Aggiungi ItaliaOggi alle tue fonti preferite su Google per non perderti i nostri contenutiL’attacco informatico non è più un incidente tecnico: è un fallimento di governance. È questo il punto che le imprese italiane farebbero bene a mettere in agenda subito, prima che a ricordarglielo siano un pubblico ministero, l’Agenzia per la cybersicurezza nazionale o un tribunale civile.
Il documento pubblicato dal Consiglio nazionale dei commercialisti sulla “Cybersecurity e Modello 231” segnala un passaggio importante, che cioè la sicurezza digitale è entrata ufficialmente nel cuore delle responsabilità degli amministratori e degli organi di controllo. Quindi, se l’azienda subisce un ransomware, una fuga di dati o una frode informatica, non basterà più dire “ci hanno hackerato”. Ora qualcuno chiederà se sono stati predisposti adeguati assetti organizzativi per prevenire e gestire quel rischio.
Negli ultimi anni infatti le norme europee e italiane, dalla direttiva NIS2 alla legge sulla cybersicurezza, hanno trasformato il rischio cyber in un obbligo di governance. Gli amministratori devono valutare i rischi informatici, approvare politiche di sicurezza, finanziare i controlli, verificare che esistano procedure efficaci e che l’azienda sappia reagire agli incidenti. Non è più materia da delegare soltanto al responsabile IT.
