Ospiti dell’amena e futuristica cornice della sede di Zambon S.p.A. a Bresso (Milano), il Gruppo di Lavoro (GdL) GIQAR GCP si è riunito martedì 9 dicembre, occasione propizia non solo per il consueto scambio di auguri di Natale, ma anche per un proficuo aggiornamento normativo e dei Gruppi di Lavoro.
Ad aprire i lavori è stata la Dott.ssa Giulia Palmarini (Group Internal IT Audit – Recordati), che ha illustrato l’impatto della nuova Direttiva NIS2 sul sistema di audit e sulla compliance aziendale, condividendo euristiche ed approcci utili per ottemperare ai nuovi requisiti.
Questo intervento, perfettamente coerente con il leitmotiv della “contaminazione” del GdL GIQAR GCP a 360°, rappresenta un ulteriore passo nel considerare la qualità non come un elemento isolato ma come la leva strategica per una compliance integrata, fondamentale per la costruzione di una solida governance aziendale.
La Direttiva NIS2 rinnova profondamente il quadro europeo della cybersicurezza, ampliando il numero dei soggetti obbligati e rafforzando in modo significativo gli adempimenti richiesti. Oltre ai settori critici tradizionali – energia, trasporti, sanitario, bancario ed infrastrutture digitali – la normativa include ora anche operatori digitali, fornitori cloud, marketplace, piattaforme online, numerosi settori industriali e logistici, nonché la Pubblica Amministrazione.
Le organizzazioni vengono classificate in entità essenziali ed entità importanti, con differenti livelli di controllo da parte dell’Agenzia per la Cybersicurezza Nazionale – ACN. La direttiva introduce delle misure di sicurezza più rigorose, basate su un approccio di gestione del rischio, ed impone una forte attenzione alla supply chain, che deve rispettare degli standard adeguati. Rafforza, inoltre, gli obblighi di notifica degli incidenti, che devono essere comunicati in modo più rapido e strutturato, anche ai destinatari dei servizi eventualmente impattati.
Una novità di rilievo riguarda la responsabilizzazione del management, chiamato a garantire l’effettiva adozione delle misure di sicurezza ed a rispondere direttamente di eventuali carenze. Sono previste anche delle sanzioni più severe e scadenze operative precise: registrazione presso l’ACN, nomina dei referenti, predisposizione del risk assessment NIS2 ed adozione delle misure minime entro date prestabilite.
Nel 2026 la Direttiva NIS2 diventerà pienamente operativa, richiedendo alle organizzazioni di completare l’implementazione delle misure minime di sicurezza entro gennaio 2026 e gli obblighi tecnici e organizzativi definiti dall’ACN entro aprile 2026. Parallelamente, il Board deve approvare i documenti chiave che attestino la governance della cybersicurezza: il piano di gestione e notifica degli incidenti, le policy e le procedure di sicurezza, il risk assessment NIS2 con i relativi piani di mitigazione e le nomine formali, tra cui il Punto di Contatto ed il referente CSIRT (Computer Security Incident Response Team). La responsabilità ricade direttamente sull’organo amministrativo.
La Direttiva NIS2 introduce, dunque, un vero e proprio modello organizzativo di cyber governance, che modifica in profondità la struttura interna delle aziende classificate come entità essenziali od importanti. Non si tratta solo di adottare delle misure tecniche, ma di costruire un sistema integrato di responsabilità, di processi e di controlli che coinvolga Board, management e tutte le funzioni coinvolte nella gestione del rischio cyber.
Nel pomeriggio i lavori sono proseguiti con l’aggiornamento sullo stato di avanzamento dei sottogruppi GDPR Privacy, Sistemi Computerizzati, ISPE-SIMEF Firme Elettroniche e del neonato Gruppo ATMP, che conta già 20 membri.
La qualità e la compliance si fondano sull’uso di strumenti quali KPI e KQI. Il continuo aumento dei partecipanti ai gruppi di lavoro, tutti accomunati da una carta d’identità “clemente”, indica che la strada intrapresa è quella giusta e che porsi obiettivi ambiziosi stimola ciascuno a dare il meglio.
Maurizio Cuocolo