La governance della cybersecurity è oggi un terreno di responsabilità diretta per gli organi di vertice dei soggetti NIS. La combinazione tra Decreto NIS2, Linee guida ACN e sistemi di certificazione impone al CdA di assumere un ruolo attivo nella valutazione dei rischi, nell’approvazione del piano di sicurezza e nella tracciabilità delle decisioni adottate.
Indice degli argomenti
- Responsabilità degli organi di vertice nei soggetti NIS
- Governance della cybersecurity e doveri degli organi amministrativi
- Analisi dei rischi e governance della cybersecurity nel piano di sicurezza
- Linee guida ACN, framework nazionali e governance della cybersecurity
- Certificazioni, Accredia e governance della cybersecurity dopo NIS2
Responsabilità degli organi di vertice nei soggetti NIS
Il Decreto (D.lgs. 138/2024) che ha recepito in Italia la cosiddetta Direttiva NIS2 attribuisce agli “organi di amministrazione” e agli “organi direttivi” dei soggetti NIS una forma di responsabilità oggettiva rispetto agli obblighi in materia di cybersecurity.
WHITEPAPER
NIS2: proteggi la tua impresa dai rischi digitali con un approccio strutturato
Sicurezza informatica
Security Risk Management
Leggi l’informativa sulla privacyE-mail aziendale*
I soggetti NIS sono un’ampia gamma di entità pubbliche e private che operano in settori critici o che forniscono servizi digitali, inclusi i settori dell’energia, dei trasporti, della sanità, delle infrastrutture digitali, dei servizi finanziari e della pubblica amministrazione.
Quali sono i nuovi servizi web dell’Agenzia delle Entrate introdotti nel 2021?
Nel 2021 l’Agenzia delle Entrate ha introdotto tre nuovi servizi web per semplificare le procedure agli utenti:
1. Rilascio di certificati di attribuzione del codice fiscale e della partita IVA: questo servizio permette di ottenere i certificati in pochi minuti, in formato originale e in copia conforme, eliminando la necessità di recarsi fisicamente agli uffici.
2. Successione web: un sistema di compilazione assistita della dichiarazione di successione che guida l’utente nell’inserimento dei dati con alert in caso di errori e permette di caricare direttamente le informazioni degli immobili già registrate nel Catasto.
3. Consegna documenti e istanze: consente di inviare online documenti e istanze agli uffici delle Entrate senza doversi recare fisicamente agli sportelli, ottenendo una ricevuta di protocollazione.
Questi servizi sono accessibili tramite SPID, Carta d’Identità Elettronica, Carta Nazionale dei Servizi o credenziali Fisconline/Entratel e sono utilizzabili anche da dispositivi mobili come smartphone e tablet.
FAQ generata da AI
Come funziona l’accesso ai servizi dell’Agenzia delle Entrate dopo la dismissione delle credenziali personali?
Dal 1° ottobre 2021, le credenziali personali per l’accesso ai servizi online dell’Agenzia delle Entrate sono state dismesse in favore di SPID, CIE (Carta d’Identità Elettronica) e CNS (Carta Nazionale dei Servizi), come previsto dal DL 76/2020.
Tuttavia, esistono alcune eccezioni:
1. Le credenziali Fisconline dei titolari di partita IVA e degli incaricati di enti e società rimangono funzionanti.
2. I privati cittadini che diventano incaricati di una società o aprono una partita IVA possono richiedere nuove credenziali tramite la procedura di registrazione ai servizi telematici o generarle direttamente nella sezione “Profilo Utente” se già in possesso di SPID, CNS o CIE.
3. Le credenziali Entratel, riservate agli intermediari fiscali e alle società che presentano dichiarazioni per più di 20 soggetti, restano operative senza una data certa di dismissione.
Queste eccezioni sono state mantenute perché i sistemi di autenticazione centralizzati (SPID, CIE e CNS) sono pensati per un uso personale e risultano meno adatti per utilizzi professionali che richiedono automazione nell’accesso e comunicazione tra sistemi informatici.
FAQ generata da AI
Quali funzionalità offre l’App Agenzia Entrate e come si differenzia dall’App Fatturae?
