Con la Direttiva in esame sono stati introdotti importanti principi ed obblighi di cybersicurezza per i soggetti definiti essenziali o importanti, ma la platea è molto più ampia in quanto tali principi e obblighi valgono, a cascata, anche per tutta la filiera di approvvigionamento con conseguente enorme ampliamento della sua applicazione.
Il tema caldo su cui si vuole brevemente richiamare l’attenzione è quello della responsabilità personale che è stata esplicitata e ribadita con il decreto nazionale di recepimento (d.lgs. 4.9.2024, n. 138, in vigore dal 16 ottobre 2024).
La responsabilità dei soggetti apicali
aziendali ovvero degli organi di vertice (CdA in particolare) permane,
infatti, quanto alla definizione e approvazione delle misure di gestione
del rischio informatico e quanto alla loro concreta attuazione, non potendo nessuna
delle due essere in alcun modo delegata, neanche alle figure che vanno
obbligatoriamente nominate (ad es. referente CSIRT Computer Security Incidente
Response Team), in merito alle quali va precisato che non è sufficiente la mera
competenza tecnica ma occorre anche quella legale.
La normativa richiede, infine, una formazione specifica a carico degli stessi soggetti apicali, pena l’applicazione di sanzioni elevate a carico dell’ente e, diversamente da alttre norme di compliance, anche personali e dirette per i vertici.
In conclusione, non basta ritenere che l’ambito informatico aziendale sia
strutturato e protetto, ma occorre una seria attività di goverrnance
strutturata in un vero e proprrio Modello che documenti e monitori le misure
intraprese; non solo per la prevenzione e la risposta agli incidenti ma anche
le attività di monitoraggio, aggiornamento e di formazione obbligatoria.
Avv. Agostino De Zordo - LegalAssociati Roma
Indietro