NIS2 e gruppi d’impresa: come gestire l’accordo infragruppo

Introduzione al tema

Con l’approvazione del Decreto Legislativo n. 138/2024, l’adeguamento alla Direttiva NIS2 si è imposto come una priorità per le aziende italiane, in particolare per i gruppi d’impresa di dimensioni contenute. In molti di questi casi, la gestione della funzione IT è centralizzata, portando a una serie di sfide nel rispetto della normativa. Questo articolo si propone di esaminare come i gruppi possono affrontare la conformità con le nuove misure di sicurezza informatica attraverso l’accordo infragruppo, un documento che regola i servizi interni e le responsabilità tra le varie entità.

Il quadro normativo di NIS2

La Direttiva NIS2 stabilisce regole precise riguardo alla sicurezza informatica per le organizzazioni operanti in settori considerati critici. Le aziende di un gruppo possono essere incluse nel campo di applicazione della normativa per due motivi principali: se operano in settori ad alta criticità o se fungono da fornitori di servizi ICT per altre entità del gruppo. È importante notare che, nonostante la struttura centralizzata, la responsabilità di conformità ricade su ciascuna azienda individualmente. Questo significa che i consigli di amministrazione devono approvare le politiche di sicurezza informatica, anche se le decisioni strategiche vengono prese da un ente centrale.

La gestione all’interno di un gruppo centralizzato

Nel contesto dei gruppi italiani, è comune che la funzione IT sia vista come un elemento di supporto e centralizzata in una capogruppo o in una controllata specifica. Questo assetto presenta delle problematiche, in quanto la strategia e le decisioni non sempre vengono comunicate efficacemente a tutte le società del gruppo. Dunque, si crea una responsabilità condivisa ma mal definita. Il rischio è che i membri del consiglio di amministrazione possano approvare misure senza avere un’adeguata comprensione delle implicazioni, il che può portare a conseguenze negative in caso di violazioni delle norme di sicurezza.

L’accordo infragruppo: uno strumento essenziale

Per garantire che tutte le parti coinvolte rispettino le regolazioni di NIS2, è essenziale aggiornare l’Accordo Infragruppo (Service Level Agreement) esistente. Questo documento deve definire chiaramente i ruoli e le responsabilità, nonché i criteri operativi per la gestione della sicurezza informatica. Tra gli aspetti chiave da considerare vi è la governance, che dovrebbe includere la necessità di approvare piani di rischio e di incidenti. Inoltre, un sistema di reportistica periodica consente ai vari consigli di amministrazione di monitorare l’efficacia delle misure adottate.

È altresì fondamentale stabilire procedure di comunicazione in caso di incidenti e garantire che tutte le pratiche di sicurezza siano allineate con standard riconosciuti, come ISO/IEC 27001 o NIST. Infine, la gestione dell’approvvigionamento deve includere valutazioni sui fornitori critici, per garantire che la sicurezza si estenda a tutta la catena di fornitura.

Conclusioni pratiche

Affrontare la sfida della conformità normativa all’interno dei gruppi d’impresa implica un cambiamento culturale e organizzativo. È cruciale che le aziende adottino un approccio di perimetro IT allargato, in cui la sicurezza non è solo vista come un costo, ma come un investimento fondamentale per la continuità operativa e la protezione dei dati. La creazione di un sistema documentale autonomo per ogni società garantisce che, mentre la funzione IT rimane centralizzata, ogni entità possa comunque rispondere in modo efficace alle proprie responsabilità legali. In un mercato sempre più competitivo e regolamentato, la proattività nella gestione della sicurezza informatica rappresenta una vera e propria opportunità per migliorare l’immagine aziendale e la fiducia dei clienti.