Con la NIS2 il management deve assumere un ruolo attivo nelle strategie aziendali sulla cybersicurezza

La NIS2 ha sicuramente rivoluzionato non solo l’approccio alla protezione aziendale della sicurezza informatica, ma soprattutto l’organizzazione delle aziende. Ad esempio, e per tutti, gli organi di amministrazione e controllo non possono più limitarsi a delegare la c.d. cybersicurezza alle funzioni IT, ma devono assumere un ruolo attivo nella definizione delle strategie di protezione e resilienza.

Questo implica non solo la supervisione delle politiche di sicurezza, ma anche un impegno diretto nella loro progettazione e implementazione. Le severe sanzioni pecuniarie previste non si limitano a penalizzare l'azienda nel suo complesso, ma possono estendersi anche a responsabilità personali per gli amministratori, laddove venga accertata una negligenza nella prevenzione dei rischi cibernetici.

Il tema della cybersicurezza deve essere pertanto integrato nelle discussioni strategiche del consiglio di amministrazione e non relegato ad un piano puramente operativo. Questo richiede che i vertici aziendali siano in grado di comprendere non solo i rischi tecnici, ma anche le implicazioni reputazionali degli attacchi informatici. Tra le misure suggerite per favorire questa integrazione strategica vi sono, non a caso, corsi di formazione avanzata per i membri del consiglio, con focus su scenari reali e simulazioni di crisi per testare la capacità decisionale in situazioni di emergenza.

L'importanza di una "cultura della sicurezza"

Un altro elemento fondamentale è la necessità di creare un sistema di reporting interno efficace, che consenta ai dirigenti di ricevere aggiornamenti regolari e dettagliati sullo stato della sicurezza informatica aziendale, inclusi i potenziali rischi emergenti e le contromisure adottate. La cultura della sicurezza – secondo Nis - deve permeare l'intera struttura aziendale, dal livello esecutivo fino ai dipendenti operativi, creando un ecosistema resiliente capace di rispondere con prontezza ed efficacia a ogni tipo di minaccia.

Non va infine trascurato il ruolo centrale della formazione, che rappresenta la colonna portante di un approccio olistico ed integrato, sia negli enti che nelle imprese, alla cybersicurezza. La tecnologia, da sola, non basta: è fondamentale che ogni anello della catena organizzativa, dai vertici ai dipendenti operativi, sia consapevole dei rischi e delle migliori pratiche per prevenirli. Proprio come, né più né meno, per gli altri rischi operativi che sono connaturati, e mai negati, nel quotidiano dispiegarsi delle attività d’impresa, da chiunque esercitate.

Particolare rilievo è attribuito alle politiche di "igiene informatica", che vanno dalla gestione delle password, oggi sempre più orientata all’utilizzo di soluzioni come i gestori di credenziali e l’autenticazione multifattoriale, alla protezione delle comunicazioni sensibili attraverso strumenti di crittografia end-to-end. Inoltre, l’adozione di protocolli di sicurezza per l’utilizzo di dispositivi mobili e la segmentazione delle reti aziendali rappresentano prassi fondamentali per limitare i punti di accesso alle minacce esterne.

Per proseguire la lettura dell'articolo di  Ranieri Razzante - Consulente della Commissione Parlamentare Antimafia, Docente di Tecniche di gestione dei rischi di riciclaggio, Università di Bologna - questo è il link