Associati
La Formazione sulla Cybersicurezza per gli Organi Direttivi e Amministrativi
A cura di Enzo Veiluva
La Direttiva NIS2 (Network and Information Security), adottata dall’Unione Europea, e recepita dall’Italia a partire 16 ottobre 2024 con decreto legislativo del 4 settembre 2024, n. 138 sta creando molto fermento all’interno dei consigli di amministrazione degli oltre 25.000 soggetti essenziali ed importanti che sono stati identificati in base ai requisiti di dimensioni, fatturato ed attività in perimetro.
Tra le novità più importanti introdotte dalla direttiva vi è difatti una serie di responsabilità, sancite dall’Articolo 23, ove viene ribadito che gli organi direttivi e amministrativi possono essere ritenuti legalmente responsabili per la mancata conformità alle disposizioni della direttiva NIS2.
In particolare ai vertici sono assegnate le responsabilità di supervisione e monitoraggio dell’applicazione della normativa al proprio interno, di valutazione e comprensione dei rischi, di garanzia di un flusso efficace di informazioni riguardanti la sicurezza verso le autorità competenti e di promuovere una cultura della sicurezza adeguata all’interno della propria organizzazione.
Per svolgere questi compiti gli stessi membri dei consigli di amministrazione e organi direttivi devono in primis formarsi ed acquisire le competenze necessarie. Sorge quindi immediatamente la domanda: come organizzare un programma di formazione efficace ed efficiente per i vertici amministrativi? I temi da trattare non sono banali, specialmente quando i “discenti” non sempre posseggono un backgroud di competenze tecniche o normative.
A mio parere personale è fondamentale impostare il giusto mix di competenze cibernetiche, di gestione del rischio e di conoscenza della normativa puntando a far comprendere in modo chiaro e semplice come questi elementi possono influire in modo significativo, tramite le decisioni strategiche prese dai vertici, sulla resilienza complessiva dell’organizzazione.
Gli organi direttivi devono apprendere e comprendere in primis gli asset critici e le vulnerabilità della propria organizzazione, devono garantire che le risorse necessarie per la protezione delle infrastrutture siano adeguatamente allocate, devono adottare strategie che bilancino la sicurezza con le esigenze operative e di business.
Comprendere questi aspetti significa comprendere cosa significa ”fare cybersicurezza“ all’interno del proprio Ente / Azienda, come costituire un Modello Organizzativo di gestione della Sicurezza ICT, come deve essere organizzato (dai propri collaboratori tecnici) un piano di gestione dei rischi.
Comprendere come monitorare le attività attraverso azioni e richieste di informazioni che il CISO, il DPO, il responsabile Formazione, Ufficio Legale/contratti, il fornitore IT devono mettere a disposizione dei Vertici.
Quanti sono i consigli di amministrazione che richiedono evidenza degli esiti di applicazione di simulazioni di incidenti o esiti dei risultati di campagne di phishing pilotate per valutare, anche a seguito della formazione effettuata, quanto il personale dell’azienda è pronto a gestire un evento di incidente reale? Quanta evidenza hanno che l’azienda si è dotata (o si sta dotando) di un insieme di processi, di regole, di un impianto documentale che costituisce la base per attuare e rendere evidente il raggiungimento di una “compliance” alla normativa?
E’ fondamentale che la formazione effettuata spinga gli organi direttivi e amministrativi ad assumere un ruolo attivo e proattivo nella gestione della sicurezza delle reti e dei sistemi informativi. La responsabilità non si limita alla supervisione, ma include anche la garanzia di conformità, la gestione dei rischi e la promozione di una cultura della sicurezza.
Le misure di sicurezza di base (i 116 controlli per i soggetti essenziali e 84 per i soggetti importanti) chiedono che gli Organi direttivi e amministrativi sottoscrivano direttamente una serie di piani che vanno dal piano di adeguamento, al piano dei rischi, al piano di gestione degli incidenti al piano di formazione dei dipendenti, etc e sono questi elementi che devono guidare gli aspetti formativi dei vertici, altrimenti se la sottoscrizione costituirà solo la risoluzione di un dì mero adempimento burocratico sarà stato tutto inutile. La conformità a queste disposizioni non solo proteggerà l’Azienda da potenziali incidenti, ma rafforzerà anche la fiducia dei clienti e delle autorità verso l’organizzazione.