L’App Agenzia Entrate è uno strumento ufficiale disponibile per dispositivi iOS e Android che offre numerose funzionalità per facilitare l’accesso ai servizi fiscali:
– Controllo di codici fiscali e partite IVA
– Consultazione del calendario delle scadenze fiscali
– Verifica degli avvisi relativi ai servizi telematici
– Richiesta del Pin per accedere all’area Fisconline (per persone fisiche)
– Preiscrizione al canale Entratel (per intermediari, persone giuridiche e PA)
– Verifica del modello 730 precompilato
– Accesso al servizio web Fatture e corrispettivi
– Accesso al Cassetto fiscale
– Prenotazione del web ticket per gli uffici dell’Agenzia
È importante non confondere l’App Agenzia Entrate con l’App Fatturae: mentre la prima offre accesso a diversi servizi telematici e comunicazioni con la pubblica amministrazione, l’App Fatturae è dedicata esclusivamente alla creazione e all’invio delle fatture elettroniche. Sono due strumenti separati che svolgono funzioni differenti e devono essere scaricati separatamente.
FAQ generata da AI
Cos’è VERA, l’intelligenza artificiale dell’Agenzia delle Entrate, e come funziona?
VERA (Verifica dei Rapporti Finanziari) è uno strumento di data analysis basato sull’intelligenza artificiale utilizzato dall’Agenzia delle Entrate per contrastare l’evasione fiscale. Implementato in attuazione della legge di bilancio 2020, VERA funziona attraverso l’incrocio dei dati presenti nell’Anagrafe tributaria con le informazioni comunicate dagli operatori finanziari all’Archivio dei rapporti finanziari.
Il sistema permette di:
– Incrociare i dati delle app di pagamento con quelli già in possesso dell’Agenzia
– Valutare se le operazioni effettuate dal contribuente sono coerenti con i redditi dichiarati
– Raccogliere informazioni dai contribuenti anche da fonti aperte (web, social network)
– Predisporre liste di contribuenti a rischio evasione
I dati vengono anonimizzati nella fase preliminare di analisi e, solo in caso di rilevazione di potenziali anomalie, i funzionari dell’Agenzia possono conoscere l’identità del soggetto verificato. Il Garante per la Privacy ha stabilito che i dati non possono essere conservati oltre il secondo anno successivo a quello in cui matura l’accertamento e, in ogni caso, non oltre la chiusura di eventuali contenziosi.
FAQ generata da AI
Come funziona la nuova piattaforma di API management dell’Agenzia delle Entrate?
La nuova piattaforma di API management dell’Agenzia delle Entrate, attivata dal 15 maggio 2023, rappresenta una svolta nei servizi informatici offerti ai contribuenti. Questa piattaforma consente a cittadini, imprese, professionisti e provider di servizi di accedere e dialogare direttamente con le banche dati dell’amministrazione finanziaria, aggiornando e integrando i dati in modo diretto.
I primi servizi disponibili riguardano la verifica dell’esistenza e della validità di codici fiscali e partite IVA. In particolare, l’utente può:
– Verificare l’esistenza e la validità di un codice fiscale
– Verificare l’esistenza e la validità di una partita IVA
– Verificare la corrispondenza tra codice fiscale/partita IVA e denominazione
La piattaforma realizza la piena interoperabilità tra i sistemi informatici del fisco e quelli dell’utente, in conformità con quanto prescritto dal Codice dell’Amministrazione Digitale. Questo permette di automatizzare l’acquisizione e la verifica delle informazioni, ad esempio nella fase di emissione delle fatture o nell’analisi di conformità dei dati nelle anagrafiche clienti e fornitori.
Per accedere al servizio, è necessario essere registrati nell’area riservata del sito dell’Agenzia, e i dati ottenuti devono essere utilizzati nel rispetto delle normative sul trattamento dei dati personali.
FAQ generata da AI
Quali sono le novità introdotte dall’Agenzia delle Entrate per la gestione dei corrispettivi telematici?
Con il provvedimento n. 111204 del 7 marzo 2025, l’Agenzia delle Entrate ha reso operativa la possibilità per gli esercenti al minuto di gestire la memorizzazione e trasmissione telematica dei corrispettivi esclusivamente con soluzioni software, abbandonando definitivamente i registratori telematici (RT) e i server RT.
