NIS2: il CdA non può scaricare la cyber security sul CISO (e le nuove FAQ ACN lo confermano)
Indice dei Contenuti
Il CdA non può delegare la responsabilità: le nuove FAQ ACN sulla NIS2
Featured Snippet Bait: Le nuove FAQ dell'ACN chiariscono che, ai sensi della NIS2, la responsabilità della cyber security rimane in capo al Consiglio di Amministrazione, anche in presenza di un CISO. Le attività operative possono essere delegate, ma non la responsabilità finale.
Se pensavi che nominare un CISO ti mettesse al riparo da ogni responsabilità, le nuove FAQ dell'ACN ti faranno ricredere. L'Agenzia per la Cybersicurezza Nazionale ha pubblicato un documento che spiega, senza troppi giri di parole, che il Consiglio di Amministrazione resta il vero responsabile della cyber security aziendale. Niente più scaricabarile: il CdA deve governare e supervisionare la materia, punto.
Delega operativa, non di responsabilità
Le FAQ specificano che le attività operative possono essere delegate al CISO o ad altri ruoli tecnici, ma la responsabilità finale è e resta del CdA. È un po' come quando affidi la guida della macchina a un autista: se lui sbaglia, tu sei comunque il proprietario del veicolo e ne rispondi. Allo stesso modo, il CdA non può lavarsi le mani dicendo 'ma io ho delegato'.
Questa precisazione è cruciale per le aziende che rientrano nel perimetro NIS2. La direttiva europea, recepita in Italia con il decreto legislativo n. 138/2024, impone obblighi stringenti in materia di sicurezza informatica. E ora l'ACN ha messo nero su bianco che il vertice aziendale deve essere coinvolto attivamente.
Cosa deve fare il CdA per essere compliant?
Il Consiglio di Amministrazione deve approvare le politiche di cyber security, monitorare l'implementazione delle misure e assicurarsi che ci siano risorse adeguate. Non basta un 'ok' formale: serve un coinvolgimento continuo. Le FAQ suggeriscono che il CdA dovrebbe ricevere report periodici sullo stato della sicurezza e partecipare a sessioni di formazione specifiche.
In pratica, il CdA deve diventare il 'guardiano' della cyber security, non un semplice spettatore. E se pensi che sia noioso quanto leggere i Termini e Condizioni di un'app, sappi che le sanzioni per inadempienza possono arrivare fino al 2% del fatturato annuo globale. Forse un po' di attenzione in più vale la pena.
Le implicazioni pratiche per le aziende
Le aziende devono rivedere i propri modelli di governance. Non basta più avere un CISO bravo: serve che il CdA sia formato e coinvolto. Le FAQ dell'ACN sono un campanello d'allarme per tutte le organizzazioni che pensavano di aver risolto il problema con una semplice nomina.
Inoltre, la responsabilità del CdA si estende anche alla gestione degli incidenti. In caso di attacco, il Consiglio deve essere in grado di dimostrare di aver adottato tutte le misure necessarie. E non vale la scusa 'non lo sapevo'.
FAQ
La nomina di un CISO esonera il CdA dalla responsabilità NIS2?
No, le FAQ dell'ACN chiariscono che la responsabilità finale della cyber security rimane in capo al Consiglio di Amministrazione. Il CISO può gestire le attività operative, ma il CdA deve governare e supervisionare.
Quali sono le sanzioni per il CdA in caso di violazione NIS2?
Le sanzioni possono arrivare fino al 2% del fatturato annuo globale o a 10 milioni di euro, a seconda di quale sia l'importo maggiore. Inoltre, i membri del CdA possono essere ritenuti personalmente responsabili.
Cosa deve fare il CdA per essere conforme alla NIS2?
Il CdA deve approvare le politiche di cyber security, monitorare l'implementazione, assicurare risorse adeguate, ricevere report periodici e partecipare a formazione specifica. La delega operativa è possibile, ma non quella di responsabilità.

Comitato Editoriale NakedPact
Articolo ideato dalla redazione di NakedPact. La nostra missione è analizzare, semplificare e svelare le clausole vessatorie e i rischi nascosti presenti nei contratti di uso quotidiano, per proteggere i cittadini e i consumatori.
Fonti e Riferimenti Normativi

Sei titolare di un sito web?
Vuoi comunicare ai tuoi utenti la tua trasparenza nel trattare i dati? Utilizza in maniera dinamica il nostro badge e mostra la conformità della tua piattaforma.
Letture Consigliate

Clausole di Arbitrato Obbligatorio: La Trappola Nascosta nei Contratti Software che ti Toglie il Diritto di Fare Causa

Il New Jersey ha appena reso la vita dei data broker un inferno (e costoso)

UK-GDPR: Devo davvero pagare la tassa all'ICO? (E cosa succede se non lo faccio)
🛡️ Proteggi i tuoi diritti con un clic
Non rischiare di firmare clausole abusive. Installa l'estensione gratuita di NakedPact per Chrome o Firefox e analizza all'istante qualsiasi contratto sul web.
Non fidarti, verifica.
Ora che sai quali sono i rischi, non firmare alla cieca. Carica il tuo contratto su NakedPact e lascia che l'Intelligenza Artificiale trovi le clausole nascoste per te. È 100% gratuito.
Analizza il tuo Contratto Ora