L'art. 23 D.Lgs. 138/2024 stabilisce prescrizioni volte a rafforzare la cultura della sicurezza informatica all'interno delle organizzazioni qualificate come soggetti essenziali e importanti, esso attribuisce specifiche responsabilità agli organi di amministrazione e agli organi direttivi e impone loro obblighi diretti e indiretti in materia di formazione. Da un lato, gli amministratori e i dirigenti sono chiamati a partecipare personalmente a percorsi formativi dedicati alla sicurezza informatica, al fine di acquisire le conoscenze necessarie per affrontare e comprendere i rischi associati alle loro attività e ai servizi erogati. Dall'altro lato, essi rivestono un ruolo attivo nella promozione di una formazione periodica rivolta ai dipendenti dell'organizzazione per garantire che la stessa sia allineata agli stessi principi e obiettivi. La formazione deve comprendere, tra gli altri aspetti, l'analisi delle pratiche di gestione del rischio, l'impatto potenziale delle minacce sulle operazioni critiche e le metodologie per garantire la continuità operativa e l'integrità dei sistemi. L'impostazione normativa evidenzia un approccio integrato alla sicurezza informatica, in cui ogni livello dell'organizzazione è coinvolto nell'adozione di misure proattive per la protezione delle infrastrutture e dei dati. Percorsi formativi in materia di sicurezza informatica. La formazione in materia di sicurezza informatica, tradizionalmente indirizzata ai soggetti tecnici e operativi, si è progressivamente affermata come un obbligo giuridico e strategico a seguito dell'evoluzione normativa e dell'acuirsi delle minacce cibernetiche. L'estensione di tale obbligo alla classe dirigente rappresenta un'evoluzione di portata significativa, che riconosce la centralità del ruolo decisionale nella gestione integrata dei rischi. In particolare, l'art. 23 D.Lgs. 138/2024 attribuisce agli organi di amministrazione e agli organi direttivi l'obbligo di sottoporsi a percorsi formativi specifici in materia di sicurezza informatica. Tale disposizione ha lo scopo di delineare un approccio sistemico alla sicurezza, in cui la dimensione strategica e quella tecnica risultano intrinsecamente connesse sul piano giuridico. La formazione della dirigenza si configura come uno strumento volto a garantire l'effettività del dovere di diligenza e del principio di accountability e impone ai soggetti apicali la conoscenza delle principali minacce e vulnerabilità, ma anche la capacità di valutarne l'impatto in relazione agli obiettivi aziendali e agli obblighi di legge. La formazione degli organi direttivi e amministrativi dovrebbe essere concepita come un processo in grado di soddisfare esigenze diverse sia dal punto di vista strategico che normativo, la stessa infatti dovrebbe delineare una visione olistica delle minacce cibernetiche allo scopo di collegare le implicazioni operative, economiche e giuridiche degli attacchi informatici con le responsabilità di gestione e governo dell'organizzazione. Ne discende che i destinatari dovranno comprendere tanto la natura e il funzionamento delle minacce, ma soprattutto la capacità delle stesse di compromettere la resilienza operativa e di provocare conseguenze dannose, quali violazioni normative, danni reputazionali e responsabilità patrimoniali. Gestione dei rischi informatici. L'art. 24 D.Lgs. 138/2024, nell'imporre ai soggetti essenziali e importanti l'adozione di misure tecniche, operative e organizzative per la gestione dei rischi informatici, riconosce implicitamente che la formazione rappresenta un aspetto cruciale e imprescindibile di tali misure. Il piano formativo e il budget per lo stesso devono essere decisi dai vertici aziendale e deve rispondere all'aggiornamento delle minacce. La lett. g) dell'articolo, dedicato alla gestione del rischio per la sicurezza informatica, richiama espressamente l'obbligo formativo e di pratiche di igiene informatiche tra gli oneri dei soggetti essenziali e importanti. La norma richiede che tali misure siano adeguate e proporzionate, con un chiaro richiamo al principio di proporzionalità, che collega l'ampiezza degli interventi alla probabilità e alla gravità degli incidenti, nonché all'impatto sociale ed economico degli stessi e specifica che le misure devono assicurare un livello di sicurezza commisurato ai rischi esistenti, tenendo conto dello stato dell'arte e delle conoscenze più aggiornate. Conseguentemente, le pratiche di formazione devono essere regolarmente aggiornate per riflettere l'evoluzione delle minacce, come il phishing, l'ingegneria sociale e i malware sempre più sofisticati. La norma, inoltre, impone che la formazione sia progettata in funzione delle dimensioni e delle caratteristiche operative dell'organizzazione in virtù del principio di proporzionalità, conseguentemente i soggetti più esposti o che operano in contesti critici devono sviluppare percorsi formativi specifici al grado di rischio. L'assenza di dettagli prescrittivi sulla periodicità e sulle metodologie da parte della norma riflette un approccio normativo che privilegia la flessibilità operativa e il principio di proporzionalità, le organizzazioni sono chiamate a calibrare le proprie attività formative in funzione dell'evoluzione delle minacce, del livello di rischio a cui sono esposte e della complessità dei sistemi che gestiscono. Un modello rigido e uniforme risulterebbe tanto inadeguato a rispondere alle esigenze diversificate che caratterizzano i contesti operativi dei soggetti obbligati, quanto inefficace nel fronteggiare le necessità di aggiornamento imposte dalla rapida evoluzione delle minacce informatiche e delle tecnologie di attacco. Quello che conta ai fini di compliance con le prescrizioni del decreto è la definizione di procedure interne tanto dinamiche quante strutturate volte a garantire che l'aggiornamento formativo sia costante e in grado di adattarsi rapidamente al mutare del contesto cibernetico. Ai fini del rispetto degli obblighi previsti dall'art. 24 D.Lgs. 138/2024, e in particolare quello formativo, il soggetto importante e essenziale sarà tenuto a rendicontare le strategie prese e l'attività formativa sottoposta al personale e ai collaboratori dell'organizzazione. La verifica dell'efficacia delle attività formative, così come implicitamente richiamata dall'art. 24, rappresenta un elemento per valutare la capacità dell'organizzazione di tradurre il processo formativo in un'effettiva riduzione del rischio cibernetico. Gli strumenti operativi utili per tale scopo potrebbero comprendere ad esempio simulazioni di attacchi, audit interni e test di vulnerabilità. Tali metodi, oltre a verificare l'assimilazione dei contenuti formativi, consentono di accertare l'effettiva capacità del personale di riconoscere le minacce, gestire situazioni critiche e adottare comportamenti corretti per prevenire compromissioni dei sistemi. Nel rispetto del principio proporzionalità, la scelta di tali strumenti deve essere calibrata al contesto operativo dell'organizzazione e alle specificità dei rischi rilevati. La documentazione delle attività formative svolte consente di dare evidenza dell'obbligo formativo e uno strumento per l'analisi periodica di efficacia delle misure prese e politiche di aggiornamento.

Fonte: QUOTIDIANO PIU' - GFL