Questa evoluzione, prevista dall’articolo 24 del decreto legislativo n. 1/2024, consente una gestione più fluida e integrata nei sistemi informatici per l’emissione dello scontrino elettronico (documento commerciale), offrendo la possibilità di governare direttamente situazioni come chiusure straordinarie o ordinarie dell’attività e sostituzione di supporti informatici.
La soluzione software si compone di due elementi principali:
1. Modulo Fiscale 1 (MF1): un’app o software gestionale installato su dispositivi come SmartPOS, PC o tablet per la registrazione sicura dei dati fiscali e l’emissione del documento commerciale.
2. Modulo Fiscale 2 (MF2): un software installato su un sistema hardware che si interfaccia con il sistema di accoglienza dell’Agenzia delle Entrate per la memorizzazione fiscale e la trasmissione dei dati.
Le soluzioni software devono essere approvate dal Direttore dell’Agenzia previo parere della Commissione per l’approvazione dei misuratori fiscali, e tutti i file delle operazioni commerciali devono essere conservati elettronicamente secondo le disposizioni del CAD e le Linee Guida AgID.
FAQ generata da AI
Quali sono le regole per l’esterometro secondo i chiarimenti dell’Agenzia delle Entrate?
Dal 1° luglio 2022 sono cambiate le modalità di comunicazione dei dati delle operazioni con l’estero (esterometro). Con l’articolo 12 del decreto-legge n. 73/2022 sono state escluse dall’adempimento comunicativo le operazioni fuori campo IVA di modico valore, fino a 5.000 euro per singola operazione.
Secondo la circolare 26/E del 13 luglio 2022 dell’Agenzia delle Entrate:
– Sono escluse dall’obbligo di comunicazione: le operazioni documentate con fattura elettronica via SdI, quelle con bolletta doganale e le operazioni non rilevanti territorialmente in Italia di importo non superiore a 5.000 euro.
– Sono incluse nell’obbligo: le operazioni con consumatori finali e tutte quelle non rilevanti territorialmente in Italia di importo superiore a 5.000 euro.
– Per gli enti non commerciali e del terzo settore, l’obbligo è limitato alle operazioni commerciali, escludendo quelle istituzionali.
– Nella descrizione dell’operazione non è necessario riportare in dettaglio la natura, qualità e quantità dei beni e servizi, ma è sufficiente una descrizione generica.
L’operatore deve comunque conservare le fatture emesse verso clienti esteri o ricevute da fornitori esteri, dove dovranno essere indicati in modo dettagliato la natura, qualità e quantità dei beni e servizi. Le fatture in formato XML veicolate tramite SdI devono essere conservate elettronicamente.
FAQ generata da AI
Quali sono le novità sui bonus edilizi 2025 secondo la guida dell’Agenzia delle Entrate?
Secondo la circolare dell’Agenzia delle Entrate del 19 giugno 2025, la Legge di Bilancio 2025 ha introdotto importanti novità sui bonus edilizi, con l’obiettivo di favorire la ristrutturazione degli edifici e la transizione verso soluzioni più ecologiche e sostenibili.
Le detrazioni fiscali per gli interventi di recupero del patrimonio edilizio, Ecobonus e Sismabonus sono state prorogate fino al 2027, con aliquote maggiorate per chi destina l’immobile ad “abitazione principale”:
– Bonus ristrutturazioni: 50% per le seconde case e 60% per la prima casa
– Ecobonus: 50% per le seconde case e 65% per la prima casa
– Sismabonus: 50% per le seconde case e 65% per la prima casa
La detrazione maggiorata si applica anche se l’immobile è adibito a residenza abituale di un familiare del contribuente e agli interventi sulle pertinenze come garage e cantine.
Dal 2025 vengono incentivati interventi volti alla sostenibilità ambientale, come:
– Pompe di calore
– Sistemi ibridi (caldaia a condensazione integrata con pompa di calore)
– Generatori di calore alimentati da biomasse combustibili
– Sistemi di microcogenerazione
Non sono più previsti incentivi per la sostituzione di impianti con caldaie a condensazione alimentate da combustibili fossili, in conformità con la Direttiva UE 2024/1275.
