CYBERSECURITY E ADEGUATI ASSETTI ORGANIZZATIVI
La sempre crescente dipendenza dell'economia moderna dalle
tecnologie digitali ha portato a un aumento dei rischi derivanti dagli attacchi
informatici, che rappresentano una minaccia per le imprese e, più in generale, per
le grandi organizzazioni, compresi gli Stati. Questo ha portato la
cybersecurity a diventare un'attività multidisciplinare di vitale importanza
per proteggere gli asset materiali e immateriali dall'aggressione attraverso il
cyberspazio, e a diventare una priorità globale per tutti coloro che utilizzano
regolarmente dispositivi digitali come computer, tablet e smartphone.
Il rischio cibernetico si estende oltre i confini nazionali e coinvolge molteplici attività produttive. Purtroppo, ciò ha anche portato all'esplosione del cybercrime, il quale rappresenta una conseguenza negativa del business creato dalla rete. Per proteggere le imprese e le organizzazioni dai rischi cibernetici, è essenziale aumentare la consapevolezza e la cultura digitale, affrontare i comportamenti datati e implementare presidi adeguati.
In questo contesto, la cultura aziendale è diventata un aspetto chiave della cybersecurity, richiedendo una lenta e costante crescita della consapevolezza da parte di tutti coloro che si occupano di questi temi. La prevenzione e l'adozione di presidi adeguati sono fondamentali per proteggere l'azienda. Inoltre, la prevenzione richiede il superamento di un problema culturale, oltre che tecnico.
In Italia, la cultura digitale è ancora scarsa e spesso gli imprenditori e gli amministratori sono scettici riguardo alla sicurezza dei loro dati. Tuttavia, è essenziale che tutti comprendano i rischi della cybersecurity e adottino comportamenti adeguati per proteggere la propria azienda e la propria organizzazione al fine di prevenire gli attacchi informatici. La comprensione e l'implementazione della normativa europea e domestica riguardante la cybersecurity sono anche di fondamentale importanza per affrontare questo problema in modo efficace.
Il rischio cibernetico si estende oltre i confini nazionali e coinvolge molteplici attività produttive. Purtroppo, ciò ha anche portato all'esplosione del cybercrime, il quale rappresenta una conseguenza negativa del business creato dalla rete. Per proteggere le imprese e le organizzazioni dai rischi cibernetici, è essenziale aumentare la consapevolezza e la cultura digitale, affrontare i comportamenti datati e implementare presidi adeguati.
In questo contesto, la cultura aziendale è diventata un aspetto chiave della cybersecurity, richiedendo una lenta e costante crescita della consapevolezza da parte di tutti coloro che si occupano di questi temi. La prevenzione e l'adozione di presidi adeguati sono fondamentali per proteggere l'azienda. Inoltre, la prevenzione richiede il superamento di un problema culturale, oltre che tecnico.
In Italia, la cultura digitale è ancora scarsa e spesso gli imprenditori e gli amministratori sono scettici riguardo alla sicurezza dei loro dati. Tuttavia, è essenziale che tutti comprendano i rischi della cybersecurity e adottino comportamenti adeguati per proteggere la propria azienda e la propria organizzazione al fine di prevenire gli attacchi informatici. La comprensione e l'implementazione della normativa europea e domestica riguardante la cybersecurity sono anche di fondamentale importanza per affrontare questo problema in modo efficace.
La legislazione italiana sul tema della cybersecurity
In Italia, la legislazione sulla cybersecurity è stata costantemente e profondamente implementata negli anni, a causa della crescente importanza strategica della sicurezza informatica. Gli Stati membri, compresa l'Italia, sono stati più volte esortati ad adottare misure legislative ad hoc al fine di armonizzare la normativa interna con quella dell'Unione Europea per far fronte alla continua e rapida trasformazione che ha interessato l'intero tessuto sociale. La crescente esposizione di dispositivi, oggetti e persone alla rete ha portato all'incremento delle situazioni di vulnerabilità, soprattutto in ambito governativo. In questo contesto, l'Italia ha maturato una consapevolezza in materia di cybersecurity già a partire dal 2008, con la creazione del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.
Nel 2013, la prima Cybersecurity Strategy dell'Unione Europea ha spinto gli Stati membri a considerare l'introduzione di adeguate infrastrutture dedicate alla sicurezza informatica e nel 2015 è stata rivista e implementata l'architettura nazionale in materia di sicurezza cibernetica, delineata dal D.P.C.M. Monti del 24 gennaio 2013.
