La recente direttiva NIS2, destinata a riformare il panorama della cybersicurezza in Europa, solleva interrogativi fondamentali sulla governance della cybersecurity che i membri del consiglio di amministrazione devono affrontare. La responsabilità legale che incombe sui dirigenti ora ha una nuova dimensione; non si tratta più solo di gestire rischi, ma di garantire una compliance attiva e proattiva a normative sempre più rigorose.

Cybersecurity come priorità strategica

La direttiva NIS2 richiede alle aziende di investire in infrastrutture di cybersicurezza, predisponendo misure adeguate per prevenire attacchi. Questo implica una chiara comprensione dei rischi associati e la necessità di sviluppare strategie robuste. I dirigenti devono inserire la cybersecurity tra le loro priorità strategiche, distinguendo così le proprie responsabilità da quelle tecniche. In questo cambiamento di paradigma, la cybersecurity non deve essere vista come un mero costo, ma come un investimento cruciale per la reputazione, la continuità aziendale e la fiducia dei clienti.

Conoscenza e formazione del board

Un altro aspetto fondamentale è la preparazione del board aziendale. È essenziale che i dirigenti comprendano le minacce che il loro settore potrebbe affrontare, non solo per evitare sanzioni, ma anche per prendere decisioni informate. La formazione continua deve diventare una prassi: il board ha l'obbligo legale di conoscere le tecnologie di sicurezza e i potenziali impatti sugli affari. Questo non è solo un requisito normativo, ma un'opportunità per promuovere una cultura aziendale resiliente rispetto agli attacchi informatici.

Responsabilità legali e conseguenze

Con la NIS2, il consiglio di amministrazione non può più rimanere passivo. In caso di attacco informatico o violazione della sicurezza, le conseguenze possono essere severe, non solo sul piano reputazionale, ma anche su quello legale e finanziario. L'assenza di un piano di risposta agli incidenti e di misure preventive potrebbe esporre i membri del consiglio a responsabilità dirette. Questo comporta la necessità di implementare audit regolari e pratiche di gestione del rischio, affinché il board possa dimostrare il proprio impegno nella gestione della cybersecurity.

Collaborazione tra le diverse funzioni aziendali

Infine, è fondamentale che ci sia una collaborazione tra il board, il team IT e i gruppi di compliance. Le aziende che operano in silos rischiano di non avere una visione chiara delle vulnerabilità e delle risposte necessarie. La condivisione delle informazioni deve essere incoraggiata, così come la creazione di un linguaggio comune per affrontare le minacce informatiche. Solo così si potrà costruire una governance della cybersecurity che non solo rispetti le normative, ma che contribuisca attivamente alla stabilità e alla crescita aziendale.