NIS2: la responsabilità d’impresa tra governance e gestione del rischio cyber

Il 16 ottobre 2024 è entrato in vigore il D. Lgs. 138/2024 (“Decreto NIS2”), collocando l’Italia tra i primi paesi all’interno dell’Unione Europea ad aver recepito la Direttiva 2022/2555 (“Direttiva NIS2”).

Le imprese italiane, e quelle operanti nel territorio italiano, si sono trovate – e tutt’ora si trovano – ad affrontare un contesto normativo complesso, che non riguarda soltanto la sicurezza informatica, ma investe anche l’architettura della governance societaria.

La Direttiva NIS2, ampliando notevolmente il perimetro dei soggetti coinvolti rispetto alla Direttiva NIS (Direttiva (UE) 2016/1148) e imponendo una gestione strutturata del rischio digitale, ha infatti delineato un sistema che – trascendendo l’aspetto meramente tecnico – richiede una presa di responsabilità a livello strategico. La protezione dei sistemi informativi è diventata così un preciso dovere del consiglio di amministrazione, un elemento costitutivo del buon governo societario, non diversamente da ciò che accade in altri settori (quali la protezione dei dati personali o l’adeguatezza degli assetti organizzativi).

Il primo passaggio che ogni impresa deve affrontare è l’auto-classificazione. La normativa, abbandonando la precedente distinzione tra operatori di servizi essenziali e fornitori di servizi digitali, adotta un criterio che combina la dimensione della società con la rilevanza del settore di appartenenza. Ne deriva che molte realtà, anche al di fuori dei tradizionali settori critici, rientrano automaticamente nell’ambito applicativo della normativa in oggetto: non solo fornitori di infrastrutture digitali (quali fornitori di servizi cloud computing, data center, piattaforme social network, etc.), ma anche – per citarne alcuni – prestatori di assistenza sanitaria, imprese alimentari, soggetti che fabbricano dispositivi medici, apparecchiature elettriche.

La mappatura deve essere dunque condotta con rigore: a valle di questa verifica, che richiede di tenere in considerazione criteri dimensionali, servizi svolti e – da un punto di vista territoriale – il luogo di stabilimento o di prestazione del servizio (salvo altre eccezioni), l’impresa è tenuta a svolgere alcuni adempimenti preliminari, ma di fatto imprescindibili per impostare qualsiasi percorso di conformità (quali la nomina del punto di contatto, la sua associazione all’impresa e la registrazione sulla piattaforma resa disponibile dall’Autorità per la cybersicurezza nazionale - “ACN”).

Il secondo fronte è quello della governance. Il Decreto NIS2 ha attribuito agli organi di amministrazione e direttivi un ruolo diretto sulla supervisione delle misure di sicurezza e, soprattutto, sulla loro effettiva attuazione. È un punto di svolta: l’organo amministrativo non può limitarsi a ratificare policy elaborate altrove, ma deve conoscere e comprendere la logica dei presìdi di sicurezza e delle misure di gestione dei rischi per la sicurezza informatica, valutarne l’adeguatezza, approvarne le modalità di implementazione, nonché monitorarne l’evoluzione e l’implementazione. Il tutto, mantenendo la piena responsabilità per eventuali violazioni del Decreto NIS 2.

Il Decreto NIS2 ha introdotto infatti precisi meccanismi di responsabilità, anche individuale, consentendo ad ACN, nei casi più gravi, di adottare misure che incidono anche sulla capacità stessa degli amministratori.

Ne discende la necessità di costruire un sistema di flussi informativi stabile, periodico e completo, capace di fornire al board un quadro chiaro delle vulnerabilità, degli incidenti, dei rischi emergenti e dello stato di maturazione degli interventi programmati. Un sistema che, per essere efficace, deve integrarsi con il Modello 231, con la funzione di risk management e con la struttura privacy e IT.

In parallelo, si colloca il tema della filiera. Il legislatore europeo, sempre più consapevole delle potenziali vulnerabilità derivanti da fornitori esterni, richiede alle imprese di riconsiderare i propri contratti ICT con un approccio selettivo e prudenziale, prevedendo precisi obblighi in materia di sicurezza, quali meccanismi di notifica rapida degli incidenti, diritti di controllo, responsabilità ben definite e clausole che permettano di interrompere tempestivamente rapporti non conformi. Non solo revisione contrattuale, ma anche presidio costante: le imprese devono, infatti, dotarsi di – e mantenere – un inventario aggiornato dei servizi informatici erogati dai fornitori, documentando la valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete, anche con riferimento alle eventuali dipendenze da fornitori.