Inoltre, i contribuenti che hanno sostenuto nel 2023 costi per interventi agevolati potranno scegliere di ripartire la detrazione in 10 quote annuali di pari importo presentando una dichiarazione integrativa entro il 31 ottobre 2025.
FAQ generata da AI
Cosa ha stabilito la Corte Costituzionale riguardo alle richieste di documenti da parte dell’Agenzia delle Entrate?
La Corte Costituzionale, con la sentenza n. 137/2025, ha chiarito che l’Agenzia delle Entrate non può chiedere al contribuente elementi informativi che l’amministrazione finanziaria potrebbe ottenere semplicemente interrogando le proprie banche dati, come ad esempio le fatture elettroniche.
La sentenza si è pronunciata sulla legittimità costituzionale dell’art. 32, commi 4 e 5, del d.P.R. 600/1973, che stabilisce che i documenti non esibiti durante un controllo fiscale non possono poi essere utilizzati dal contribuente nel processo, salvo che dimostri di non aver potuto consegnarli per causa non imputabile a lui.
La Corte ha fornito un’interpretazione restrittiva della norma, stabilendo che la preclusione all’utilizzo dei documenti in sede processuale può operare solo se:
1. La richiesta è rivolta specificamente al contribuente o a un suo ausiliare, non a un terzo
2. La richiesta è specifica e puntuale, non generica
3. È previsto un congruo termine per rispondere, non inferiore a 15 giorni
4. Non riguarda documenti già in possesso dell’amministrazione finanziaria
Inoltre, la Corte ha evidenziato che l’omissione del contribuente deve essere consapevole e intenzionale, con l’obiettivo di ostacolare l’ispezione dei documenti, e non può essere imputata quando dipende da cause non riconducibili al contribuente stesso, come forza maggiore o errori del consulente fiscale.
Questa evoluzione interpretativa favorisce il dialogo anticipato, la cooperazione e l’intesa tra fisco e contribuente, in linea con la recente riforma tributaria.
FAQ generata da AI
La direttiva si applica quindi a entità classificate come “essenziali” e “importanti”, che includono grandi aziende ma anche PMI se svolgono attività cruciali per la sicurezza o se fanno parte della catena di fornitura di un soggetto NIS.
Definizione dei soggetti NIS e dei soggetti responsabili
La parola “organi direttivi” ha generato inizialmente vari errori e confusione sulla esatta individuazione delle persone fisiche che detengano il potere di direzione e rappresentanza di soggetti collettivi (associazioni, fondazioni, comitati, società, enti, ecc.).
Sul punto non aiuta né la confusa definizione del testo del Decreto né tantomeno l’ultima Deliberazione dell’ACN (Autorità nazionale per la cybersicurezza), in vigore dallo scorso 30 settembre 2025. L’unico raggio di luce lo offrono le FAQ pubblicate sul sito dell’ACN, che identificano i “soggetti responsabili” – da indicare da parte delle organizzazioni essenziali e importanti – come “…componenti del CdA o strutture analoghe tenuto conto della natura giuridica e della struttura organizzativa della organizzazione…”.
Precisando poi che “…non è invece attesa l’elencazione… di altre figure apicali subordinate al CdA”. E non potrebbe essere diversamente. Una ricostruzione di diritto non può infatti prescindere dalla nozione di “organo”, che l’esegesi delle fonti impone di attribuire a quelle persone fisiche che detengano il potere di amministrazione e rappresentanza dei soggetti collettivi e degli enti, sia in forma singola che collegiale (esempio tipico i componenti del Consiglio di amministrazione).
Stabilito il perimetro sulle persone fisiche responsabili, passiamo ad analizzare le norme introdotte con riferimento agli “organi amministrativi”, che coincidono con quelli “direttivi”.
Governance della cybersecurity e doveri degli organi amministrativi
L’art. 23 del Decreto prevede una nuova ipotesi di responsabilità oggettiva dell’organo amministrativo per le violazioni e le sanzioni connesse alla mancata gestione dei rischi di cybersicurezza.
