NIS 2 responsabilita governance amministratori

NIS 2 e governance: il ruolo del management nella sicurezza informatica

La sicurezza informatica non è più un tema solo tecnico delegabile all’IT, ma diventa una responsabilità diretta per il management: lo dice la direttiva NIS 2 precisamente all’art 23. In questo articolo ti spiego bene il tuo ruolo, quale amministratore di un’agenzia di comunicazione.

L’ecosistema di cybersicurezza introdotto dalla direttiva richiede alle aziende di ripensare alla propria governance adottando un sistema per gestire il rischio cyber rispettoso dei principi fondamentali di responsability, accountabily e liability.

La sicurezza come tema di governance (non più solo tecnico)

Il management (organi amministrativi e direttivi) con la direttiva NIS 2 assume specifiche responsabilità. La cybersecurity diventa parte integrante dei processi decisionali aziendali, al pari dei rischi finanziari, legali o operativi.

In particolare, gli amministratori:

  • approvano le modalità di implementazione delle misure di gestione del rischio
  • supervisionano l’attuazione delle attività, delle misure e quindi giustificano la mancata adozione;
  • sono responsabili delle violazioni e quindi si assumono responsabilità delle scelte assunte.

Questo significa che il ruolo degli amministratori con riguardo al trattamento dei dati, alla sicurezza delle informazioni non può più essere solo formale: serve una conoscenza ed una comprensione dei rischi cyber, una partecipazione attiva alle decisioni strategiche, pena una responsabilità in caso di inadeguata adozione delle misure.

fissa un colloquio per la sicurezza informatica

Formazione e informazione per gli amministratori nella sicurezza informatica

La direttiva impone specifici obblighi di formazione e informazione in materia di sicurezza informatica. Il progetto NIS 2 che portiamo alle agenzie prevede questi come passaggi imprescindibili: non può essere una semplice formalità.

Per questo infatti, al fine di aumentare la conoscenza e consapevolezza di tutta la catena, gli amministratori sono chiamati a seguire una formazione in materia di sicurezza informatica e promuovere una formazione coerente con le misure anche presso i propri collaboratori.

Le tre dimensioni della sicurezza informatica

La responsabilità degli amministratori in materia di sicurezza informatica si articola in tre dimensioni: responsability, accountablity, liability.

Gli inglesismi ci piacciono ma non se poi non sappiamo il significato: e qui è importante spiegarci bene per evitare fraintendimenti.

1) La responsability dell’amministratore in materia di NIS 2

La responsability è l’obbligo o il dovere di una persona di svolgere determinate funzioni o compiti. Quindi di prendere delle decisioni e di implementare delle azioni.

Ad esempio, l’approvazione delle modalità di implementazione delle misure di gestione, oppure l’integrazione dei principi di security by design e security by default. L’applicazione è articolata e questo non può essere l’ambito di approfondimento, ma ti anticipiamo che il colloquio iniziale che prevediamo nel progetto è proprio volto a condividere quelli che sono i principi che connotano la figura degli amministratori.

2) La liability dell’organo gestionale in materia di NIS 2

La liability è la responsabilità legale per le azioni o omissioni. Il comma 5 dell’art 38 del Decreto Legislativo è chiaro sul punto: gli amministratori possono essere ritenuti responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza.

Va da sé che una gestione ordinata della documentazione e delle procedure diventa fondamentale per prevedere conseguenze legali, responsabilità, rischi, sanzioni.

3) L’accountability della governance societaria

L’Accountability prevede che un soggetto risponda del proprio operato dandone conto all’autorità o al soggetto preposto.

In quest’ambito, si traduce nel documentare e relazionare in modo regolare quelle che sono le misure di sicurezza che sono state adottate. E quindi, è fondamentale, che ci sia una strategia a monte, che siano effettivamente messe in campo e che ci sia una reportistica che possa tenere traccia dell’adozione e dell’aggiornamento. Oltre che degli interventi in caso di incidenti.

Il cambiamento della cultura organizzativa

È quindi imprescindibile un cambio di approccio: è fondamentale farsi accompagnare dai professionisti che conoscono la normativa di riferimento e che possano effettivamente dare supporto per quelle che sono le azioni da adottare, avendo attenzione per il contesto.

Avere un sistema formalmente conforme ma organizzativamente inefficace non esime da responsabilità gli amministratori nel caso in cui sia realmente necessario il loro intervento anche decisionale in caso di incidenti.

L’approccio deve quindi essere produttivo, volto al miglioramento conto, all’identificazione di rischi, all’adozione di misure volte a mitigare situazioni o direttamente escluderle.

Possiamo sentirci per parlarne, avendo come focus la tua organizzazione.

contattaci

0
Share
Share

Founder of LegalforCreativity. Avvocata. Scrivo, parlo e interpreto la creatività come faccio con leggi e normative. Mi occupo di consulenza legale con e per le agenzie di comunicazione e le aziende di software. Sono appassionata di grafica e font, affascinata dagli scatti fotografici e dal cinema d'autore, attratta dal mondo della pubblicità e della comunicazione.

Nella stessa categoria
fare siti web responsive accessibilità usabilità

Iscriviti
alla newsletter

"Utility for Creativity" è una comunicazione che riceverai, senza cadenza prefissata, nella tua casella di posta elettronica contenente strumenti utili per la tua attività creativa, imprenditoriale, professionale ma anche novità importanti o perlomeno interessanti (bandi, normative, sovvenzioni) per i servizi che offri ai tuoi clienti.