AO464

sicurezza 104 AUTOMAZIONE OGGI 464 SOLUZIONI SOFTWARE PER L’INDUSTRIA P er anni, la protezione dei dati e la cybersecurity sono state considerate competenze esclusive dei team IT e di sicurezza, seguendo il motto: “lasciamo fare agli esperti”. Questo approccio di delega è stato a lungo ritenuto sen- sato. Tuttavia, con l’aumento e la profonda integrazione della tecnologia nelle aziende, e con il passaggio delle violazioni informatiche da eventi occasionali a minacce sempre più certe, la sicurezza informatica è diventata una responsabilità condivisa da ogni membro dell’organizzazione. Le recenti normative inmateria di cybersecurity, come NIS2 e Dora, riflettono questa evoluzione, imponendo alle aziende di assumersi una responsabilità diretta. Oggi, in caso di violazione, la responsabilità non ricade più esclu- sivamente sul Ciso. L’intera C-suite, ovvero il gruppo dei dirigenti di più alto livello all’interno di un’organizzazione, è coinvolta e deve rispondere. I dirigenti sono ora personalmente responsabili per la gestione e la formazione relative alla sicurezza informatica. Possono infatti incorrere in pesanti sanzioni in caso di inadempi- mento. Un numero crescente di manager sta comprendendo che affidarsi totalmente a team interni o fornitori esterni, senza un coinvolgimento attivo e consapevole, rappresenta un rischio tan- gibile e potenzialmente disastroso. Se sorgono lacune, o se i pro- cessi di sicurezza non sono supportati adeguatamente, a essere compromessa è la loro reputazione, e quella dell’intera azienda. È quindi arrivato il momento di fare un passo avanti e partecipare in prima persona. Sotto i riflettori: la C-suite È evidente che non si può chiedere a tutti i dirigenti di essere esperti in cybersecurity e protezione dei dati. Per molti, questa potrebbe essere la prima volta in cui si confrontano in modo ap- profondito con i propri piani di resilienza dei dati e risposta agli incidenti. Tuttavia, con l’aumento delle minacce informatiche e l’indurirsi delle normative, i manager devono non solo accettare che le violazioni sono ormai inevitabili, ma anche prendere misure proattive per rafforzare le difese e garantire il rispetto delle nor- mative. Le normative sulla cybersecurity, in particolare la direttiva NIS2, hanno con- ferito alla C-suite un ampio e nuovo insieme di respon- sabilità. Per la prima volta, i dirigenti devono gestire in Le recenti normative in materia di cybersecurity, come NIS2 e Dora, impongono alle aziende di assumersi una responsabilità diretta e quindi il top management deve ora adattarsi a nuove responsabilità Rick Vanover modo attivo e di- retto i rischi legati alla sicurezza infor- matica e definire la strategia di pro- tezione dell’orga- nizzazione. Sono inoltre incaricati della gestione e mitigazione del rischio a livello aziendale, oltre che delle procedure di segnalazione degli inci- denti. Inoltre, i vertici aziendali che non adempiono alle norma- tive rischiano responsabilità personali e sanzioni fino a 7 milioni di sterline o al 1,4% del fatturato annuo globale dell’organizza- zione (per le entità rilevanti), a seconda di quale importo risulti più elevato. La pressione è forte. I dirigenti di alto livello dovranno integrare la resilienza organizzativa e la preparazione alla gestione degli incidenti tra le loro priorità principali. Ciò implica non solo investire in sicurezza e formazione, ma anche esigere responsa- bilità da parte degli stakeholder interni. E la parola chiave qui è proprio responsabilità. Regolamenti come NIS2 includono il top management nell’ambito della responsabilità non perché tutto debba ricadere su di loro, ma perché sono le figure con l’auto- revolezza necessaria per garantire che tutti i soggetti coinvolti lo siano davvero. Il cambiamento parte dall’interno, ma spesso non si limita a questo. I membri della C-suite saranno sempre più Affondare o restare a galla Regolamenti come NIS2 includono il top management nell’ambito della responsabilità in quanto figure con l’autorevolezza necessaria per garantire il coinvolgimento di tutti i soggetti Foto Shutterstock NIS 2 Directive 2023 EY Global Third-Party Risk Management Survey