonda delle misure adottate, affinché siano adeguate e idonee alla protezione delle infrastrutture critiche.
Il passaggio dalla NIS 2 al D.lgs. 138/2024 riflette, così, due diversi modelli di gestione della sicurezza informatica: uno basato sulla competenza operativa e l’altro su una supervisione più amministrativa, dove la distanza dai dettagli tecnici può comportare una minore consapevolezza delle implicazioni reali delle misure adottate. Questo risulta assolutamente coerente con la distinzione, evidenziata all’inizio di questo articolo, tra il ruolo assegnato agli “organi di gestione” (NIS 2) e quello attribuito agli “organi di amministrazione e direttivi” (D.lgs. 138/2024).
Implicazioni operative e ricadute concrete
Dal punto di vista operativo, la distinzione tra i due diversi modelli organizzativi ha importanti ricadute.
La NIS 2, facendo riferimento a organi di gestione, prevede che il controllo della sicurezza informatica sia affidato a un gruppo relativamente snello di decision-makers che hanno la capacità di intervenire rapidamente in caso di crisi.
Questo approccio è vantaggioso in contesti dove è necessaria una risposta agile e immediata.
Al contrario, il D.lgs. 138/2024, con il suo focus sugli organi di amministrazione e direttivi, suggerisce una maggiore strutturazione interna. Infatti:
- gli organi di amministrazione sono generalmente i membri del Consiglio di Amministrazione o figure equivalenti che hanno la responsabilità di prendere decisioni strategiche e gestionali per l’organizzazione. Questi organi sono ora chiamati a svolgere un ruolo attivo nella supervisione delle misure di sicurezza informatica;
- gli organi direttivi,invece, hanno il compito di tradurre queste decisioni in operatività concreta.
La struttura disegnata dal decreto di recepimento – coerente con il paradigma di responsabilità decisionale sopra descritto – può offrire maggiore controllo e supervisione, ma rischia di rallentare i processi decisionali in situazioni di emergenza, quando la velocità è fondamentale per mitigare i danni.
In termini concreti, le organizzazioni italiane che rivestendo il ruolo di soggetti essenziali e importanti, sono soggette al D.lgs. 138/2024 dovranno implementare processi interni più formalizzati e articolati, con chiari canali di comunicazione tra i diversi livelli di governance.
Questo potrebbe richiedere una riorganizzazione interna delle strutture aziendali e delle responsabilità, con l’introduzione di figure specifiche per la supervisione e il monitoraggio delle misure di cyber sicurezza.
In ogni caso sia la NIS 2 che il decreto di recepimento assegnano responsabilità dirette alle persone fisiche con ruoli decisionali all’interno dei “soggetti essenziali” o “importanti”, prevedendo sanzioni personali in caso di violazioni. Così, l’art. 38 del D.lgs.138/2024 prevede che:
- in caso di inadempienza alle diffide dell’Autorità nazionale competente NIS (ACN), queste persone possono essere temporaneamente sospese dalle loro funzioni dirigenziali fino alla realizzazione della conformità;
- per i dipendenti pubblici, sono applicabili sanzioni disciplinari e amministrative specifiche, consolidando il sistema di responsabilità.
Due modelli di governance a confronto
La Direttiva NIS 2 e il D.lgs. 138/2024 rappresentano due approcci complementari alla cybersicurezza. La NIS 2 si focalizza su un modello più flessibile e agile, dove gli organi di gestione sono chiamati a prendere decisioni rapide e a reagire prontamente alle minacce.
Al contrario, il D.lgs. 138/2024 adotta un modello più formalizzato, con organi di amministrazione e direttivi che garantiscono una supervisione più strutturata ma potenzialmente meno reattiva.
In un contesto sempre più interconnesso, l’Italia ha scelto di implementare un sistema di governance che assicura un alto grado di controllo e di responsabilità a tutti i livelli.
Questo approccio, anche se potrebbe rallentare l’implementazione delle misure, poiché coinvolge risorse di livello dirigenziale, offre un vantaggio a lungo termine in termini di pianificazione e monitoraggio. Inoltre, assicura una chiara responsabilizzazione del vertice su questioni strategiche che, in molte organizzazioni, sono spesso trascurate.
La collaborazione tra pubblico e privato, un investimento costante nella formazione e una governance robusta saranno fondamentali per affrontare le sfide future della cyber sicurezza.
NOTA BIBLIOGRAFICA
Per approfondimenti su questo tema è in corso di pubblicazione a cura di SIMONE Editore, il manuale “IL MODELLO ORGANIZZATIVO NIS2 (MONIS) – IL D.LGS.138/2024 IN PRATICA” degli autori Giuseppe Alverone e Monica Perego.