Il decreto legislativo del 18 maggio 2018, n. 65, recependo la direttiva NIS, ha definito la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi, individuando i soggetti competenti per l'attuazione degli obblighi previsti dalla direttiva stessa. Tale decreto ha introdotto una serie di obblighi di sicurezza a carico degli operatori e fornitori dei servizi digitali e obblighi di notifica degli incidenti. Inoltre, ha previsto la creazione di un Gruppo di intervento per la sicurezza informatica in caso di incidente (il CSIRT) per garantire una maggiore collaborazione e un più diffuso scambio di informazioni tra gli Stati membri dell'UE.
Le aziende italiane e la sicurezza informatica
La cybersecurity rappresenta un problema culturale che richiede
un'attenzione immediata, una capacità di apprendimento e un rapido cambiamento
da parte degli operatori che devono agire per garantire la prevenzione. Il
livello culturale “digitale” nel nostro paese è notoriamente molto basso e
questo non fa che peggiorare ulteriormente la situazione.
Gli incidenti informatici rappresentano oggi uno tra i rischi più importanti per le aziende italiane. Nonostante le imprese dimostrino una maggiore consapevolezza rispetto al passato dell'importanza della gestione della sicurezza, registrano ancora ritardi significativi. Questo è probabilmente dovuto al fatto che molte aziende considerano il rischio cybersecurity come un rischio che deve essere gestito esclusivamente dalla funzione IT, come un banale rischio informatico. In realtà, la cybersecurity non deve essere vista come una competenza settoriale ma come qualcosa che attraversa l'intera azienda e supera i comparti organizzativi.
Questo concetto deve essere condiviso e applicato a livello aziendale, ricordando l'importanza di avere assetti organizzativi adeguati per affrontare in modo efficace anche la cybersecurity.
Gli incidenti informatici rappresentano oggi uno tra i rischi più importanti per le aziende italiane. Nonostante le imprese dimostrino una maggiore consapevolezza rispetto al passato dell'importanza della gestione della sicurezza, registrano ancora ritardi significativi. Questo è probabilmente dovuto al fatto che molte aziende considerano il rischio cybersecurity come un rischio che deve essere gestito esclusivamente dalla funzione IT, come un banale rischio informatico. In realtà, la cybersecurity non deve essere vista come una competenza settoriale ma come qualcosa che attraversa l'intera azienda e supera i comparti organizzativi.
Questo concetto deve essere condiviso e applicato a livello aziendale, ricordando l'importanza di avere assetti organizzativi adeguati per affrontare in modo efficace anche la cybersecurity.
Per comprendere meglio come la cybersecurity sia strettamente
legata all'approccio e alla crescita culturale, è importante notare come molte
aziende credano erroneamente che maggiori investimenti si traducano in minori
rischi di cybercrime. Questa concezione è solo parzialmente vera, poiché la
creazione di una cultura aziendale consapevole è ciò che conta di più. Gli
investimenti sono essenziali, ma rappresentano solo una tessera del mosaico
dell'adeguata struttura organizzativa.
Un altro aspetto culturale che deve essere superato è l'approccio delle organizzazioni che affrontano il fenomeno cybersecurity in piena autonomia, senza coinvolgere altre organizzazioni, il che è spesso dovuto all'individualismo delle nostre imprese e all'incapacità di fare squadra. Tuttavia, il fenomeno è di tale portata e rilevanza che deve essere affrontato con un approccio diverso, mettendo insieme tutte le forze disponibili a livello imprenditoriale, societario, di gruppo e di associazioni di categoria, ma anche a livello istituzionale e governativo.
Per individuare i presidi essenziali che imprenditori e amministratori devono adottare per proteggere le aziende dal rischio cyber, è essenziale introdurre il tema centrale della rilevanza di adeguati assetti organizzativi, che rappresentano l'unico modo per preservare l'organizzazione da qualsiasi rischio. Questo tema è particolarmente rilevante perché, in caso di non corretta gestione, può essere fonte di responsabilità per gli amministratori.
È quindi necessario comprendere che la cybersecurity, come qualsiasi altro tipo di rischio, deve trovare una pronta risposta da parte dell'azienda e delle sue strutture, attraverso la cura e l'implementazione di un'adeguata struttura organizzativa, amministrativa e contabile. Gli assetti organizzativi adeguati costituiscono sempre più un elemento centrale per il corretto governo dell'impresa, e la valutazione dell'adeguatezza è affidata al consiglio di amministrazione.
In sintesi, gli assetti organizzativi adeguati rappresentano una componente essenziale del dovere di amministrare correttamente la società. In questo contesto, l'organo delegato e il consiglio di amministrazione si trovano ad affrontare la sfida di svolgere un'attività preventiva di cura, implementazione ed adeguamento della struttura organizzativa per affrontare e contenere i rischi di cybersecurity.
