Tra i principali elementi di novità introdotti dalla Direttiva NIS 2, sicuramente spicca il maggiore coinvolgimento e gli obblighi di controllo dei vertici aziendali, che sono chiamati a svolgere un ruolo attivo nell’ambito della compliance alla normativa.
Bisogna dire, tuttavia, che questo approccio si può già considerare consolidato nella normativa di settore della cybersecurity, dal momento che il coinvolgimento dei livelli apicali di un ente è fondamentale per riuscire a ottenere un livello di conformità soddisfacente. Infatti, una maggiore responsabilizzazione del management, con conseguenze anche sul piano sanzionatorio, ha inevitabilmente l’effetto di accrescere la consapevolezza e di aiutare a comprendere meglio il livello di maturità cibernetica dell’azienda e ad allocare in maniera efficace ed efficiente gli investimenti.
Cosa si intende per management
Né la Direttiva NIS 2, né il decreto legislativo di recepimento forniscono una definizione di “organo di amministrazione”. Tuttavia, esso può essere inteso come l’organo direttivo ed esecutivo che definisce il sistema di governo societario. Pertanto, esso potrà corrispondere, ad esempio, al Consiglio di Amministrazione delle società.
Più nello specifico, il decreto legislativo 138/2024 di recepimento della Direttiva NIS 2 precisa che a essere responsabile della corretta implementazione della normativa in questione è qualsiasi persona fisica che sia in qualche modo responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni o di esercitare un controllo sul soggetto stesso.
I dati identificativi e di contatto di tali soggetti dovranno essere comunicati all’Agenzia per la Cybersicurezza Nazionale.
Gli obblighi del management
La Direttiva NIS 2 introduce tre obblighi principali per i membri dell’organo di amministrazione.
Anzitutto, essi devono approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica. Queste consistono nell’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi nell’ambito della sicurezza dei sistemi informativi.
Le misure, basate su un approccio multi-rischio, devono comprendere una serie di elementi tra cui figurano anche aspetti squisitamente tecnici, come, ad esempio, la continuità operativa e la gestione dei backup, il ripristino in caso di disastro informatico e la gestione delle crisi, la gestione e la divulgazione delle vulnerabilità o le pratiche di igiene informatica di base.
Dunque, da un’analisi maggiormente approfondita emerge chiaramente come l’organo di gestione si trovi ad essere responsabile non solo per la definizione di strategie e di politiche, ma anche per tutto il framework di implementazione delle misure, con un grado di capillarità che rende di fondamentale importanza la conoscenza dei principi base in materia di sicurezza informatica e di identificazione dei rischi cibernetici.
L’altro obbligo che grava in capo all’organo di amministrazione è quello di sovrintendere all’implementazione degli obblighi in materia di gestione del rischio, di notifica degli incidenti, di registrazione sulla piattaforma che sarà messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale e di comunicazione delle informazioni richieste ai fini della corretta identificazione e qualificazione dell’ente.
Dunque, con l’introduzione di questo secondo obbligo, il legislatore aggiunge un elemento importante: l’organo di amministrazione, non deve limitarsi a un’approvazione formale, ma al contrario deve sovrintendere alla concreta implementazione delle misure adottate dall’ente, sia che esse siano di natura strategica, sia che riguardino aspetti maggiormente tecnici.
La necessaria formazione in materia di sicurezza informatica
Pertanto, se l’obbligo di mera approvazione sopra delineato poteva ancora lasciar intendere che il ruolo del management potesse essere meramente formale, con l’introduzione di un dovere di sovrintendenza, è chiaro che l’obiettivo della normativa è far sì che i vertici delle aziende ritenute essenziali o importanti siano concretamente coinvolti nell’attuazione delle disposizioni della Direttiva NIS 2.
Come corollario necessario vi è il dovere di seguire una formazione in materia di sicurezza informatica. Infatti, essa si rende utile per comprendere gli adempimenti richiesti, le proprie responsabilità e poter fornire un contributo che sia consapevole e di valore.
La Direttiva NIS 2, tuttavia, non si limita a incrementare il livello di consapevolezza solo relativamente agli organi di gestione, ma richiede loro di avere anche in questo caso un ruolo attivo nella promozione di un’offerta periodica di formazione in materia di cybersecurity anche ai dipendenti. Ancora una volta, l’obiettivo della disposizione è chiaro: consentire che tutta la popolazione aziendale abbia le competenze e le conoscenze per individuare e comprendere i rischi per la sicurezza informatica, le best practice e l’impatto delle minacce sul business aziendale.
Infine, per agevolare il ruolo del management e renderlo più consapevole, il decreto di recepimento prevede che siano istituiti anche dei canali informativi che consentano ai vertici di essere sempre aggiornati sugli incidenti e sulle notifiche all’autorità.
Alla luce di quanto sopra, emerge chiaramente come sia necessario che gli organi di gestione si dotino di risorse interne ed esterne (consulenti, esperti, professionisti) con una consolidata esperienza in materia di cybersecurity, affinché possano supportarli nella valutazione degli aspetti pratici e delle ricadute che questi possono avere sulle strategie dell’azienda, nonché nella strutturazione di piani formativi ritagliati sulle loro effettive esigenze.
Sempre nell’ottica di aumentare la partecipazione dei vertici aziendali alle tematiche della cybersicurezza, è stata prevista anche una responsabilità specifica dell’organo di amministrazione per le violazioni degli obblighi di cui al decreto di recepimento.
Le sanzioni
Al di là delle sanzioni amministrative pecuniarie di cui può essere destinatario l’ente, il decreto di recepimento della Direttiva NIS 2 introduce sanzioni accessorie anche per:
- gli organi di amministrazione;
- le persone fisiche responsabili di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso;
- l’amministratore delegato;
- i legali rappresentanti del soggetto essenziale o importante.
Essi non potranno svolgere funzioni dirigenziali all’interno dell’ente, finché lo stesso non avrà adottato le misure necessarie a porre rimedio alle carenze riscontrate dall’Agenzia per la Cybersicurezza Nazionale, o finché non si sarà conformato alle prescrizioni indicate dalla stessa.