A tal fine la norma stabilisce che l’organo amministrativo:
- deve approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate ai sensi dell’articolo 24;
- deve sovraintendere all’implementazione degli obblighi del Decreto;
- è responsabile delle violazioni del Decreto.
Responsabilità oggettiva, valutazione dei rischi e proporzionalità delle misure
Infatti, se da un lato la norma sembrerebbe limitare la responsabilità professionale alla fase di implementazione e governo del piano di sicurezza una volta rilevati i rischi, dall’altro lato alla base di tutte le scelte si pone la valutazione dei rischi.
Si attribuisce quindi il governo anche all’organo amministrativo, cui è demandata la valutazione della proporzionalità delle misure adottate al grado di esposizione al rischio. In questo quadro la governance della cybersecurity si traduce in un insieme di decisioni motivate e tracciabili, che partono dall’analisi dei rischi per arrivare alla scelta delle misure.
Sanzioni personali, poteri interdittivi ACN e limiti delle deleghe
La norma attribuisce altresì agli organi amministrativi una responsabilità personale, sanzionando con pene pecuniarie rilevanti sia l’organizzazione NIS sia i componenti dell’organo per la mancata vigilanza e la mancata adozione di misure di sicurezza adeguate ai rischi.
A ciò si aggiunge il potere interdittivo dell’ACN, che può disporre in capo ai componenti dell’organo amministrativo l’incapacità a svolgere funzioni dirigenziali all’interno dell’organizzazione che rappresentano, sospensione che ha efficacia fino a quando non vengano adottate dal soggetto NIS misure di sicurezza proporzionate all’effettivo livello di esposizione al rischio.
Insomma, si tratta di una responsabilità personale che consiglia grande attenzione sia nel delegare parti delle attività da eseguire sia nel processo di valutazione dei rischi. Il governo di tutto il sistema di gestione della sicurezza è infatti in capo all’organo amministrativo.
Pertanto, prima di pensare a come delegare fasi di processo, è bene che sia chiara la centralità della responsabilità di ogni componente dell’organo amministrativo nella governance della sicurezza informatica.
Più avanti esamineremo come le “norme armonizzate” (tra cui le norme c.d. ISO/UNI/IEC), che regolano la materia dei sistemi di gestione della sicurezza e che si basano tutte su un controllo preventivo di analisi dei rischi, rivestano un ruolo importante seppur all’interno del percorso valutativo disegnato dal legislatore e dall’ACN.
Analisi dei rischi e governance della cybersecurity nel piano di sicurezza
Nel Decreto si prescrive la necessità di utilizzare un approccio multirischio nell’analisi dei rischi, indicando un elenco di ambiti da considerare come obiettivi minimi da raggiungere con le misure e le politiche di sicurezza adottate.
Il risultato di questa analisi definisce il governo e la strategia di implementazione delle misure da adottare per quello che possiamo definire il “piano di sicurezza” informatica aziendale, da sottoporre all’approvazione dell’organo amministrativo.
Approccio multirischio e obiettivi minimi di sicurezza
Inoltre, si attribuisce all’ACN il potere di emanare provvedimenti che stabiliscano “termini, modalità, specifiche e tempi graduali di implementazione” degli obblighi sanciti, nonché di adottare Linee Guida vincolanti per l’attuazione concreta di questi obblighi.
Al di là dei tempi fissati – fine gennaio 2026 per l’obbligo di notifica degli incidenti e fine ottobre 2026 per quelli relativi alla implementazione del piano di sicurezza – l’ACN al momento è intervenuta con tre provvedimenti principali.
Per quello che qui interessa, la Determinazione n. 164179 del 14 aprile 2025 ha indicato le modalità di implementazione del piano di sicurezza e in particolare definito il percorso di analisi dei rischi per la successiva adozione delle misure di sicurezza tecniche, operative e organizzative, le cosiddette “misure di base”.
Strutturazione del piano di sicurezza e Framework Nazionale
La Determina ACN adotta la metodologia del Framework Nazionale, secondo cui i soggetti NIS devono: identificare i propri rischi, verificare che ciascuna misura di sicurezza di base indicata sia stata effettivamente implementata e secondo quali modalità, valutare il livello di maturità dei processi e delle procedure nonché l’efficacia delle misure adottate in base a una analisi del grado di esposizione al rischio.