La gestione degli attacchi cibernetici rappresenta una sfida complessa non solo per la riparazione dell'infrastruttura tecnica, ma anche per la gestione dei delicati aspetti legati ai rischi e alle strategie di prevenzione. È quindi necessario che il consiglio di amministrazione adotti una strategia costante di miglioramento della propria abilità di incorporare i cyber risk all'interno della più ampia strategia aziendale, rendendo la governance della cybersecurity una priorità costante.
Anche se la tecnologia rappresenta la base su cui costruire un efficace modello di Cyber Risk Governance, non si deve sottovalutare l'opportunità di conformarsi agli altri "principi guida" che impongono agli amministratori di considerare la cybersecurity come fattore strategico abilitante il business, di comprendere i driver e gli impatti economici dei rischi, di allineare il cyber risk management alle esigenze aziendali e di incoraggiare la resilienza di sistema e la collaborazione.
Un altro aspetto culturale che deve essere superato è l'approccio delle organizzazioni che affrontano il fenomeno cybersecurity in piena autonomia, senza coinvolgere altre organizzazioni, il che è spesso dovuto all'individualismo delle nostre imprese e all'incapacità di fare squadra. Tuttavia, il fenomeno è di tale portata e rilevanza che deve essere affrontato con un approccio diverso, mettendo insieme tutte le forze disponibili a livello imprenditoriale, societario, di gruppo e di associazioni di categoria, ma anche a livello istituzionale e governativo.
Per individuare i presidi essenziali che imprenditori e amministratori devono adottare per proteggere le aziende dal rischio cyber, è essenziale introdurre il tema centrale della rilevanza di adeguati assetti organizzativi, che rappresentano l'unico modo per preservare l'organizzazione da qualsiasi rischio. Questo tema è particolarmente rilevante perché, in caso di non corretta gestione, può essere fonte di responsabilità per gli amministratori.
È quindi necessario comprendere che la cybersecurity, come qualsiasi altro tipo di rischio, deve trovare una pronta risposta da parte dell'azienda e delle sue strutture, attraverso la cura e l'implementazione di un'adeguata struttura organizzativa, amministrativa e contabile. Gli assetti organizzativi adeguati costituiscono sempre più un elemento centrale per il corretto governo dell'impresa, e la valutazione dell'adeguatezza è affidata al consiglio di amministrazione.
In sintesi, gli assetti organizzativi adeguati rappresentano una componente essenziale del dovere di amministrare correttamente la società. In questo contesto, l'organo delegato e il consiglio di amministrazione si trovano ad affrontare la sfida di svolgere un'attività preventiva di cura, implementazione ed adeguamento della struttura organizzativa per affrontare e contenere i rischi di cybersecurity.
La gestione degli attacchi cibernetici rappresenta una sfida complessa non solo per la riparazione dell'infrastruttura tecnica, ma anche per la gestione dei delicati aspetti legati ai rischi e alle strategie di prevenzione. È quindi necessario che il consiglio di amministrazione adotti una strategia costante di miglioramento della propria abilità di incorporare i cyber risk all'interno della più ampia strategia aziendale, rendendo la governance della cybersecurity una priorità costante.
Anche se la tecnologia rappresenta la base su cui costruire un efficace modello di Cyber Risk Governance, non si deve sottovalutare l'opportunità di conformarsi agli altri "principi guida" che impongono agli amministratori di considerare la cybersecurity come fattore strategico abilitante il business, di comprendere i driver e gli impatti economici dei rischi, di allineare il cyber risk management alle esigenze aziendali e di incoraggiare la resilienza di sistema e la collaborazione.
In sintesi, considerando le complesse questioni sollevate, si può affermare che il fenomeno della cybersecurity è ancora relativamente nuovo per molte aziende italiane e per coloro che ne hanno la gestione. Ciò è dovuto, in parte, alla mancanza di una cultura informatica sufficientemente sviluppata. Nonostante ciò, il legislatore europeo e nazionale ha emanato provvedimenti normativi efficaci per cercare di regolamentare il fenomeno. Tuttavia, la legislazione è un'attività tardiva e a posteriori, pertanto non può essere considerata la sola soluzione al problema. Occorre una risposta immediata, adeguata e urgente che possa essere fornita solo attraverso un cambiamento culturale veloce, una crescita diffusa della competenza digitale e una collaborazione tra imprese, istituzioni, autorità ed enti preposti, a livello nazionale ed internazionale.