La nuova responsabilità degli imprenditori: cosa succede con la NIS2?
Con l’entrata in vigore della Direttiva NIS2, lo scenario europeo in materia di sicurezza informatica è cambiato in modo significativo, come visto nelle nostre precedenti news. Le imprese dovranno non solo adeguare i propri standard di cybersecurity, ma si vedranno coinvolte anche in nuove forme di responsabilità legale e penale, che coinvolgono direttamente i vertici aziendali e in particolar modo l’Amministratore Delegato, il quale non potrà più delegare la gestione del rischio a figure operative o tecniche.
Infatti, tra le sanzioni previste oltre alle multe che variano dai 7 ai 10 milioni di euro o taglio del 2% o 1,4% del fatturato annuo globale, a seconda se l’azienda rientri tra i soggetti essenziali o importanti, sono incluse sanzioni accessorie proprio per i dirigenti, come il rischio di interdizioni per dirigenti fino a quando l’azienda non adotterà misure necessarie per adeguarsi e oltre ciò, gli organi di vigilanza possono rimuovere tutti i vertici che son ritenuti negligenti.
Quali sono le principali responsabilità per il top management?
La Direttiva NIS2 stabilisce alcuni obblighi per i vertici aziendali:
- Partecipare a programmi di formazione, per acquisire consapevolezza delle minacce informatiche e delle modalità più efficaci per affrontarle;
- Assicurare la definizione, l’aggiornamento e l’integrazione dei piani di gestione degli incidenti all’interno dei processi aziendali;
- Vigilare e garantire l’effettiva adozione delle misure di sicurezza previste per la gestione del rischio informatico;
- Verificare il rispetto degli obblighi di notifica degli incidenti alle autorità competenti;
- Assumersi la responsabilità in caso di inadempienze, con possibili conseguenze di natura amministrativa, civile o penale.
Le azioni chiave per prepararsi alla NIS2 ed evitare sanzioni
Per affrontare in modo efficace le nuove responsabilità introdotte dalla direttiva NIS2 è necessario svolgere le seguenti attività:
- Eseguire un assessment approfondito per identificare i requisiti NIS2 applicabili alla propria realtà aziendale;
- Attivare percorsi formativi specifici per il vertice aziendale, al fine di sviluppare una piena consapevolezza del ruolo strategico che la governance ricopre nella gestione del rischio informatico e nella prevenzione degli incidenti;
- Aggiornare i modelli organizzativi esistenti, integrando i principi della NIS2 nei processi aziendali e nei sistemi di gestione del rischio, con attenzione alla prevenzione e risposta agli incidenti;
- Individuare e nominare un referente interno responsabile della sicurezza delle reti e dei sistemi informativi, dotato delle competenze necessarie per coordinare le attività di compliance;
- Coordinarsi con consulenti specializzati, in grado di offrire supporto tecnico e legale nell’adeguamento alle nuove disposizioni.