L’applicazione del Decreto NIS pone le organizzazioni che ricadono nel perimetro attuativo della direttiva europea di fronte a due scenari che abbiamo già approfondito in due precedenti articoli.
Nel primo articolo, abbiamo proposto un modello di verbale adottabile dalle organizzazioni che, ben prima della preregistrazione prevista per il 28 febbraio, avevano già completato l’intero processo di implementazione delle misure richieste.
Nel secondo articolo, ci siamo concentrati sulle implicazioni derivanti dalla decisione di un’organizzazione che, a seguito di un’analisi approfondita, ha valutato di non rientrare nell’ambito di applicazione del decreto NIS.
In questo articolo approfondiamo un ulteriore scenario e proponiamo un modello di verbale del Consiglio di Amministrazione per le organizzazioni che, avendo completato l’iter di registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro i termini previsti, non hanno ancora definito un piano strutturato per l’implementazione delle misure di cyber sicurezza. Questo passaggio risulta indispensabile affinché la compliance normativa non resti un mero adempimento formale, ma si traduca in un’effettiva strategia operativa.
Indice degli argomenti
NIS 2, CdA in prima linea: governance, accountability, gap analysis
Come stabilito dall’articolo 23 del D.lgs. 138/2024, che recepisce la Direttiva NIS 2, il Consiglio di Amministrazione (CdA) assume un ruolo centrale nella governance della cyber sicurezza aziendale.
Non si tratta più di una questione esclusivamente tecnica, delegata a figure operative, ma di un impegno strategico che coinvolge direttamente i vertici dell’organizzazione. Il CdA, infatti, è chiamato a garantire che l’azienda adotti misure adeguate alla protezione dei sistemi informativi e la gestione dei rischi cyber, integrandole nelle politiche aziendali e stanziando le risorse necessarie per la loro implementazione.
Un modello di verbale NIS 2 del Consiglio di Amministrazione
In questo contesto, proponiamo un modello di verbale del Consiglio di Amministrazione, concepito per garantire trasparenza e tracciabilità delle decisioni adottate.
Il verbale, nella sua struttura essenziale ma funzionale, documenta sia le azioni già messe in atto sia quelle ancora da intraprendere, offrendo una chiara rappresentazione dello stato dell’arte della cyber sicurezza aziendale.
Un punto chiave del documento è l’indicazione della necessità di condurre una gap analysis, un’analisi strutturata volta a individuare le eventuali discrepanze tra lo stato attuale della sicurezza informatica e i requisiti previsti dalla normativa NIS 2.
Tale analisi rappresenta un passaggio critico per definire il modello di accountability più adatto all’organizzazione, selezionandolo tra le diverse opzioni possibili.
L’obiettivo è assicurare che le responsabilità in materia di cyber sicurezza siano chiaramente assegnate e che l’organizzazione possa dimostrare, in ogni momento, di aver adottato un approccio proattivo e consapevole nella gestione dei rischi digitali.
VERBALE DEL CONSIGLIO DI AMMINISTRAZIONE
XXX S.p.A.
Sede Legale: …
Capitale Sociale: Euro … i.v.
Registro Imprese di … n. … – Codice Fiscale …
R.E.A. di … n. … – Partita IVA …
VERBALE DEL CONSIGLIO DI AMMINISTRAZIONE
SEDUTA DEL [DATA]
L’anno 2025, il giorno [DATA], alle ore [ORA], presso la sede sociale della XXX S.p.A., sita in [INDIRIZZO], si è riunito il Consiglio di Amministrazione, previa regolare convocazione, per deliberare sul seguente:
ORDINE DEL GIORNO
- Avvenuta iscrizione alla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) e azioni conseguenti
- Varie ed eventuali
COSTITUZIONE DELLA SEDUTA
Assume la presidenza il Dott. [NOME], in qualità di Presidente del Consiglio di Amministrazione, il quale nomina Segretario della seduta il Dott. [NOME].
Il Presidente constata e fa verbalizzare la presenza dei seguenti componenti del CdA:
Dott.ssa [NOME], Amministratore Delegato e detentrice del 50% delle quote societarie.
