Un aspetto fondamentale della direttiva nis2 e del relativo decreto attuativo (d.lgs 138/24) è quello relativo alle responsabilità degli organi amministrativi e direttivi dei soggetti essenziali e dei soggetti importanti.
La sensibilizzazione e la formazione parte da loro in quanto solo partendo dall’alto si può arrivare a sensibilizzare e formare l’intera organizzazione aziendale e tutti i soggetti che la compongono.
E cosa significa ciò? L’approvazione delle modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica è l’ultimo (e non il primo!) tassello dell’iter di implementazione che parte dal coinvolgimento dei vertici apicali nell’intero processo di risk assessment riguardante l’azienda. Non si può pensare di approvare qualcosa che non si conosce e che non si è contribuito a creare e a far crescere ed implementare. Altrimenti si finisce, come si fa di solito, per delegare in toto delle attività per le quali si risponde senza avere sott’occhio tutto l’iter di implementazione delle stesse.
E, a questo proposito, ci viene in aiuto la lettera b) dell’art. 23 d.lgs 138/24 che ci dice che gli organi amministrativi e direttivi sovrintendono all’implementazione degli obblighi di cui al decreto medesimo.
E cosa vuol dire sovraintendere? Il decreto usa, non a caso, il verbo sovraintendere proprio per indicare una partecipazione consapevole e matura nell’implementazione degli obblighi. Il ruolo, in questo caso, è un RUOLO ATTIVO e PROATTIVO, è un ruolo di scelta, di responsabilità, di consapevolezza e di conoscenza dei processi aziendali che possono portare e causare rischi informatici e non solo.
Proprio per questo alla lettera c) sempre dell’articolo 23 del decreto si dice che questi soggetti sono responsabili delle violazioni di cui al presente decreto.
L’iter, almeno sulla carta, è semplice: prima gli organi amministrativi e direttivi approvano il piano di gestione del rischio e del piano di implementazione delle misure tecniche, operative e organizzative poi sovraintendono alla loro corretta applicazione con le consuete procedure e modalità utilizzate in azienda (deleghe, redazione mansionari, policy sui ruoli ecc) e infine rispondono per ciò su cui erano tenuti a sovraintendere.
Gli organi apicali dovranno, quindi, implementare tutte le policy e le procedure necessarie in un’ottica di sistema integrato che tenga conto di tutte le norme vigenti che si dovranno coordinare l’una con l’altra. A titolo meramente esemplificativo si ricordano le norme ISO quali la 27001:2022 sulla sicurezza delle informazioni, il GDPR in tema di trattamento dei dati personali, le norme giuslavoristiche, il decreto 231/01 nonché ogni altra norma di rifermento che abbia la necessità di essere coordinata con le altre.
Avv. Clementina Baroni
Commenti recenti