Il continuo aumento degli attacchi informatici ha spinto il Legislatore europeo ad emanare nuove norme che comportano – da un lato – una maggiore responsabilità dell’alto management (con potenziali impatti anche sulle coperture D&O) e – dall’altro – la necessità di una nuova cultura di risk management aziendale.

Stando alle statistiche, negli ultimi due anni i crimini informatici verso le aziende hanno registrato un incremento esponenziale rispetto al passato. L’utilizzo della tecnologia e l’iperconnettività hanno comportato un cambiamento epocale che ha condotto (o dovrebbe condurre) le imprese a dotarsi di meccanismi di corporate governance sempre più sofisticati, per tutelare non solo gli azionisti, ma anche tutti i soggetti che operano con l’azienda (fornitori, collaboratori, etc) ed il mercato medesimo.

La trasformazione digitale non è però stata accompagnata da un’adeguata consapevolezza e gestione dei rischi informatici, considerando vieppiù che le norme esistenti erano abbastanza frastagliate.

In tale contesto si inseriscono due recenti interventi del Legislatore europeo:

• il Regolamento DORA (Digital Operational Resilience Act) teso ad armonizzare e rafforzare la resilienza operativa dei soggetti che operano nei mercati finanziari (entrato in vigore lo scorso gennaio, ma che prevede un complesso periodo di attuazione di 24 mesi);
• la Direttiva NIS 2 – che sostituisce la precedente Direttiva NIS e prevede un termine di recepimento al 18 ottobre 2024 – volta ad introdurre nuovi obblighi in materia di cybersecurity e nuove categorie di destinatari.

Andiamo per ordine. La portata del Regolamento DORA è molto ampia e impatterà su quasi tutti gli operatori del settore finanziario. Si applicherà, infatti, non solo ad enti finanziari di stampo “tradizionale” (per esempio, banche, imprese di investimento, assicurazioni, grandi broker assicurativi), ma anche ai “nuovi attori” del mercato quali aziende di servizi di cripto-asset e fornitori critici di servizi ICT (es. fornitori di servizi cloud e web).

Saranno da tenere d’occhio altresì le Autorità europee di vigilanza che dovranno elaborare specifici standard tecnici.

Il Regolamento DORA può essere sintetizzato in quattro pilastri principali:

i) Governance e organizzazione interna (Art. 5)

ii) Risk management (Artt. 6-16)

iii) Incident management e reporting (Artt. 17-23)

iv) Fornitori terzi di servizi ICT (Artt. 28-44)

In poche parole, il Legislatore non solo ha previsto l’obbligo per le entità finanziarie di dotarsi di una governance di cybersecurity interna e di un quadro di controllo tali da garantire una gestione efficace e prudente di tutti i rischi ICT (con conseguente maggiore esposizione in termini di responsabilità civile per gli amministratori), ma ha – inter alia – imposto a tali società di avviare un serio progetto di gestione del rischio cyber solido, completo e ben documentato (unito altresì a piani di reporting e piani di comunicazione nei confronti dei vari stakeholder).

Quanto alla Direttiva NIS 2, va subito detto che essa, in sostituzione delle precedenti categorie di cui alla NIS 1, introduce – quale criterio di individuazione dei soggetti destinatari degli obblighi – la distinzione tra :

• “Soggetti Essenziali” (es. Settore energetico, Settore sanitario, Trasporti, Acque e acque di scarico, Infrastrutture digitali, Settore spaziale, etc.), e
• “Soggetti Importanti” (es. Settore postale e di spedizione, Gestione/Trattamento dei rifiuti, Settore chimico, Industrie tecnologiche e ingegneristiche, Servizi digitali, Ricerca scientifica, etc.)

con contestuale applicazione della regola del massimale dimensionale (c.d. ” Size-cap “) come canone di accertamento della dimensione medio-grande delle imprese coinvolte.

Ciò premesso, è degno di nota l’approccio di rischio introdotto sottoforma di obbligo verso le imprese interessate, le quali sono chiamate ad implementare un adeguato processo di risk assessment per la gestione degli eventi cyber potenzialmente malevoli, sia interni che esterni.

La Direttiva indica una serie di misure tecniche e organizzative che i destinatari sono chiamati ad applicare (ad es. policy su analisi di rischio e information system; piano di incident response; piano di di Business Continuity e gestione delle crisi; formazione cyber; effettuazione di audit e test di cybersecurity; revisione contratti con i fornitori e service provider).

Infine, la NIS2 introduce novità anche sul fronte sanzionatorio prevedendo ammende tra i 7 e 10 milioni di euro (1,4% -2% del fatturato annuo). Di impatto, forse anche maggiore, la natura interdittiva che potranno assumere le sanzioni.

In conclusione, la nuova legislazione in materia di cybersecurity comporterà la necessità per i destinatari di svolgere una – non sempre agevole – attività di individuazione, mappatura e coordinamento degli obblighi e adempimenti previsti dalle varie fonti normative, nonché la necessità di interfacciarsi con diverse Autorità competenti.

Attività, quelle descritte, che devono procedere necessariamente di pari passo ad un costante awareness program, sia a livello dirigenziale che dell’intera popolazione aziendale. Accrescere la sensibilità verso tali tematiche è fondamentale per comprendere l’importanza di adottare un protocollo di gestione delle minacce cyber e farvi fronte in maniera efficace senza correre il rischio di non riconoscerle o di sottovalutarle.