🚨 Il regolamento NIS2 è ora in vigore. La sensibilizzazione alla sicurezza è ora un obbligo di legge nell'UE.

Verifica della conformità
Iniziare la prova gratuita
Torna al Centro risorse

NIS2 e responsabilità degli amministratori: ciò che ogni amministratore deve sapere

Con la direttiva NIS2, la sicurezza informatica non è più una questione che il consiglio di amministrazione può delegare e poi trascurare. La direttiva attribuisce la responsabilità direttamente al livello dirigenziale e, in determinate circostanze, ritiene i singoli amministratori personalmente responsabili. Sottovalutare questo aspetto non rappresenta solo un rischio per l'organizzazione, ma anche un rischio legale a livello personale.

Cosa dice la NIS2 sul ruolo degli amministratori

L'articolo 20 della direttiva NIS2 è chiaro: gli organi direttivi delle organizzazioni soggette alla direttiva devono approvare le misure di sicurezza informatica e supervisionarne attivamente l'attuazione. Si tratta di un cambiamento fondamentale rispetto alla direttiva NIS1 originaria, in base alla quale la sicurezza informatica era, nella pratica, affidata in gran parte al reparto IT.

La direttiva NIS2 richiede che i membri del consiglio di amministrazione dispongano di conoscenze sufficienti in materia di rischi legati alla sicurezza informatica per poter svolgere in modo efficace il proprio ruolo di vigilanza. La direttiva prevede addirittura in modo esplicito che il management segua una formazione in questo ambito. Non è sufficiente affidare tale compito a un CISO o a una società di sicurezza esterna; la responsabilità finale spetta al consiglio di amministrazione.

Responsabilità civile: cosa significa nella pratica

Nei Paesi Bassi, la direttiva NIS2 è stata recepita nella legge sulla sicurezza informatica (Cyberbeveiligingswet, Cbw). Tale legge istituisce un regime di responsabilità che va oltre le sanzioni pecuniarie a carico delle organizzazioni. Qualora sia possibile dimostrare una negligenza da parte di un amministratore, l’autorità di vigilanza può vietare temporaneamente a tale persona di esercitare funzioni dirigenziali. La misura è rivolta alla persona fisica, non all’organizzazione.

In concreto, un amministratore che abbia ripetutamente omesso di garantire adeguate misure di sicurezza informatica, oppure che abbia ignorato o occultato un incidente grave, può essere temporaneamente sospeso dall'incarico. Tale potere è espressamente concepito come strumento per indurre gli amministratori ad assumersi seriamente le proprie responsabilità.

La disposizione relativa alla responsabilità personale contenuta nella legge sulla sicurezza informatica si applica solo nei casi in cui sia possibile dimostrare una negligenza da parte di un singolo amministratore. Non si tratta di una conseguenza automatica di ogni incidente, ma è riservata alle situazioni in cui il consiglio di amministrazione abbia fallito in modo strutturale nel proprio ruolo di vigilanza.

Quali organizzazioni rientrano in queste norme

La direttiva NIS2 distingue tra entità essenziali ed entità importanti. Le entità essenziali sono grandi organizzazioni operanti in settori critici quali l'energia, i trasporti, la sanità, l'approvvigionamento idrico e le infrastrutture digitali. Le entità importanti sono organizzazioni di medie dimensioni operanti negli stessi settori, a cui si aggiungono settori quali l'industria chimica, la produzione alimentare e i fornitori di servizi digitali.

Gli obblighi a livello di consiglio di amministrazione di cui all'articolo 20 si applicano a entrambe le categorie. La differenza risiede nell'intensità della vigilanza: gli enti essenziali possono essere sottoposti a verifiche proattive da parte dell'autorità competente, mentre la vigilanza sugli enti importanti è in linea di principio di natura reattiva, attivata da segnalazioni o incidenti.

