Le responsabilità del vertice aziendale nella fase operativa della direttiva europea sulla cybersecurity”
Sono titolare di un’impresa che produce dispositivi che rientrano nel campo di applicazione della nuova normativa sulla sicurezza informatica e ho provveduto alla registrazione sulla piattaforma dell’ACN delle informazioni integrative richieste entro lo scorso 31 maggio. Quali sono le responsabilità degli organi amministrativi e direttivi nell’applicazione di questa normativa?
Il quesito dell’associato si riferisce alla Normativa Europea (Direttiva UE 2022/2555), recepita in Italia nell’ottobre 2024 con il D.Lgs. 138/2024, che ha definito una serie di regole per innalzare il livello di protezione delle reti e dei sistemi informativi, con l’obiettivo di contrastare i rischi cibernetici che minacciano il funzionamento efficace dell’economia e della società.
Completata la prima fase di registrazione sulla Piattaforma dell’Autorità competente (ACN), entro il 10 marzo scorso, la stessa, nel mese di aprile, dovrebbe avere comunicato a chi si è censito l’inclusione o meno nel perimetro di applicazione della norma. Entro il successivo 31 maggio, gli utenti dovrebbero avere integrato le informazioni già rese, con dati come il nominativo del sostituto del punto di contatto, quello degli organi direttivi ed amministrativi, gli indirizzi IP pubblici ed i nomi di dominio in uso o nella disponibilità del soggetto, l’elenco degli Stati membri in cui l’Ente fornisce i servizi che rientrano nell’ambito della normativa. Chi non abbia ultimato l’inserimento dei dati richiesti entro la scadenza del 31 maggio potrà usufruire della proroga al 31 luglio 2025 comunicata dall’Agenzia poco prima della scadenza. Ultimata la fase propriamente più burocratica, inizia il percorso graduale e strutturato di attuazione della normativa, che va dalla costruzione di policy, piani e procedure, all’applicazione concreta delle misure tecniche di sicurezza di base, con tempistiche attuative che si posizionano a 9 e 18 mesi dalla ricezione della comunicazione di inclusione nell’elenco dei soggetti NIS.
In estrema sintesi, la normativa pone la responsabilità dell’applicazione del Decreto direttamente in capo al vertice dell’azienda soggetta alla NIS2, riferendosi agli “organi amministrativi e direttivi” della stessa, vale a dire ai componenti del Consiglio di amministrazione o di altre strutture direttive analoghe, a seconda della natura giuridica dell’ente considerato.
Le FAQ diramate dall’Agenzia hanno precisato che non devono considerarsi tali le figure anche apicali ma sotto ordinate al C.d.A., come il CISO (Chief Information Security Officer), i responsabili della sicurezza aziendale, né il Punto di contatto designato o il suo Sostituto, che rivestono il ruolo di mera interfaccia rispetto all’Autorità, a meno che non coincidano con i componenti degli organi direttivi. Gli obblighi di base cui sono tenuti tali organi riguardano la progettazione strategica e la governance della sicurezza informatica e troveranno espressione nello svolgimento delle attività sintetizzate all’art. 24 del Decreto, consistenti nell’approvazione delle modalità di implementazione delle misure di sicurezza indicate dalla norma; nella supervisione dell’applicazione di tali misure; nella fruizione di una formazione specifica in materia di sicurezza informatica in modo da essere in grado di comprendere gli adempimenti e fornire un contributo consapevole; nella promozione della formazione periodica dei dipendenti sulle misure di gestione dei rischi cyber; nella ricezione di un’informazione tempestiva e periodica sugli incidenti cyber e sulle notifiche degli incidenti al CSIRT.
