Autore
La Direttiva (UE) 2022/2555, meglio conosciuta come NIS 2, ha ridefinito il quadro europeo della cybersicurezza, introducendo regole e responsabilità che incidono profondamente sulle imprese e sugli enti considerati “essenziali” o “importanti”.
In Italia, l’attuazione della direttiva non può essere letta in modo isolato: il suo impatto si intreccia inevitabilmente con il sistema di responsabilità amministrativa degli enti previsto dal D.Lgs. 231/2001.
Questo significa che anche l’Organismo di Vigilanza (OdV 231) è chiamato a fare la sua parte, evitando approcci superficiali o riduttivi.
Ecco cinque errori frequenti che un OdV dovrebbe assolutamente scongiurare.
1. Considerare la NIS 2 come un tema solo informatico
Ridurre la NIS 2 a una questione tecnica di firewall, server e sistemi IT è un errore grave.
Le prescrizioni della direttiva hanno infatti conseguenze dirette anche sull’assetto organizzativo e sul sistema dei controlli interni previsti dal Modello 231.
L’OdV deve quindi verificare che le misure di sicurezza cibernetica siano tradotte in procedure, protocolli e policy aziendali, evitando di lasciare il tema confinato al reparto IT.
2. Non inserire i flussi NIS 2 nei report all’OdV
Incidenti di sicurezza, segnalazioni di vulnerabilità, esiti dei test di resilienza: la direttiva impone un sistema di reportistica puntuale.
Se questi dati non arrivano all’OdV, il rischio è che l’attività di vigilanza diventi solo formale.
Occorre invece aggiornare i flussi informativi verso l’OdV, includendo tutto ciò che riguarda la gestione degli incidenti informatici.
3. Trascurare il ruolo del vertice aziendale
La NIS 2 chiama direttamente in causa l’organo dirigente, attribuendogli responsabilità specifiche in materia di supervisione e allocazione di risorse.
Un OdV che non verifica l’effettivo coinvolgimento del management rischia di non cogliere uno degli aspetti più delicati.
Il compito dell’OdV è anche quello di monitorare se i vertici aziendali hanno approvato piani, budget e politiche concrete per la gestione del rischio cibernetico.
4. Dimenticare la formazione del personale
Nessuna misura tecnica può essere davvero efficace senza la collaborazione delle persone.
La NIS 2 prevede obblighi chiari di formazione e sensibilizzazione del personale sui rischi informatici.
L’OdV deve quindi verificare non solo che i corsi siano stati programmati, ma che risultino effettivamente erogati, tracciati e mirati alle diverse funzioni aziendali.
5. Ignorare i rischi provenienti dai fornitori
La catena di fornitura è spesso il punto debole della sicurezza. La NIS 2 sottolinea l’importanza di valutare e gestire i rischi connessi ai partner esterni.
Limitarsi a guardare dentro i confini aziendali è un errore che può costare caro.
L’OdV deve quindi assicurarsi che i contratti, le procedure di selezione e i controlli sui fornitori siano adeguati e coerenti con i requisiti della direttiva.
L’attività dell’OdV 231 non può prescindere dalle novità introdotte dalla NIS 2.
Un approccio riduttivo o meramente formale rischia di vanificare la funzione di vigilanza, esponendo l’ente a responsabilità e a sanzioni.
Integrare la cybersicurezza all’interno del Modello 231 significa non solo adempiere a un obbligo, ma anche rafforzare la resilienza complessiva dell’organizzazione.