Con la NIS2 il management deve assumere un ruolo attivo nelle strategie aziendali sulla cybersicurezza
La NIS2 ha sicuramente rivoluzionato non solo l’approccio alla protezione aziendale della sicurezza informatica, ma soprattutto l’organizzazione delle aziende. Ad esempio, e per tutti, gli organi di amministrazione e controllo non possono più limitarsi a delegare la c.d. cybersicurezza alle funzioni IT, ma devono assumere un ruolo attivo nella definizione delle strategie di protezione e resilienza.
(Ranieri Razzante, autore con Pasquale Spanò del libro "La NIS 2 e il decreto cybersicurezza. Le norme e gli adempimenti")
Questo implica non solo la supervisione delle politiche di sicurezza, ma anche un impegno diretto nella loro progettazione e implementazione. Le severe sanzioni pecuniarie previste non si limitano a penalizzare l'azienda nel suo complesso, ma possono estendersi anche a responsabilità personali per gli amministratori, laddove venga accertata una negligenza nella prevenzione dei rischi cibernetici.
Il tema della cybersicurezza deve essere pertanto integrato nelle discussioni strategiche del consiglio di amministrazione e non relegato ad un piano puramente operativo. Questo richiede che i vertici aziendali siano in grado di comprendere non solo i rischi tecnici, ma anche le implicazioni reputazionali degli attacchi informatici. Tra le misure suggerite per favorire questa integrazione strategica vi sono, non a caso, corsi di formazione avanzata per i membri del consiglio, con focus su scenari reali e simulazioni di crisi per testare la capacità decisionale in situazioni di emergenza.
Un altro elemento fondamentale è la necessità di creare un sistema di reporting interno efficace, che consenta ai dirigenti di ricevere aggiornamenti regolari e dettagliati sullo stato della sicurezza informatica aziendale, inclusi i potenziali rischi emergenti e le contromisure adottate.
La cultura della sicurezza – secondo Nis - deve permeare l'intera struttura aziendale, dal livello esecutivo fino ai dipendenti operativi, creando un ecosistema resiliente capace di rispondere con prontezza ed efficacia a ogni tipo di minaccia.
Non va infine trascurato il ruolo centrale della formazione, che rappresenta la colonna portante di un approccio olistico ed integrato, sia negli enti che nelle imprese, alla cybersicurezza. La tecnologia, da sola, non basta: è fondamentale che ogni anello della catena organizzativa, dai vertici ai dipendenti operativi, sia consapevole dei rischi e delle migliori pratiche per prevenirli. Proprio come, né più né meno, per gli altri rischi operativi che sono connaturati, e mai negati, nel quotidiano dispiegarsi delle attività d’impresa, da chiunque esercitate.
Particolare rilievo è attribuito alle politiche di "igiene informatica", che vanno dalla gestione delle password, oggi sempre più orientata all’utilizzo di soluzioni come i gestori di credenziali e l’autenticazione multifattoriale, alla protezione delle comunicazioni sensibili attraverso strumenti di crittografia end-to-end. Inoltre, l’adozione di protocolli di sicurezza per l’utilizzo di dispositivi mobili e la segmentazione delle reti aziendali rappresentano prassi fondamentali per limitare i punti di accesso alle minacce esterne.
Il Decreto Legislativo 138 del 4 settembre del 2024 ha dato l’occasione per un adattamento organico e avanzato della Direttiva NIS2 alle peculiarità nazionali. La sua redazione tiene conto delle caratteristiche specifiche del tessuto economico italiano, in cui le piccole e medie imprese (PMI) svolgono un ruolo preponderante e necessitano di strumenti normativi che siano al contempo rigorosi e accessibili. Questo equilibrio emerge con chiarezza dalle disposizioni del decreto, che punta non solo a rafforzare la resilienza delle infrastrutture critiche (quelle statuali, per intenderci), ma anche a garantire che l’intero tessuto produttivo possa beneficiare di una protezione informatica adeguata.
Un elemento distintivo del Decreto 138/2024 è la capacità di tradurre i principi della NIS2 in azioni concrete, creando un quadro di regole operative che abbraccia tanto le grandi organizzazioni quanto le PMI.
L’Agenzia per la Cybersicurezza Nazionale (ACN) assume – come noto - un ruolo centrale in questo nuovo sistema di governance, agendo sia come coordinatore strategico sia come supporto per le imprese. Attraverso linee guida, programmi di sensibilizzazione e un monitoraggio continuo, l’ACN non si limita a verificare l’attuazione delle norme, ma si pone come partner proattivo per lo sviluppo di capacità cibernetiche nazionali.
Tra le (altre) innovazioni introdotte, si segnala poi l’attenzione particolare riservata alla protezione delle catene di fornitura, spesso punti di accesso privilegiati per attacchi informatici mirati. Il decreto richiede alle aziende di valutare non solo i propri sistemi, ma anche quelli dei fornitori strategici, promuovendo una logica di sicurezza condivisa che abbraccia l’intero ecosistema digitale.
Se si guarda alla normativa sulla privacy, si scorgono evidenti analogie e, talvolta, sovrapposizioni.
Archiviazioni, riservatezza, confidenzialità e integrità dei dati e dei sistemi, security, awareness. E poi, gestione degli adempimenti, delle funzioni interne, dei piani strategici, della segnalazione dei data breach. Quest’ultimo punto è critico di suo, ma oggi sovrapposto a quello della segnalazione degli incidenti di cui al decreto 138. Nessun problema per chi ne capisce: integrazione delle policy e loro unificazione dove si può, per evitare la confusione operativa e, per l’appunto, le ridondanze dannose.