Risultano inoltre collegati in audio conferenza i membri del Collegio Sindacale:
Dott. [NOME], Presidente del Collegio Sindacale
Dott. [NOME], Sindaco Effettivo
Dott. [NOME], Sindaco Effettivo
Accertata la regolare costituzione della seduta e la validità della stessa ai fini deliberativi, il Presidente apre i lavori e passa alla trattazione dei punti all’ordine del giorno.
1. Avvenuta iscrizione alla piattaforma ACN e azioni conseguenti
Il Presidente informa i presenti sui principali obblighi introdotti dalla Direttiva UE 2022/2555 (NIS 2), recepita in Italia con il D.Lgs. 138/2024, con particolare riferimento agli adempimenti previsti per le organizzazioni rientranti nel perimetro normativo.
Dopo un’attenta analisi, si conferma che la XXX S.p.A. rientra tra i soggetti obbligati all’iscrizione presso la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), in quanto eroga servizi rilevanti ai sensi della NIS 2.
A tal fine, il Presidente evidenzia che:
- l’iscrizione alla piattaforma ACN è stata regolarmente completata in data [DATA], in conformità ai termini di legge.
- è stato nominato il Punto di Contatto, come richiesto dalla normativa, con il compito di interfacciarsi con l’ACN per ogni comunicazione obbligatoria.
- è stata effettuata una Gap Analysis nei giorni 29, 30 e 31 gennaio 2025, finalizzata a individuare le misure di sicurezza aziendali da implementare.
- Nel mese di gennaio 2025, i membri del CdA hanno ricevuto formazione specifica in materia di cybersecurity, come previsto dall’articolo 23, comma 2, lettera a) del D.Lgs. 138/2024.
Il Consiglio di Amministrazione, valutata la relazione esposta dal Presidente e sentito il parere del Collegio Sindacale, all’unanimità:
DELIBERA
di prendere atto dell’obbligo di iscrizione della Società alla piattaforma dell’ACN, come previsto dalla Direttiva NIS2 e dal D.Lgs. 138/2024.
di prendere atto dell’avvenuta iscrizione alla piattaforma ACN in data [DATA].
di prendere atto della nomina di [NOME] quale Punto di Contatto per la gestione degli obblighi informativi nei confronti dell’ACN.
di prendere atto delle risultanze della gap analysis, che ha individuato le misure di sicurezza aziendali da implementare.
di prendere atto dell’avvenuta formazione del Consiglio di Amministrazione in materia di cybersecurity, in ottemperanza all’articolo 23 del D.Lgs. 138/2024.
di incaricare la funzione competente a monitorare l’attuazione delle misure previste e a riferire periodicamente al Consiglio di Amministrazione sugli sviluppi e sulle azioni correttive necessarie.
2. Varie ed eventuali
Non emergendo ulteriori temi di discussione, il Presidente dichiara chiusa la seduta.
Letto, approvato e sottoscritto, il presente verbale viene trascritto nel libro dei verbali del Consiglio di Amministrazione.
La seduta si chiude alle ore XX:XX.
Il Segretario
[Firma]
Il Presidente
[Firma]
Ovviamente, l’attuazione delle misure di cyber sicurezza non può esaurirsi in un singolo atto deliberativo, ma deve tradursi in un processo dinamico e strutturato, sostenuto da un’adeguata pianificazione finanziaria e da un costante monitoraggio.
Il budget come fattore determinante
Per garantire che le misure individuate nella gap analysis possano essere effettivamente implementate, il vertice aziendale è chiamato a stanziare le risorse economiche necessarie, affinché le azioni pianificate possano concretizzarsi in un piano operativo sostenibile.
L’allocazione del budget rappresenta un passaggio critico, poiché da essa dipende l’efficacia e la tempestività con cui le vulnerabilità identificate potranno essere mitigate.
