La trasformazione digitale ha portato con sé non solo opportunità straordinarie ma anche rischi significativi per le organizzazioni. Gli attacchi informatici sono diventati più sofisticati, frequenti e dannosi, rendendo la resilienza digitale un elemento cruciale per la continuità operativa e la sostenibilità del business. In questo contesto, l’Unione Europea ha risposto con due normative fondamentali: il Digital Operational Resilience Act DORA e la Direttiva NIS2, che ridefiniscono completamente le responsabilità dei vertici aziendali in materia di cybersicurezza, richiedendo un coinvolgimento diretto e informato nella gestione dei rischi informatici.
Indice degli argomenti
Le responsabilità del cda nella governance della cybersicurezza
Per decenni, la cybersicurezza è stata considerata principalmente una questione tecnica, delegata ai reparti IT e, più recentemente, ai Chief Information Security Officer (CISO). Questa visione è stata definitivamente superata dal nuovo quadro normativo europeo, che eleva la resilienza digitale a priorità strategica, ponendola sotto la diretta responsabilità degli organi di amministrazione.
La rivoluzione è evidente già nel testo della NIS2, che all’articolo 20 stabilisce esplicitamente che “gli organi di gestione delle entità essenziali (quali settore Energia, Trasporti, PA ecc) e importanti (settore Alimentare, Servizi Digitali, Fabbricazione Computer, ecc) approvano le misure di gestione dei rischi di cybersicurezza adottate dall’entità e supervisionano la loro attuazione”.
Analogamente, il DORA impone agli organi di gestione di “definire, approvare e supervisionare” il quadro di gestione dei rischi ICT delle entità finanziarie.
Competenze necessarie per la governance della cybersicurezza
È fondamentale chiarire che queste normative non richiedono che gli amministratori diventino esperti tecnici di cybersicurezza o si sostituiscano ai CISO. L’obiettivo è invece creare un consiglio di amministrazione sufficientemente informato per:
- Porre domande pertinenti: essere in grado di interrogare criticamente le strategie di sicurezza proposte, identificando potenziali lacune o incongruenze
- Valutare l’adeguatezza delle misure: comprendere se le soluzioni implementate sono proporzionate al profilo di rischio dell’organizzazione
Gli amministratori devono inoltre saper interpretare correttamente i dati di sicurezza per tradurli in decisioni strategiche informate e riconoscere le implicazioni di business, collegando gli aspetti tecnici della sicurezza agli obiettivi strategici e operativi dell’azienda. In sostanza, agli amministratori è richiesto di sviluppare una “literacy digitale” sufficiente per esercitare una supervisione efficace, non una competenza tecnica approfondita.
Aree chiave non delegabili della governance della cybersicurezza
Emergono responsabilità precise per gli amministratori che non possono essere semplicemente delegate alle funzioni tecniche. Spetta al CdA approvare formalmente la strategia di resilienza digitale, assicurando che sia allineata con gli obiettivi di business. Gli amministratori devono inoltre monitorare l’attuazione delle misure di sicurezza attraverso indicatori chiari e reportistica periodica.
La gestione degli incidenti rappresenta un’altra area cruciale: il CdA deve approvare i piani di risposta agli incidenti e ricevere aggiornamenti tempestivi in caso di eventi significativi. Particolare attenzione deve essere dedicata ai rischi derivanti dai fornitori di servizi digitali, con strategie di exit adeguate in caso di criticità. Infine, gli amministratori devono garantire programmi di test periodici, inclusi test di penetrazione avanzati per le organizzazioni più a rischio.
Organizzazione e governance della cybersicurezza
Il ruolo centrale del CdA è assicurare che l’organizzazione sia nel continuo adeguatamente strutturata per affrontare le sfide della sicurezza informatica. Gli amministratori devono garantire l’esistenza di una struttura organizzativa con ruoli, responsabilità e linee di reporting chiaramente definiti. È loro compito verificare la disponibilità di personale qualificato e in numero adeguato per gestire i rischi informatici, nonché l’implementazione di diversi livelli di controllo (la cosiddetta prima, seconda e terza linea di difesa) e l’assegnazione di un adeguato budget di spesa.
Le tre linee di difesa rappresentano un modello ormai consolidato di governance del rischio:
- la prima linea (funzioni operative e di business) è responsabile della gestione quotidiana dei rischi;
- la seconda linea (funzioni di controllo come Risk Management e Compliance) supervisiona e monitora l’efficacia dei controlli;
- la terza linea (Internal Audit) fornisce una valutazione indipendente dell’intero sistema.
Nel contesto della cybersicurezza, questo modello assicura che i rischi informatici siano identificati, gestiti e monitorati a tutti i livelli dell’organizzazione.
Gestione delle emergenze nella governance della cybersicurezza
Le metodologie e le policy interne, insieme a un processo strutturato di miglioramento continuo basato sull’analisi degli incidenti e dei quasi-incidenti, devono essere costantemente aggiornate e manutenute per far fronte a un contesto in cui le minacce evolvono rapidamente.
Tra queste, politiche dettagliate per la gestione delle emergenze, che includano una chiara assegnazione di ruoli e responsabilità durante le crisi e protocolli di escalation ben definiti e comprendano anche strategie di comunicazione interna ed esterna, piani di continuità operativa e ripristino, nonché esercitazioni periodiche per testare l’efficacia dei piani.
Comunicazione efficace tra CISO e CdA nella governance della cybersicurezza
Per esercitare efficacemente le proprie responsabilità, è essenziale un nuovo modello di interazione tra CISO e CdA. I responsabili della sicurezza informatica devono sviluppare dashboard esecutive che traducano la complessità tecnica in indicatori comprensibili e azionabili, fornendo contesto e interpretazione ai dati presentati. È loro compito proporre opzioni decisionali chiare con relativi impatti e trade-off, comunicando in modo efficace il rapporto tra investimenti in sicurezza e riduzione del rischio.
Dal canto loro, gli amministratori devono richiedere attivamente informazioni rilevanti e sviluppare la capacità di interpretare correttamente i dati forniti e valutare l’allineamento tra strategie di sicurezza e obiettivi di business. Questo dialogo bidirezionale è fondamentale per una governance efficace della cybersicurezza.
Verso una nuova cultura della resilienza digitale
DORA e NIS2 non sono semplici normative da rispettare, ma il riflesso di una nuova realtà in cui la resilienza digitale è diventata una questione di sopravvivenza aziendale. I Consigli di Amministrazione che non comprenderanno la portata di questa trasformazione si troveranno non solo esposti a sanzioni normative, ma soprattutto vulnerabili in un ecosistema dove gli attacchi cyber possono determinare in poche ore il destino di un’organizzazione costruita in decenni.
Non si tratta infatti più di prevenire semplici incidenti informatici, ma di garantire che l’organizzazione possa prosperare in un ambiente digitale potenzialmente ostile e in continua evoluzione. Solo gli amministratori che sapranno raccogliere questa sfida, acquisendo competenza digitale e instaurando un dialogo efficace con le funzioni tecniche, potranno spingere l’azienda a trasformare un obbligo normativo in un potente vantaggio competitivo.