È stata quindi rimappata l’analisi dei rischi prevista dal Framework Nazionale di Cyber Security, organizzando le misure di sicurezza in procedure operative, politiche di sicurezza e ambiti metodologici, che costituiscono le aree di riferimento del piano di sicurezza da sottoporre all’approvazione dell’organo amministrativo.
Linee guida ACN, framework nazionali e governance della cybersecurity
Le modalità di attuazione delle misure sono state ulteriormente dettagliate dall’ACN con le Linee guida NIS2, attualmente nella versione di settembre 2025. Le Linee guida stabiliscono che, per l’attestazione dell’effettiva implementazione del piano di sicurezza con le relative misure, è necessario che l’organo amministrativo approvi formalmente l’assetto documentale posto alla base del piano di sicurezza, in attuazione degli obblighi di indirizzo, supervisione e approvazione delle misure tecniche, organizzative e procedurali necessarie a garantire un livello adeguato di sicurezza delle reti e dei sistemi informativi.
Assetto documentale e tracciabilità delle decisioni del CdA
L’ACN elenca anche il dettaglio dei documenti che l’organo amministrativo sarà formalmente chiamato ad approvare dopo aver effettuato le analisi e la valutazione dei rischi. Tale obbligo di approvazione evidenzia come la governance della sicurezza informatica non possa prescindere da un quadro documentale formalmente validato dagli organi di vertice, secondo il percorso tracciato dalla Determinazione e dalle Linee guida.
Certificazioni, Accredia e governance della cybersecurity dopo NIS2
Le certificazioni dei sistemi di gestione della sicurezza basate su norme armonizzate, quale per esempio la certificazione ISO 27001, possono costituire un utile strumento di attestazione della conformità dei piani di sicurezza approvati dagli organi amministrativi alle misure tecniche e organizzative richieste dal Decreto, come integrate dal provvedimento dell’ACN.
Vale ricordare che gli organismi di certificazione vengono accreditati, dopo il vaglio eseguito sulla base del Regolamento CE 765/2008, dagli Organismi Nazionali di Accreditamento, che certificano che un determinato organismo di certificazione soddisfa i criteri stabiliti da norme armonizzate – compresi quelli definiti nei rilevanti programmi settoriali – per svolgere una specifica attività di valutazione della conformità.
Ruolo di Accredia e degli organismi di accreditamento
In Italia tale organismo è l’associazione senza fini di lucro Accredia, nominata dal Governo e operante sotto la supervisione del Ministero delle Imprese e del Made in Italy. A tale Associazione è assegnato il compito di attestare la competenza e l’imparzialità degli organismi e dei laboratori che certificano la conformità dei beni, dei processi e dei sistemi di gestione alle norme.
Gli Organismi Nazionali di Accreditamento rivestono un ruolo riguardo alla verifica di conformità anche nel settore della cybersicurezza, come indicato nel successivo Regolamento (UE) 2019/881 riguardante il ruolo dell’ENISA (l’Agenzia europea per la cybersicurezza) e la gestione e certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione.
In qualche modo il richiamo a questi organismi è anche stabilito nella Direttiva NIS2, che riconosce il valore degli standard ISO/IEC 27000 quale riferimento utile per la definizione di misure tecniche e organizzative adeguate.
Non si comprende come mai né il Decreto né la normativa di soft law emanata dall’ACN riconoscano tali standard volontari quale prova o presunzione di conformità agli obblighi derivanti dalla NIS2.
Standard armonizzati, ISO/IEC 27001 e NIST CSF
Accredia è invece intervenuta riconoscendo il valore della certificazione 27001 come attestazione di conformità alla normativa, con l’emanazione della UNI/CEI 174:2025, ossia una prassi di riferimento che definisce i requisiti per un sistema di gestione per la cybersicurezza e la sicurezza delle informazioni, armonizzati ai requisiti della norma ISO/IEC 27001 e agli obiettivi indicati dal quadro di riferimento The NIST Cybersecurity Framework (CSF) 2.0 (framework su cui è basato il Framework Nazionale).