A tal proposito, è essenziale che il Consiglio di Amministrazione (CdA) adotti un approccio strutturato che preveda:
- una chiara suddivisione delle risorse tra misure tecniche e organizzative, tenendo conto delle priorità aziendali;
- un bilanciamento tra investimenti immediati e strategia a lungo termine, affinché la cyber sicurezza non sia trattata come un intervento emergenziale ma come un pilastro della governance aziendale;
- la definizione di indicatori di performance (KPI) per misurare l’efficacia degli investimenti e giustificare eventuali adeguamenti di budget nel tempo.
Un secondo verbale: dalla delibera alla realizzazione
L’approvazione dell’iscrizione alla piattaforma ACN e la prima presa d’atto della gap analysis rappresentano solo il punto di partenza. Per dare concretezza alle decisioni assunte, il CdA dovrà formalizzare le misure operative da implementare, stabilendo tempistiche chiare e modalità di esecuzione.
Pertanto, al primo verbale dovrebbe seguire necessariamente un secondo, in cui vengono:
- individuate le misure da adottare, distinguendo tra azioni di breve, medio e lungo termine,
- definiti i responsabili interni incaricati dell’implementazione delle azioni di mitigazione;
- stabilite le tempistiche di attuazione, in funzione delle priorità e delle risorse stanziate;
- formalizzato il piano di aggiornamento e formazione per il personale coinvolto, inclusi i membri del CdA;
- integrate le nuove misure nei processi aziendali, affinché la cyber sicurezza non resti un’attività isolata, ma venga incorporata nella strategia di gestione del rischio complessivo dell’organizzazione.
Monitoraggio continuo: un obbligo strategico e normativo
L’adozione di misure di cyber sicurezza non è un’azione una tantum, bensì un processo continuo che richiede verifiche periodiche e aggiornamenti in base all’evoluzione delle minacce e delle tecnologie.
L’articolo 23 del D.lgs. 138/2024 impone esplicitamente che il CdA assuma un ruolo attivo nel monitoraggio dell’efficacia delle misure adottate. Questo implica che:
- il CdA non possa limitarsi a deliberare una tantum, ma debba attuare un piano di revisione periodico per garantire che le soluzioni implementate rimangano efficaci nel tempo;
- la frequenza dei controlli debba essere proporzionata alla criticità dei rischi individuati: in contesti ad alta esposizione cyber, il monitoraggio potrebbe essere semestrale, mentre in altri scenari potrebbe avvenire su base annuale;
- il monitoraggio debba basarsi su dati concreti e misurabili, con la possibilità di aggiornare e ottimizzare le strategie di difesa sulla base dei risultati ottenuti.
Verso una governance cyber resiliente
L’integrazione della cyber sicurezza nella governance aziendale segna una trasformazione culturale e operativa, dove il Consiglio di Amministrazione assume una postura strategica nella protezione degli asset digitali dell’organizzazione.
Questo approccio non solo garantisce la conformità normativa, evitando il rischio di sanzioni e responsabilità, ma rafforza anche la capacità dell’organizzazione di rispondere in modo tempestivo ed efficace alle minacce cyber.
In un’epoca in cui la sicurezza informatica è sempre più un elemento critico per la continuità aziendale, la capacità del CdA di pianificare, monitorare e adattare le strategie di difesa rappresenta un fattore competitivo fondamentale.
Conclusioni
La verbalizzazione delle decisioni del CdA in materia di cyber sicurezza non è un mero atto formale, ma assume un ruolo di primo piano per garantire la corretta implementazione di quanto richiesto dalla NIS 2.
Il coinvolgimento diretto dei vertici aziendali favorisce una maggiore consapevolezza delle possibili criticità e la definizione di politiche di investimento adeguate.
In un contesto in cui i cyber rischi aumentano costantemente, la capacità del CdA di assumere una “postura” proattiva diventa un requisito essenziale.
Pianificare regolarmente sessioni di aggiornamento, valutazioni e stanziamenti di budget rappresenta il cuore di una governance efficace.
Questo passaggio di responsabilità, reso evidente dalla Direttiva NIS 2, segna un’evoluzione culturale volta a dare rilevanza strategica alla cyber sicurezza, nell’interesse non soltanto della singola organizzazione, ma dell’intero sistema economico.
