Come anticipato nell’articolo precedente (link articolo NIS2) la Direttiva NIS2 e il Dlgs 138/2024, che la recepisce, non chiariscono cosa si intende per vertici aziendali dei soggetti essenziali e importanti; tuttavia, è plausibile ritenere che essi vadano identificati con l’organo che definisce il sistema di governance dell’Organizzazione. A sostenere questa ipotesi, il decreto, agli artt. 23 e 24, parla di “organi di amministrazione e organi direttivi dei soggetti essenziali e dei soggetti importanti”.
Chi sono?
Si tratta degli organi o, più frequentemente, della persona (fisica) con accountability, che agisce in qualità di rappresentante legale ed ha l’autorità di rappresentare il soggetto essenziale/importante, di prendere decisioni o di esercitare un controllo sul soggetto stesso.
Può trattarsi dell’intero CdA, dell’AD, del Legale Rappresentante o di persone fisiche, responsabili di un soggetto essenziale/importante.
Chiameremo questo soggetto genericamente “Responsabile”.
Il Responsabile ha 3 obblighi fondamentali
- Deve non solo approvare l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi rilevati per garantire la sicurezza dei sistemi informativi, ma anche il modo in cui tali misure di sicurezza vengono implementate. Quindi è responsabile non solo per la definizione di strategie e di politiche, ma anche delle metodologie di attuazione delle misure; ciò comporta un livello di coinvolgimento e di capacità decisionale che deve necessariamente basarsi su una buona conoscenza dei principi base di Information Security e su capacità di reale identificazione dei rischi collegati agli aspetti tecnici e tecnologici.
- Deve sovrintendere alla registrazione sulla piattaforma di ACN e alla comunicazione delle informazioni richieste ai fini della corretta identificazione e qualificazione del soggetto (operazione che dovrà essere ripetuta ogni anno), ma – ancor più importante! – da ora in avanti, deve sovrintendere all’implementazione degli obblighi in materia di gestione del rischio e di notifica degli incidenti. Quindi le sue decisioni saranno certo di natura strategica, ma si caleranno anche su aspetti più tipicamente tecnici.
- Deve (come conseguenza dei primi due) garantire a se stesso una adeguata formazione in materia di cybersecurity, che gli permetta di comprendere e rispondere agli adempimenti richiesti, e deve garantire che una formazione allargata e periodica in materia raggiunga anche tutta la platea dei dipendenti; tale formazione dovrà essere volta a estendere ed elevare il livello di consapevolezza sui rischi e la loro gestione e sugli impatti sulle attività dell’Organizzazione e i servizi che offre; dovrà inoltre prevedere indicazioni per la sicurezza e sulle best practice approvate dall’Organizzazione.
Si sottolinea infine che il responsabile:
- ha l’accountability delle violazioni al Decreto 138/2024 (e ne può rispondere anche direttamente attraverso sanzioni accessorie che prevedono il divieto – l’art 38, co 6 parla di “incapacità” – di svolgere funzioni dirigenziali all’interno dell’ente, fin quando non siano adottate contromisure per risolvere le carenze riscontrate da ACN);
- viene informato periodicamente o, se opportuno, tempestivamente, degli incidenti e delle
notifiche di incidenti; in relazione a ciò è suo compito garantire che siano istituiti opportuni canali informativi;
- In relazione alle violazioni di sicurezza, è responsabile delle notifiche al CSIRT entro i tempi indicati dal Decreto (artt. 25 e 26).
Per svolgere consapevolmente tutte queste attività, evitando d’incorrere in ripercussioni anche personali, è senz’altro necessario al Responsabile avere adeguata formazione, oltreché sul soggetto che rappresenta, sui servizi che eroga e sulla sua (infra)struttura, anche su:
- le proprie responsabilità secondo la NIS2,
- i ruoli e le responsabilità in ambito NIS2 (anche esternamente all’Organizzazione),
- i rischi di sicurezza e la loro gestione,
- i comportamenti e le comunicazioni in caso di Incident,
- il proprio ruolo nell’incentivare il coinvolgimento, la consapevolezza e le best practices interne,
- le misure di sicurezza operative tecniche e organizzative adeguate, proporzionate e aggiornate al livello di rischio analizzato.
Norme e standard di Cybersecurity e corsi di formazione su tali norme e standard possono, anzi certamente forniscono valido supporto.
TÜV NORD Italia, da parte sua, propone un’offerta formativa ricca e particolarmente rispondente alla finalità di formare e sostenere le Organizzazioni verso la compliance alla NIS2 e al suo decreto di recepimento.
Se vuoi approfondire queste tematiche ti invitiamo all’Evento “Cybersecurity: NIS2 e le sfide del nuovo scenario, compliance chiave per il rafforzamento della sicurezza informatica” che si terrà il 28 gennaio 2025 presso I Portici Hotel, Via dell'indipendenza 69, Bologna, 40121. Per partecipare compila il modulo al link.
---