Il NIST CSF 2.0 e la ISO/IEC 27001 condividono infatti numerosi obiettivi comuni, trattandosi entrambi di strumenti di riferimento internazionali utilizzati per la gestione della sicurezza delle informazioni e del rischio cyber, pur presentando differenze significative nella struttura e nell’approccio.
Alla luce di ciò, dotarsi di una certificazione basata sugli standard volontari uniformi rappresenta pertanto una validazione esterna che conferma la solidità tecnica del sistema di sicurezza aziendale, pur non esaurendo i requisiti e gli adempimenti richiesti dal Decreto e dall’ACN.
Piano di sicurezza, approvazione del CdA e limiti delle certificazioni
In tema di approvazione del piano di sicurezza, la certificazione ISO/IEC 27001:2024 prevede che la direzione aziendale approvi formalmente le politiche di sicurezza delle informazioni.
Tuttavia, gli standard ISO si limitano a questo livello generale e non richiedono che l’intera documentazione del sistema di gestione – quella esaminata durante l’audit di certificazione – sia approvata dal vertice. Solo al termine di un audit positivo, infatti, viene rilasciato il certificato di conformità.
La normativa nazionale e i provvedimenti dell’ACN impongono invece che il piano della sicurezza sia approvato con uno specifico provvedimento dell’organo amministrativo, secondo le formalità stabilite dalla legge. Quindi con un atto riconducibile per definizione ai soggetti che lo hanno emesso e al momento storico in cui lo stesso è stato approvato.
Pertanto, qualora la Società sia dotata di un sistema di gestione certificato secondo la norma armonizzata ISO/IEC 27001, anche l’assetto documentale sottostante alla certificazione del Sistema di Gestione della Sicurezza deve essere formalmente approvato dall’organo amministrativo, in modo da garantirne la piena opponibilità a terzi e in particolare alle Autorità competenti in sede di controllo.
Le procedure sottoposte all’approvazione del CdA rappresentano l’esito delle analisi dei rischi condotte sulla base del Framework Nazionale di Cybersecurity, successivamente rimappate secondo la metodologia e gli ambiti operativi definiti dall’ACN. Esse costituiscono, pertanto, il nucleo operativo del sistema di gestione della sicurezza informatica, da cui discende la possibilità di dimostrare la conformità organizzativa e la tracciabilità delle decisioni assunte dagli organi di vertice.
L’assenza di un assetto documentale formalmente approvato equivale a una mancata assunzione di responsabilità da parte dell’organo amministrativo, configurando un deficit di governance che può comportare conseguenze significative, non solo sotto il profilo sanzionatorio, ma anche in termini di responsabilità gestionale e reputazionale dell’organizzazione.
In definitiva, il Decreto e i provvedimenti dell’ACN attribuiscono agli organi di amministrazione dei soggetti essenziali e importanti una responsabilità diretta e personale nella definizione, supervisione e approvazione del Piano di sicurezza.
Ne deriva un modello di governance consapevole e documentata della cybersicurezza, in cui la sicurezza informatica non costituisce più una funzione meramente tecnica, ma un elemento strutturale della responsabilità strategica e fiduciaria dell’organo di vertice.
Se un appunto va fatto al legislatore e all’ACN è proprio il fatto che non abbiano mai richiamato nei loro provvedimenti il rapporto con le certificazioni dei sistemi di gestione della sicurezza basate su norme armonizzate nazionali e internazionali.
Questo nonostante l’espresso invito in tal senso formulato dalla legislazione europea sul ruolo degli organismi nazionali di accreditamento e dei soggetti certificatori accreditati. Come detto, le stesse normative che attribuiscono all’ENISA la formulazione di schemi da applicare per le certificazioni relative alla cibersicurezza nella società dell’informazione prevedono un percorso che deve coinvolgere le Autorità Nazionali di Accreditamento, proprio al fine di attribuire alle Autorità Nazionali per la Cybersicurezza il controllo e la vigilanza, piuttosto che la normazione tecnica di processo.
Mio secondo commento anonimo
Mio commento anonimo
commento 3
commento 2
mio commento