L’art. 23 del decreto attuativo della nis2 prevede che gli organi amministrativi e direttivi rispondano delle violazioni di cui al decreto se non sovrintendono all’implementazione degli obblighi previsti nel decreto medesimo.
Per fare questo gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono tenuti, in primis, a seguire una formazione in materia di sicurezza informatica;
Badate che NON SI TRATTA DI UN MERA FORMAZIONE formale (o sulla carta!). La formazione a cui si fa riferimento è sia una formazione sui contenuti fondamentali legati alla sicurezza e ai rischi informatici ma soprattutto una formazione pratica e di verifica sui concetti appresi e su come questi concetti devono essere messi in pratica fattivamente all’interno dell’azienda.
Cosa conta fare formazione sulla sicurezza informatica se poi apro, senza alcuna consapevolezza, ogni link che arriva nella mia casella di posta o sui miei dispositivi informatici? Ovviamente è un esempio è una provocazione ma serve per far comprendere ciò che capita ogni giorno nelle aziende.
Una volta fatta la formazione gli organi apicali promuovono l’offerta periodica di una formazione coerente a quella da loro frequentata ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.
Anche qua le parole non sono usate a caso!
Promuovono l’offerta periodica di una formazione: ciò significa non tirare per fare meno ore possibili di formazione ma significa stilare un piano di formazione dettagliato e puntuale con relativo programma e test di verifica; significa conoscere la realtà aziendale, le vulnerabilità della stessa e adattare la formazione proprio alla realtà specifica; e il piano da attuare partirà NON DALLE ORE di formazione da fare ma dagli argomenti da affrontare e dai rischi da analizzare. Da lì si redigerà un dettagliato e puntuale programma di formazione, si delineeranno i ruoli interessati e si stabiliranno le ore necessarie.
La formazione, quindi, dovrà essere sia teorica che pratica e così i relativi test o prove di verifica.
Per favorire l’acquisizione di conoscenze e competenze: la finalità non è quella di avere l’ attestato e assolvere al “compitino” ma è quella di far acquisire competenze reali, concrete e utili per poter riconoscere i rischi e quindi non cadere nelle trappole degli attaccanti malevoli;
Al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti: lo scopo essenziale di questa formazione deve essere quella di INDIVIDUARE I RISCHI che si possono verificare quando si svolgono le attività lavorative ordinarie (per esempio riconoscere una mail di phishing, una richiesta di bonifico proveniente da un truffatore invece che dal titolare ecc), VALUTARE COME GESTIRLI e CAPIRE L’IMPATTO che ne può derivare.
Possiamo ben comprendere, quindi, come la formazione non sia una mera attività formale da subire in modo passivo ma che debba diventare in ogni azienda una parte fondamentale, la chiave per ben comprendere che solo con una reale consapevolezza di tutte le componenti umane aziendali (c.d. Firewall umano) si possono ridurre i rischi ed essere più competitivi sul mercato.
Non più una formazione passiva e subita o imposta ma una formazione attiva e pro attiva che possa portare ad una cooperazione effettiva ed efficace tra tutte le figure aziendali.
FATTO Nis2 è la necessità di una compliance integrata e coordinata
Come sappiamo il 16 ottobre 2024 è entrato in vigore il decreto attuativo della direttiva NIS2 (decreto nr. 138/24) e le disposizioni di quest’ultimo trovano piena applicazione a decorrere dal 18 ottobre 2024.
La direttiva Nis2 ha, come sappiamo, lo scopo di garantire un livello elevato di cybersicurezza all’interno dell’Unione europea.
La cybersicurezza è un obiettivo primario e fondamentale che ogni azienda si deve dare, gestendo la propria organizzazione interna e facendo sì che la stessa sia coordinata non solo con la normativa in tema di sicurezza informatica ma con tutte le altre normative che possono coinvolgere l’azienda.
E quali normative possono coinvolgere l’azienda?
Le normative che si prenderanno in considerazione in questo articolo sono solamente le principali e sono quelle che coinvolgono il trattamento dei dati, la sicurezza degli stessi, la sicurezza delle informazioni e i comportamenti illeciti che potrebbero derivare da un’errata applicazione di dette normative.
La prima normativa che dev’essere presa in considerazione in questo approccio integrato è senza dubbio il GDPR cioè il regolamento europeo in tema di trattamento dei dati.
Altra normativa di fondamentale importanza è la ISO 27001:2022 in tema di sicurezza delle informazioni.
