DOMANDA: quali sono le principali criticità nella responsabilità personale dei vertici aziendali sotto NIS2?

Risponde Pierpaolo Benzi

La direttiva NIS2 introduce un quadro normativo chiaro riguardo alle responsabilità dei vertici aziendali. Le principali criticità riguardano l’assenza di indicazioni specifiche su come implementare una gestione della sicurezza informatica che soddisfi i requisiti richiesti. In particolare, la fallibilità nella valutazione del rischio, l'inadeguatezza delle risorse e il coinvolgimento di un personale non sufficientemente formato possono esporre i dirigenti a responsabilità personali. La necessità di un approccio proattivo alla gestione della sicurezza comporta che i vertici debbano essere necessariamente coinvolti nel processo decisionale relativo alla cybersecurity.

L'approfondimento: quali sono le misure minime di sicurezza richieste?

Le misure minime di sicurezza definite dalla NIS2 includono l’adozione di soluzioni tecniche e organizzative per garantire un elevato livello di sicurezza delle reti e dei sistemi informatici. Queste misure devono essere continuamente adeguate al fine di prevenire incidenti e garantire la resilienza delle infrastrutture critiche. È fondamentale che le aziende compiano un costante assessment delle vulnerabilità e attuino un piano di risposta agli incidenti, considerandolo parte integrante delle loro operazioni quotidiane.

Il dettaglio normativo: cosa prevede l’incident reporting verso le autorità?

La NIS2 stabilisce obblighi rigorosi in merito all’incident reporting. In caso di violazioni significative della sicurezza, le organizzazioni devono informare le autorità competenti entro un massimo di 24 ore. Ciò implica che ogni entità deve avere procedure chiare e risorse pronte per gestire e comunicare efficacemente eventuali incidenti, senza esporre la propria organizzazione a ulteriori rischi legali o reputazionali. È essenziale che le aziende sviluppino una cultura della compliance informativa per mitigare al meglio i rischi associati.

Se sei un consulente privacy, DPO o semplicemente un appassionato della materia iscriviti ad AIP ed avrai molti vantaggi e la possibilità di confrontarti con un network di professionisti italiani.