La cybersecurity non è più solo un tema tecnico: con la Direttiva NIS2, il Consiglio di Amministrazione diventa direttamente responsabile della protezione digitale dell’azienda. Il rischio non è più solo informatico: ogni decisione, piano di protezione e incidente ricade adesso sotto la lente della governance. Le Linee guida ACN sulle specifiche di base chiariscono come agire.
Il nuovo ruolo del CdA
Secondo l’articolo 23 del decreto NIS, il CdA deve:
- Approvare e supervisionare le misure di sicurezza informatica
- Garantire formazione continua, per i suoi membri e per i dipendenti
- Ricevere informazioni tempestive sugli incidenti significativi
- Approvare documenti strategici, tra cui piani di continuità operativa, di disaster recovery, e di gestione delle vulnerabilità con annesse policy interne
La responsabilità è diretta: eventuali violazioni possono comportare sanzioni anche di natura personale, trasformando il CdA da garante a vero protagonista della resilienza digitale.
Documenti chiave da approvare
L’Appendice C delle linee guida ACN individua i documenti che richiedono approvazione formale:
- Organizzazione e policy di cyber sicurezza
- Valutazione e trattamento del rischio
- Piani di gestione vulnerabilità, incidenti e crisi
- Piani di continuità operativa e disaster recovery
- Piani di formazione
Il supporto di Confindustria Innovation Hub
Per trasformare gli obblighi NIS2 in azioni concrete, il Polo Nazionale di Innovazione digitale creato da Confindustria offre il servizio di Cybersecurity Assessment, che può essere finanziato fino al 100% per le PMI grazie alle risorse del PNRR gestite da ConfIN Hub:
- valutare la maturità digitale dell’organizzazione
- individuare le aree critiche
- preparare il CdA ad affrontare e gestire efficacemente le proprie responsabilità
Scarica il documento ufficiale ACN