Il nucleo operativo del Decreto NIS2 si trova poi nel sistema di gestione del rischio cyber. Qui, la normativa richiede la costruzione di un vero e proprio “ecosistema” organizzativo, parte integrante dei processi di gestione del rischio dell’organizzazione, così da creare – sul piano concettuale – un modello integrato di compliance.

Nel rispetto del Decreto NIS2 e delle determinazioni adottate da ACN, l’impresa deve identificare, analizzare, valutare, trattare e monitorare i rischi, ricomprendendo tanto gli aspetti tecnici quanto quelli umani, organizzativi e di filiera. Devono quindi essere stabiliti, comunicati, compresi e applicati i ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio cyber, individuando e nominando peraltro tutte le figure previste dalla normativa (quali il punto di contatto e il referente CSIRT). Ma non basta: occorre dunque predisporre procedure di prevenzione, rilevazione e risposta agli incidenti, nonché dotarsi di un assetto di monitoraggio continuo, un piano di continuità operativa testato, un approccio formalizzato alla gestione delle vulnerabilità e un programma di formazione che coinvolga l’intera organizzazione, compresa la linea apicale. La logica è chiara: non basta nominare un responsabile o acquistare strumenti informatici; occorre produrre evidenze di maturità, coerenza e controllo dei profili di cybersecurity.

Un ulteriore elemento di rilevante impatto operativo riguarda la gestione degli incidenti di cybersecurity e il processo di notifica degli incidenti significativi: un sistema a scansioni temporali serrate, con una pre-notifica – senza ingiustificato ritardo e comunque entro ventiquattro ore, una notifica – senza ingiustificato ritardo e comunque entro settantadue, su richiesta del CSIRT Italia una relazione intermedia e una relazione finale entro un mese dalla trasmissione della notifica.

Rispettare una tempistica così stringente impone la creazione di un processo organizzativo strutturato, capace di rilevare tempestivamente gli incidenti significativi, raccogliere i dati essenziali, valutarne l’impatto, gestirne e mitigarne le conseguenze attraverso il piano per la gestione degli incidenti, e instradare la comunicazione secondo modalità standardizzate. La società è chiamata pertanto a costituire, ove non sia già presente, un gruppo di lavoro interdisciplinare – che vede quali protagoniste le funzioni dell’area IT, legal, privacy e compliance – che possa operare con prontezza e in modo coordinato, evitando sovrapposizioni e/o ritardi.

Su uno sfondo così complesso, molte società hanno predisposto un documento unitario, una sorta di dossier di conformità che raccolga l’intero percorso di adeguamento alla normativa: dalla classificazione iniziale fino alla descrizione delle misure adottate, dai contratti rivisti al modello di risposta agli incidenti, dai programmi formativi ai risultati degli audit. Nel processo di gestione del rischio, un simile strumento rappresenta un presidio organizzativo strategico, capace di offrire trasparenza interna, tutela in caso di controlli e un quadro immediato dello stato di preparazione.

Non va infine sottovalutato il profilo sanzionatorio. L’adempimento degli obblighi introdotti dal Decreto NIS2, dunque, non è una mera opzione o un progetto confinato alla funzione IT: è una componente ormai strutturale della gestione d’impresa, un requisito di affidabilità, un fattore competitivo in settori sempre più interdipendenti.

Nella sua essenza, infatti, la NIS2 non parla solo di sistemi digitali, ma di cultura organizzativa. Tale normativa impone alle imprese di ripensare la propria struttura interna, di dotarsi di procedure efficaci, di promuovere un dialogo strutturato fra funzioni diverse e di assumersi la responsabilità del corretto funzionamento degli assetti organizzativi e delle decisioni rilevanti che si assumono (anche) in ambito cyber.

È una normativa nata all’incrocio fra disciplina della cybersecurity e governance dei rischi, che pone una sfida fondamentale per le imprese coinvolte: non soltanto adeguarsi, ma farlo con prontezza, con coerenza e, soprattutto, con lucidità strategica.

_______
*Alessandro Seganfreddo (partner), Giulia Mariuz (partner), Maria Lucia Passador (senior associate) e Cecilia Canova (associate)

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più