Categoria Dimensioni Supervisione Multa massima
Entità essenziale Grande (oltre 250 dipendenti o oltre 50 milioni di fatturato) Proattivo 10 milioni di euro o il 2% del fatturato globale
Entità importante Media (da 50 a 250 dipendenti) Reattivo 7 milioni di euro, pari all'1,4% del fatturato globale

Cosa ci si aspetta effettivamente dagli amministratori

La legge non stabilisce requisiti tecnici specifici per i membri del consiglio di amministrazione, ma prevede requisiti organizzativi e procedurali. In pratica, questi si traducono in quattro responsabilità:

  • Approvazione della politica: il consiglio di amministrazione deve adottare formalmente la politica in materia di sicurezza informatica e riesaminarla periodicamente, non limitandosi a prenderne atto a titolo informativo.
  • Assegnazione del budget: misure di sicurezza adeguate richiedono risorse. Il consiglio di amministrazione ha la responsabilità di garantire la disponibilità di tali risorse.
  • Esercizio della funzione di controllo: devono esistere canali di comunicazione che consentano al consiglio di amministrazione di valutare lo stato di sicurezza dell'organizzazione, anche in assenza di competenze tecniche.
  • Gestione degli incidenti: quando si verifica un incidente grave, il consiglio di amministrazione deve partecipare attivamente alla risposta e adempiere agli obblighi di notifica nei confronti delle autorità di vigilanza.

L'obbligo di notifica e il ruolo del consiglio di amministrazione in tale contesto

La direttiva NIS2 impone rigorosi obblighi di notifica per gli incidenti gravi. Una segnalazione preliminare deve pervenire all’autorità competente entro 24 ore dalla scoperta. Entro 72 ore deve seguire una relazione dettagliata ed entro un mese una relazione finale. Tali scadenze presuppongono che il consiglio di amministrazione venga informato immediatamente e possa agire con rapidità.

Un dirigente che non conosce le procedure interne di escalation, o che viene a conoscenza di un incidente grave solo giorni dopo, sta creando difficoltà inutili. Sia dal punto di vista sostanziale che giuridico. Il rispetto dell’obbligo di notifica è, dopotutto, uno degli aspetti che le autorità di vigilanza possono verificare con relativa facilità.

Come prepararsi in qualità di regista

La preparazione inizia con la comprensione della situazione. Un amministratore non deve necessariamente essere un esperto di sicurezza, ma deve comprendere quali rischi deve affrontare l'organizzazione, quali misure sono state adottate e come l'organizzazione reagisce quando si verifica un problema. Ciò richiede la presentazione periodica di relazioni sulla sicurezza a livello di consiglio di amministrazione, chiare procedure di escalation e un piano di risposta agli incidenti che il consiglio conosca bene.

Il NIS2 richiede inoltre espressamente che gli amministratori seguano una formazione in materia di sicurezza informatica. Non per renderli esperti dal punto di vista tecnico, ma per consentire loro di valutare i rischi e le politiche aziendali. Le organizzazioni che prendono sul serio questo aspetto documentano anche tale formazione, in modo da poter dimostrare, in caso di verifica, che il consiglio di amministrazione ha adempiuto ai propri obblighi.

La consapevolezza in materia di sicurezza è un anello sottovalutato di quella catena, e non solo per i dipendenti. Un dirigente in grado di riconoscere un tentativo di phishing comprende cosa c'è in gioco quando un membro del personale non è in grado di farlo. Guardey aiuta le organizzazioni a diffondere tale consapevolezza a tutti i livelli, dalla linea di produzione alla sala del consiglio.

La conformità alla direttiva NIS2 inizia qui

Creare una cultura della sicurezza prima che l'autorità di regolamentazione bussi alla porta.

Richiedi una demo
Dinela Lokvancic
Dinela Lokvancic Specialista di marketing Dinela mantiene aggiornata la presenza online di Guardey. Crea contenuti che rendono accessibili argomenti complessi relativi alla sicurezza informatica e aiuta le organizzazioni a comprendere perché la formazione sulla consapevolezza della sicurezza è importante per i loro team.
PRONTO A INIZIARE?

Unisciti alle oltre 500 aziende che già proteggono i propri team con Guardey

Inizia la tua prova gratuita di 14 giorni
14 giorni gratis · Nessuna carta di credito richiesta · Accesso completo · Configurazione in 5 minuti
Oppure prenota una demo personalizzata