La responsabilità dei vertici aziendali in materia di sicurezza informatica sta vivendo una rivoluzione senza precedenti in Italia. Con l'applicazione della Direttiva NIS2, i consigli di amministrazione non possono più delegare completamente la gestione della cybersecurity ai livelli operativi: la normativa europea, recepita attraverso il Decreto italiano e le indicazioni dell'Agenzia per la Cybersicurezza Nazionale, pone in capo agli organi direttivi un obbligo diretto di supervisione e decisione strategica. Questa trasformazione normativa ridefinisce il perimetro delle responsabilità manageriali, rendendo la sicurezza digitale una questione che coinvolge direttamente chi guida le organizzazioni classificate come soggetti essenziali e importanti.
Il nuovo perimetro delle responsabilità dirigenziali
L'architettura normativa che emerge dalla NIS2 stabilisce un principio chiaro: non esiste più separazione tra governance aziendale tradizionale e gestione della cybersecurity. I consigli di amministrazione devono ora valutare direttamente i rischi informatici, proprio come fanno per quelli finanziari o operativi. Questo significa analizzare minacce, vulnerabilità e impatti potenziali sulle attività aziendali con la stessa attenzione riservata ad altri rischi strategici.
Le Linee guida ACN forniscono il quadro operativo entro cui muoversi: definiscono standard minimi, procedure di valutazione e strumenti di controllo che le organizzazioni devono adottare. La documentazione delle decisioni assunte diventa elemento cruciale, poiché stabilisce una traccia verificabile dell'impegno del vertice aziendale nella protezione dei sistemi informatici.
L'approvazione del piano di sicurezza come atto strategico
Tra gli adempimenti più rilevanti figura l'approvazione del piano di sicurezza, che non costituisce più un documento tecnico relegato ai responsabili IT, ma un atto di indirizzo strategico che deve riflettere la consapevolezza del CdA rispetto alle minacce digitali. Questo piano deve integrare analisi dei rischi specifici del settore, misure tecniche e organizzative proporzionate, procedure di risposta agli incidenti e meccanismi di monitoraggio continuo.
Il framework normativo distingue tra due categorie di organizzazioni: i soggetti essenziali, che operano in settori critici come energia, trasporti, sanità e infrastrutture digitali, e quelli importanti, che pur non essendo vitali per il funzionamento della società, gestiscono comunque attività significative. Per entrambe le categorie, l'obbligo di conformità rimane stringente, sebbene con gradazioni diverse nell'intensità dei controlli.
Le certificazioni come strumento di conformità
Un elemento innovativo del sistema è il riconoscimento delle certificazioni basate su norme armonizzate come mezzo di attestazione della conformità. Le organizzazioni che ottengono certificazioni riconosciute possono dimostrare più agevolmente di aver implementato le misure richieste dalla normativa. Questo meccanismo offre un percorso strutturato per soddisfare gli obblighi normativi, fornendo al contempo una validazione esterna delle scelte tecniche e organizzative adottate.
Il sistema di certificazione non sostituisce la responsabilità diretta degli organi direttivi, ma ne facilita l'esercizio fornendo standard verificabili e riconosciuti a livello europeo. Le norme tecniche armonizzate costituiscono infatti riferimenti condivisi che permettono di valutare l'adeguatezza delle misure implementate secondo criteri oggettivi e comparabili tra diverse giurisdizioni.
Tracciabilità decisionale e accountability organizzativa
La tracciabilità delle decisioni rappresenta un requisito fondamentale del nuovo regime normativo. I vertici aziendali devono documentare le scelte effettuate in materia di cybersecurity, creando un registro delle valutazioni svolte, delle priorità stabilite e delle risorse allocate. Questa documentazione non serve solo a fini di conformità normativa, ma costituisce anche uno strumento di gestione interno che permette di monitorare l'evoluzione delle strategie di sicurezza nel tempo.
L'approccio richiesto dalla NIS2 trasforma quindi la sicurezza informatica da questione prevalentemente tecnica a tema di governance aziendale, che interseca strategie di business, gestione del rischio e responsabilità legali. I consigli di amministrazione devono acquisire competenze specifiche o assicurarsi supporto qualificato per comprendere le implicazioni delle scelte tecnologiche e valutare l'adeguatezza delle misure di protezione implementate rispetto al profilo di rischio dell'organizzazione.