Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la guida pratica

NIS 2, scelte critiche per i leader aziendali: piano implementativo del decreto di recepimento

Home Norme e adeguamenti
Indirizzo copiato

L’art. 23 del decreto NIS 2 introduce una serie di obblighi per le organizzazioni, tra i quali l’adozione di un piano di implementazione delle misure di sicurezza approvato dagli organi di amministrazione e direttivi. Ecco un’analisi dei principali contenuti di tale piano

Pubblicato il 22 ott 2024
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

NIS 2 piano implementativo decreto di recepimento

La sicurezza delle informazioni è diventata una priorità imprescindibile per le organizzazioni che operano in un mondo sempre più interconnesso e vulnerabile. Il D.lgs. 138/2024 che ha recepito la Direttiva NIS 2, rappresenta una risposta normativa volta a rafforzare la resilienza delle infrastrutture critiche e dei sistemi informativi e di rete.

Uno dei requisiti principali di questo decreto è l’approvazione, da parte degli organi di amministrazione e direttivi, di un piano di implementazione delle misure di sicurezza.

Ma cosa prevede realmente questo piano? Quali sono i contenuti essenziali? E come si concilia questo strumento con le risorse limitate a disposizione delle organizzazioni?

C’è il decreto NIS 2, ma cosa devono fare adesso le aziende? La guida implementativa

Piano implementativo del decreto NIS: contenuti essenziali

Secondo quanto previsto dall’articolo 23, comma 1, lettera a) del D.lgs. 138/2024, il piano di implementazione delle misure di sicurezza deve essere approvato formalmente dagli organi di governance dell’organizzazione.

Ma la sua funzione va ben oltre un semplice adempimento burocratico: il piano rappresenta il cuore pulsante della strategia di sicurezza di ogni soggetto essenziale o importante. Tra i contenuti di un buon piano di implementazione troviamo:

  1. le misure di sicurezza: suddivise per priorità, con indicazione di tempi e responsabilità specifiche;
  2. i budget assegnati: fondamentali per assicurare che ogni misura sia economicamente sostenibile e compatibile con le risorse disponibili;
  3. le giustificazioni delle priorità: ogni misura deve essere motivata in base al rischio che è volta a mitigare e alle risorse allocate, bilanciando le necessità di sicurezza con i limiti economici dell’organizzazione.

È interessante osservare che, oltre alle misure tecniche, il decreto pone un forte accento sull’importanza della formazione. In particolare, l’articolo 23, comma 2, prevede l’obbligo di attivare percorsi formativi dedicati sia agli organi di governance sia ai collaboratori, con l’obiettivo di garantire una piena comprensione delle minacce e dei relativi protocolli di risposta.

Stesura e aggiornamento del piano

La stesura iniziale del piano deve essere preceduta da una rigorosa fase di Gap Analysis, svolta in conformità al “framework di sicurezza” stabilito dall’articolo 24 del decreto. Questo framework contiene la tassonomia delle misure di gestione dei rischi di cyber sicurezza che devono essere adottate. Al termine di questa fase, le misure identificate devono essere prontamente implementate e monitorate, assicurando una gestione continua e proattiva dei rischi.

Il piano non può essere considerato un documento statico. Al contrario è necessaria una revisione periodica, ad intervalli regolari o in occasione di eventi significativi che impattano la sicurezza delle informazioni, come incidenti di sicurezza o cambiamenti organizzativi.

Questo processo di revisione è fondamentale per garantire che le misure implementate siano sempre allineate con le evoluzioni delle minacce tecnologiche.

Ruolo del CISO nel piano di implementazione

Un attore chiave nella stesura e nell’aggiornamento del piano è il Chief Information Security Officer (CISO), figura centrale per garantire che le scelte strategiche dell’organizzazione in materia di sicurezza siano coerenti con le normative e le migliori pratiche.

Il CISO deve non solo coordinare l’implementazione delle misure, ma anche vigilare affinché ogni aggiornamento del piano risponda alle nuove sfide poste dall’evoluzione tecnologica e dalle minacce emergenti.

La revisione: un processo continuo e dinamico

Il piano deve essere sottoposto a revisione periodica, per tenere conto delle modifiche sia interne (nuove tecnologie, cambiamenti organizzativi) sia esterne (evoluzione delle minacce). Questo implica un processo continuo, poiché le minacce tecnologiche sono in costante evoluzione, e le misure di contrasto devono adattarsi di conseguenza.

La revisione è necessaria anche in caso di eventi relativi alla sicurezza delle informazioni che abbiano evidenziato vulnerabilità nei sistemi, così come in presenza di modifiche organizzative significative.

Infine, la revisione del piano include:

  1. lo stato di avanzamento delle misure adottate;
  2. le motivazioni alla base di eventuali ritardi o modifiche rispetto a quanto pianificato;
  3. la versione aggiornata del documento.

Di seguito riportiamo un esempio di approvazione di un verbale del CDA di un’organizzazione che rientra del perimetro di applicazione della NIS 2.

