NIS2: Il CdA non può scaricare la cyber security sul CISO (e le nuove FAQ ACN lo confermano)
目次
Il CISO non è un parafulmine: la responsabilità resta in CdA
Se pensavi che assumere un CISO (Chief Information Security Officer) ti mettesse al riparo dalle responsabilità NIS2, le nuove FAQ dell'Agenzia per la Cybersicurezza Nazionale (ACN) ti faranno ricredere. La nomina di un responsabile della sicurezza informatica non è una delega in bianco: il Consiglio di Amministrazione rimane l'organo titolare della governance e della supervisione in materia di cyber security. In pratica, il CdA non può dire 'l'ho delegato al CISO, non sono affari miei'.
Featured Snippet: Chi è responsabile della cyber security secondo NIS2?
Secondo le FAQ ACN, la responsabilità finale della cyber security ricade sul Consiglio di Amministrazione, che deve approvare le politiche di sicurezza, supervisionare l'implementazione e garantire le risorse necessarie. Il CISO è un esecutore, non un parafulmine.
Delega operativa sì, responsabilità no
Le FAQ specificano che le attività operative possono essere delegate al CISO o ad altri ruoli tecnici, ma la responsabilità di governance rimane in capo al CdA. È come se il presidente di una banca delegasse la gestione della cassaforte a un impiegato: se i soldi spariscono, la colpa è pur sempre del presidente. Allo stesso modo, se un attacco informatico mette in ginocchio l'azienda, il CdA non può nascondersi dietro al CISO.
Cosa deve fare il CdA per essere in regola?
Il Consiglio deve adottare un approccio attivo: approvare la strategia di cyber security, ricevere report periodici dal CISO, assicurarsi che le risorse siano adeguate e, soprattutto, dimostrare di aver esercitato la dovuta diligenza. Le FAQ suggeriscono che il CdA dovrebbe includere la cyber security all'ordine del giorno delle riunioni periodiche, proprio come si fa con i bilanci o le strategie commerciali. Se non lo fate, preparatevi a spiegare al regolatore perché.
Le sanzioni? Salate, come un conto da sushi dopo una notte di lavoro
NIS2 prevede sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale. Per le aziende più grandi, parliamo di cifre che farebbero impallidire anche il CFO più ottimista. E non è solo una questione di multe: la reputazione dell'azienda e la fiducia dei clienti sono in gioco. Come diceva un vecchio proverbio informatico: 'non è paranoia se ti vogliono davvero hackerare'.
FAQ
Il CdA può delegare completamente la cyber security al CISO?
No, la delega può riguardare solo le attività operative, non la responsabilità di governance. Il CdA deve supervisionare e approvare le politiche di sicurezza.
Cosa rischia il CdA se non si adegua a NIS2?
Oltre a sanzioni pecuniarie fino a 10 milioni di euro o al 2% del fatturato, il CdA potrebbe incorrere in responsabilità civile e penale per danni da violazione dei dati.
Quali sono i primi passi che il CdA deve fare per conformarsi?
Il CdA deve nominare un CISO (se non già presente), approvare una strategia di cyber security, istituire report periodici e assicurarsi che le risorse siano adeguate. Le FAQ ACN sono un buon punto di partenza.

NakedPact 編集委員会
NakedPact 編集部が作成した記事です。私たちの使命は、一般市民や消費者を保護するために、日常の契約に潜む不当な条項や隠れたリスクを分析、簡素化、および明らかにすることです。

おすすめ記事
🛡️ ワンクリックで権利を守る
不当な条項に署名するリスクを避けてください。Chrome または Firefox 用の無料の NakedPact 拡張機能をインストールして、Web 上のあらゆる契約を即座に分析します。


