Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La NIS 2 e il Decreto legislativo 138/2024, stanno ridefinendo la governance della cybersecurity nelle aziende, rafforzando il ruolo del CdA e del CISO. Le linee guida fornite dell’Agenzia per la Cybersicurezza Nazionale, stanno imponendo un flusso continuo di informazioni con una documentazione strutturata del rischio. La mancata tracciabilità delle decisioni, potrebbe esporre gli amministratori a delle responsabilità legali, rendendo di fatto la cybersecurity un elemento centrale nella gestione strategica di una azienda.
Se la Nis 2 ed il Decreto legistavo 138/2024 rappresentano per certi versi un punto di svolta in materia di cyber security, per i “soggetti essenziali” ed i “soggetti importanti”, le determinazioni emanate nell’aprile del 2025 dall’ Agenzia per la Cybersicurezza Nazionale costituiscono la vera ” messa a terra” in questo ambito delicato.
Ciò che emerge è come il CdA e lo Chief Information Security Officer devono oramai dialogare costantemente e la supervisione del Consiglio di Amministrazione non è più da considerare un atto formale, diventando parte integrante di un processo in cui il flusso informativo diventa fondamentale.
Il CdA deve , infatti, validare non solo le policy di alto livello ma anche le analisi del rischio aggiornate periodicamente in base all’evoluzione del panorama delle minacce. Ecco perché il continuo ed aggiornato flusso di informazioni che dalla parte tecnica si spostano verso l’Organo amministrativo , finiscono per rappresentare lo strumento di tutela dell’amministratore laddove consente di comprendere i livelli di sicurezza raggiunti e le criticità ancora esistenti
Per i professionisti della sicurezza l’appendice c delle linee guida dell’Agenzia è fondamentale in quanto definisce un catalogo di undici documenti strategici che costituiscono la base su cui far ruotare tutta la gestione del rischio informatico. L’importanza di questi documenti è testimoniata dal fatto che la loro assenza, anche parziale, può costituire prova della imperizia nella gestione del rischio all’interno dell’azienda.
Tra i vari documenti posto di rilievo occupano quelli relativi alla policy sulla sicurezza dei sistemi di informazione e la procedura per la gestione degli incidenti, poiché delineano i contorni dei diversi interventi umani e tecnici nei momenti in cui occorre affrontare eventuali criticità . Per tali ragionil’approvazione formale di tali documenti da parte dell’organo di gestione non può essere considerata una mera pratica burocratica e ciò in quanto rappresenta l’atto giuridico attraverso il quale viene assunta la responsabilità delle scelte strategiche aziendali.
In quest’ottica, proprio nel senso di una più penetrante responsabilità ,occorre che ciascun documento contenga traccia scritta dell’analisi compiuta dal dal CdA e del fatto che le scelte e le misure adottate siano in linea con i rischi da affrontare e le dimensioni dell’azienda. E’ inutile dire che la tracciabilità delle scelte e la prova di come le stesse siano state assunte diventa fondamentale laddove i vertici siano chiamati a difendersi da eventuali rimproveri legali di non essere stati diligenti.
Quando agli inizi degli anni 90 ho iniziato ad occuparmi di criminalità informatica tale ambito era affrontato negli incontri accademici in modo distinto: da un parte i convegni riservati solo agli esperti di sicurezza, dall’altra quelli dedicati esclusivamente ai giuristi. Con il passare del tempo le cose sono radicalmente mutate per cui è oggi impensabile immaginare un esperto di sicurezza che non abbia conoscenze giuridiche, o che comunque sappia confrontarsi con le leggi, ed al contrario non si può ipotizzare un giurista che non sia capace di leggere la nuova realtà tecnologica.
Diviene quindi inevitabile che anche la figura dello Chief Information Security Officer si sia radicalmente trasformata, diventando uno dei perni della consulenza del vertice aziendale in merito alle problematiche legate al rischio digitale. Questo arricchimento di conoscenze è fondamentale per la comprensione delle leggi in questo settore, ivi compreso ciò che richiesto dal Decreto legislativo 138/2024.
Tra il CdA ed il delegato alla sicurezza si crea un rapporto imprescindibile in cui quest’ultimo deve essere in grado di trasferire , ed il CdA, di recepire, tutte le informazioni utili – non solo quelle relative alle vulnerabilità ma anche quelle riguardanti gli impatti di business- , in modo che il vertice aziendale operi scelte in modo consapevole.
Sotto il profilo eminentemente giuridico perché la delega di funzioni sia efficace, e possa escludere o limitare la responsabilità dei membri del CdA, occorre che la stessa sia affidata a soggetto con competenza qualificata, che il delegato abbia autonomia decisionale e che sia previsto per la sua attività un budget dedicato.
L’adeguamento della normativa alla nuova realtà, caratterizzata dal fatto che la sicurezza dei sistemi diventa prioritaria, si traduce anche in scadenze operative che devono essere rispettate. In quest’ottica devono essere lette le scadenze fissate dall’Agenzia per la registrazione sulla piattaforma nazionale e per la successiva presentazione dei piani di sicurezza, dalla cui inottemperanza dipendono sanzioni pecuniarie per l’azienda e rischi di natura interdittiva per i vertici.
Protezione delle risorse critiche e tutela legale dell’impresa rappresentano oramai un qualcosa che deve essere considerato come unico obiettivo, nel senso che occorre pianificare non solo gli interventi tecnologici, ma anche i tempi necessari per le istruttorie tecniche, le sessioni formative del management e le sedute del Consiglio di Amministrazione per l’approvazione formale dei documenti.
Dalla comprensione di come vada oggi intesa la sicurezza dipende lo sviluppo aziendale, anche in termini di business, e la stessa sopravvivenza dell’impresa .