Non sarà concepibile implementare la documentazione e le policy NIS2 senza tenere conto di queste normative e senza tenere conto dei principi fondamentali in esse contenuti e degli strumenti d lavoro che le stesse offrono.
Questo perché in azienda tutti trattiamo dati (anche se molti ancora sembra che non se ne rendano conto!). Molti sono dati personali (pensiamo al nome, al cognome, alla mail, ai dati di contatto, ai dati che lasciamo quando accediamo ad un sito web ecc). Spesso trattiamo dati particolari quindi dati particolarmente sensibili (esempio alcuno dati dei dipendenti ma non solo). Altre volte abbiamo a che fare con informazioni che magari non contengono dati ma che hanno comunque un’importanza fondamentale per la vita dell’azienda (si pensi a progetti particolari, brevetti, contratti – che peraltro possono contenere dati – o altre informazioni anche informatiche che fanno parte del patrimonio informativo aziendale.
Tutti questi dati e informazioni possono essere trattati sia in modalità cartacea che in modalità informatica e devono essere trattati in modo sicuro, trasparente e corretto.
E questo è il primo appiglio di collegamento.
Nella redazione della mia documentazione, delle mie procedure GDPR e 27001 (qualora abbia adottato in azienda questo sistema di gestione) andrò a coordinare il tema del trattamento di tutti questi dati e di queste informazioni con le policy nis2 che mi consentiranno di implementare, monitorare, verificare e aggiornare costantemente le misure di sicurezza tecniche, operative ed organizzative adottate dall’azienda.
Queste procedure andranno, altresì, coordinate con altre normative fondamentali quali per esempio il d.lgs. 231/01 in tema di responsabilità amministrativa. Detta normativa contempla vari reati presupposto e tra questi si annovera l’accesso abusivo sui sistemi informatici.
Orbene, recentemente la Cassazione con sentenza nr. 40295 del 2024 ha riconosciuto il reato di accesso abusivo ad un sistema informatico per un dirigente che si era fatto dare le password da un suo collaboratore sottoposto per accedere ai dati e questo senza un’autorizzazione da parte del datore di lavoro.
Detta prassi errata è abbastanza consolidata nelle aziende dove i vertici apicali (e a scalare anche i ruoli subordinati) credono di poter accedere dove vogliono e ai dati che vogliono, anche utilizzando credenziali altrui senza autorizzazione.
Detto comportamento, abbiamo detto, che è completamente errato in quanto le credenziali di accesso sono chiavi personali e se il titolare le attribuisce ad un soggetto o a più soggetti è perché solo quei soggetti, e non altri, vi possono accedere.
Si aggiunga che gli accessi, il più delle volte, sono tracciati tramite dei file di log e il file di log, in tal caso risulterebbe associato al soggetto dotato della relativa chiave di accesso. In tal modo, quindi, emergerebbe falsamente che l’accesso fosse stato operato dalla dipendente quando in realtà veniva effettuato dal dirigente.
Sembrano concetti scontati e banali quando in realtà ripetutamente ci si scontra con queste situazioni.
E in un caso come questo come si sarebbe potuti intervenire ex ante per rispetta la nis2 il GDPR e la 27001?
Per esempio prevedendo una procedura organizzativa accurata e dettagliata sugli accessi e sui diritti di accesso, sull’attribuzione corretta delle credenziali di accesso (c.d. password) nonché una procedura legata ai ruoli aziendali. Si poteva, altresì, implementare un regolamento sui sistemi informatici per dare istruzioni operative ai soggetti coinvolti. Infine, stabilire misure di sicurezza tecniche efficaci atti a dimostrare l’applicazione corretta della procedura (esempio monitoraggio dei log di accesso, attribuzione credenziali sicure e protette ecc).
E si potrebbe continuare coordinando le procedure che abbiamo elencato con le normative vigenti in tema di diritto del lavoro (procedure disciplinari, redazione mansionari ecc) in modo da garantire la conformità anche a questa normativa.
Infine, ma non come importanza, formare tutti i soggetti sul rispetto delle procedure redatte e sulle normative in essere.
Conclusione
Se si vuole attuare un sistema aziendale efficace ed efficiente non è più possibile, prescindere, nella redazione di tutte le procedure e policy, da un’analisi comparata ed accurata,di tutte le normative applicabili.
Il tutto accompagnato da una formazione e sensibilizzazione costante per tutte le figure aziendali partendo dai vertici apicali e a seguire a tutte le posizioni subordinate.
