Nuove competenze richieste all’Organismo di Vigilanza 231 alla luce della Direttiva NIS 2

Autore

L’evoluzione normativa europea e nazionale sta ridefinendo in maniera significativa i compiti e le competenze richieste all’Organismo di Vigilanza (OdV) ex D.Lgs. 231/2001. Con l’entrata in vigore del D.Lgs. 138/2024 di recepimento della Direttiva NIS 2, le imprese italiane, soprattutto quelle rientranti nella categoria di soggetti essenziali e importanti, sono chiamate ad adottare misure stringenti di cybersecurity e gestione del rischio IT.

Di conseguenza, anche l’OdV 231 deve evolversi, ampliando il proprio bagaglio di competenze oltre i tradizionali profili giuridici, organizzativi e di controllo, per includere competenze tecniche e gestionali in materia di sicurezza informatica.

Digital Defense Kit 360 – software Master Pack

1. L’integrazione tra NIS 2 e Modello 231

La NIS 2 introduce obblighi di governance, gestione del rischio, piani di risposta agli incidenti e obblighi di reporting verso le autorità nazionali (ACN – Agenzia per la Cybersicurezza Nazionale).
Questi elementi, se non rispettati, possono generare responsabilità amministrativa dell’ente ai sensi del D.Lgs. 231/2001 in caso di reati informatici o interruzione di servizi essenziali.

Pertanto, l’OdV deve essere in grado di:

  • verificare che il Modello 231 sia aggiornato e coerente con i nuovi obblighi di sicurezza informatica;

  • monitorare l’implementazione dei controlli NIS 2 nei processi aziendali;

  • valutare i flussi informativi tra funzioni IT, risk management, compliance e vertice aziendale.

2. Le nuove competenze richieste all’OdV 231

Ecco i principali ambiti di aggiornamento:

  1. Cyber Risk Management: conoscenza dei principali framework di sicurezza (ISO/IEC 27001, 27005, NIST CSF) e capacità di leggere risk assessment IT.

  2. Incident Response e Business Continuity: comprensione dei piani di gestione incidenti e continuità operativa, per valutare l’effettiva attuazione e la capacità di reazione.

  3. Governance dei dati e reporting: verifica del rispetto degli obblighi di notifica incidenti entro 24 ore (NIS 2) e del coordinamento con il DPO e le funzioni di compliance.

  4. Supply Chain e terze parti: capacità di analizzare i rischi cyber derivanti da fornitori e partner, elemento cruciale in NIS 2.

  5. Formazione e cultura della sicurezza: vigilare sull’efficacia delle campagne di awareness rivolte al personale.