VERBALE DEL CONSIGLIO DI AMMINISTRAZIONE DI [NOME AZIENDA]

In data 21 novembre 2024, alle ore [ora], presso la sede legale di [indirizzo], si è riunito il Consiglio di Amministrazione di [Nome Organizzazione], regolarmente convocato con comunicazione inviata ai consiglieri in data [data convocazione], per deliberare sugli argomenti all’ordine del giorno.

Presenti:

  • [Nome Presidente], Presidente del Consiglio di Amministrazione;
  • [Nome Consiglieri], Consiglieri di Amministrazione;
  • [Nome CISO], Chief Information Security Officer (CISO).

Assenti giustificati:

  • [Nome eventuali assenti]

Constatata la presenza del numero legale, il Presidente dichiara aperta la seduta e passa alla trattazione dell’ordine del giorno.

Punto 1: Approvazione del piano di implementazione delle misure di sicurezza ai sensi dell’articolo 23 del D.lgs. 138/2024

Il Chief Information Security Officer (CISO), Sig./Sig.ra [Nome], illustra ai membri del Consiglio il piano di implementazione delle misure di sicurezza redatto in ottemperanza a quanto previsto dall’articolo 23 del D.lgs. 138/2024. Tale piano, destinato a garantire l’adeguamento dell’organizzazione ai requisiti normativi introdotti dal suddetto decreto, si articola nelle seguenti componenti fondamentali:

  1. tempi di esecuzione: ogni misura prevede precise tempistiche di attuazione;
  2. funzione responsabile: vengono identificate le strutture organizzative e le figure professionali incaricate della realizzazione delle singole misure;
  3. budget: per le misure a breve-medio termine è stata effettuata una stima dei costi necessari.

Il Consiglio, dopo ampia discussione, esamina il piano proposto, sottolineando l’importanza di garantire un costante monitoraggio dell’efficacia delle misure adottate.

Il Consiglio di Amministrazione richiede al CISO di apportare alcune modifiche al piano, in particolare relativamente all’adeguamento delle tempistiche per la formazione del personale e alla stima più dettagliata dei costi previsti per le singole misure.

Punto 2: Formazione del Consiglio di Amministrazione e della Direzione

In ottemperanza a quanto disposto dall’articolo 23, comma 2, lettera a) del D.lgs. 138/2024, è stata programmata una sessione formativa “in presenza” destinata ai membri del Consiglio di Amministrazione, alla Direzione e ai primi riporti direzionali, che si terrà in data 6 dicembre 2024. L’obiettivo di questa sessione è fornire un’adeguata conoscenza delle principali tematiche di cybersecurity e degli obblighi normativi a cui l’organizzazione è soggetta.

Punto 3: Formazione del personale aziendale

Il Consiglio approva inoltre l’avvio, entro il 20 dicembre 2024, di un piano di formazione destinato a tutto il personale aziendale in materia di cybersecurity, come richiesto dall’articolo 23, comma 2, lettera b) del D.lgs. 138/2024. Tale piano, la cui conclusione è prevista entro marzo 2025, sarà gestito dalla Direzione Risorse Umane in collaborazione con il CISO. Il Consiglio approva lo stanziamento di un budget complessivo pari a [importo in euro] per la realizzazione delle attività formative.

Conclusioni e delibera finale

Il Consiglio di Amministrazione, dopo aver discusso i punti all’ordine del giorno, delibera all’unanimità di:

  1. approvare il piano di implementazione delle misure di sicurezza, subordinatamente all’integrazione delle modifiche richieste, con delega al CISO per l’adeguamento del piano secondo le indicazioni fornite;
  2. programmare la sessione formativa per il Consiglio di Amministrazione e la Direzione in data 6 dicembre 2024;
  3. avviare il piano di formazione per il personale entro il 20 dicembre 2024 e di approvare il relativo budget.

La seduta si conclude alle ore [ora], e il presente verbale viene letto, approvato e sottoscritto da tutti i presenti.

Il Presidente del Consiglio di Amministrazione

Conclusioni

Abbiamo cercato di evidenziare come il piano di implementazione del D.lgs. 138/2024 è molto più di un adempimento normativo: è un documento operativo, da aggiornare e manutenere costantemente, che risulta essenziale per garantire che le organizzazioni siano pronte a rispondere efficacemente alle sfide poste da un ambiente digitale in continua evoluzione.

Attraverso un approccio dinamico e una revisione periodica, questo piano permette alle organizzazioni di adattarsi proattivamente alle nuove minacce, mantenendo al contempo un equilibrio tra sicurezza e sostenibilità economica.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • APT Lazarus pacchetti npm malevoli

  • L'ANALISI TECNICA

    Il gruppo Lazarus colpisce ancora: nuova ondata di pacchetti npm dannosi

    13 Mar 2025

    di Salvatore Lombardo

    Condividi
  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Videosorveglianza comunale, un equilibrio instabile: sul caso Imola, la lezione del Garante Privacy; Videosorveglianza veicolare: ecco perché è stato bloccato il progetto di Bolzano

  • il provvedimento

    Videosorveglianza, un equilibrio instabile: sul caso Imola, la lezione del Garante Privacy

    31 Lug 2025

    di Stefano Manzelli

    Condividi