Gestione del rischio cyber: ruoli aziendali e normative NIS2.
L’introduzione della direttiva NIS2 e delle normative nazionali ha alzato l’asticella della responsabilità degli organi di vertice. Il provvedimento europeo prevede misure di gestione del rischio che includono l’analisi delle minacce, la gestione degli incidenti, la continuità operativa, la sicurezza della supply chain e l’uso di crittografia e autenticazione multifattoriale. Gli articoli 20 e 21 della direttiva attribuiscono agli amministratori la responsabilità diretta dell’adeguatezza delle misure; in caso di violazione, sono previste sanzioni che vanno da ammonimenti e audit a sospensioni e multe fino a dieci milioni di euro.
Con l’arrivo del decreto NIS italiano e delle regole dell’Agenzia per la cybersicurezza nazionale (ACN), i consigli di amministrazione devono dimostrare di aver definito processi di gestione del rischio, ruoli, procedure di notifica e piani di recupero.
Le pressioni non arrivano solo dai legislatori. Secondo un sondaggio del Center for Audit Quality e Deloitte, il 58 % delle aziende statunitensi attribuisce al comitato di audit la supervisione primaria della cyber security e la maggioranza dei consulenti considera la sicurezza informatica la principale priorità del 2025. La Securities and Exchange Commission richiede agli emittenti di descrivere nei documenti societari le modalità con cui identificano e gestiscono i rischi cyber, il ruolo del management e l’attività di vigilanza del consiglio. Ciò ha portato a una maggiore attenzione alla formazione dei vertici: l’Institute of Internal Auditors raccomanda che i board svolgano esercitazioni periodiche per testare la resilienza e migliorare la risposta agli incidenti.
Gli assicuratori seguono la stessa direzione: il rapporto 2025 di Munich Re sottolinea che una gestione matura del rischio cyber è fondamentale per la stabilità finanziaria e reputazionale; gli assicuratori richiedono dati più accurati sugli incidenti, standard di sicurezza chiari e trasparenza sull’appetito di rischio.
L’impatto della direttiva NIS2 e delle normative italiane sulla gestione del rischio cyber
Lo scenario complessivo suggerisce che la gestione del rischio cyber non è più una questione delegabile agli specialisti IT, ma un dovere fiduciario. Le aziende devono sviluppare piani di gestione degli incidenti che integrino prevenzione, rilevamento, risposta e recupero. Deve essere definito un inventario dei sistemi critici, con valutazioni periodiche delle vulnerabilità e procedure per la protezione di fornitori e terze parti.
È necessario adottare controlli di sicurezza coerenti, dalla segmentazione di rete alla protezione dei dati, garantendo la conformità ai requisiti normativi. La cultura aziendale deve riconoscere la cybersecurity come un fattore strategico e dotarsi di risorse per la formazione continua dei dipendenti e l’esecuzione di esercitazioni di crisi. L’adozione di standard e framework di riferimento (ISO 27001, NIST CSF) aiuta a rendere misurabili gli sforzi e a dialogare in modo trasparente con assicuratori e revisori.
Strumenti e piattaforme per supportare la gestione del rischio cyber nelle aziende
Per affrontare queste sfide serve anche un supporto tecnologico adeguato. La piattaforma ATENA di Hermes Bay supporta le organizzazioni nella gestione della compliance normativa e a standard di sicurezza, consentendo valutazioni strutturate e ripetibili. La piattaforma consente di monitorare lo stato di aderenza ai requisiti normativi e di supportare le attività di audit e verifica, contribuendo a una governance del rischio più trasparente e dimostrabile.
Approfondisci le funzionalità di Atena
Luisa Franchina, Presidente AIIC
Tommaso Diddi, analista HB
