L’Agenzia per la Cybersicurezza Nazionale (ACN), nel processo di iscrizione delle imprese nel perimetro NIS2, pone tra le domande anche l’appartenenza a un gruppo di imprese. Ma perché questa informazione è rilevante?

1. Cos’è un gruppo di imprese secondo la normativa italiana?

Un gruppo di imprese è definito dall’articolo 2, comma 1, lettera h), del decreto legislativo 12 gennaio 2019, n. 14, come:

“L’insieme delle società, delle imprese e degli enti, esclusi lo Stato e gli enti territoriali, che esercitano o sono sottoposti, ai sensi degli articoli 2497 e 2545-septies del codice civile, alla direzione e coordinamento di una società, di un ente o di una persona fisica.”

In sintesi, un gruppo è formato da più aziende legate da un controllo comune, sia esso diretto o indiretto.

2. Perché ACN chiede l’appartenenza a un gruppo?

La normativa NIS2 ha lo scopo di rafforzare la sicurezza informatica delle infrastrutture critiche e delle aziende essenziali per il funzionamento dello Stato. L’appartenenza a un gruppo è rilevante per diversi motivi:

  1. Rischio e vulnerabilità condivise: le aziende di un gruppo condividono spesso infrastrutture IT, sistemi di sicurezza e flussi di dati, aumentando il rischio di attacchi informatici su più entità contemporaneamente.
  2. Obblighi di sicurezza estesi: se una società del gruppo è soggetta a NIS2, anche le altre potrebbero esserlo, perché potrebbero operare all’interno dello stesso ecosistema IT o dipendere dalle stesse risorse.
  3. Responsabilità e governance: la società madre o l’ente che esercita la direzione e il coordinamento potrebbe avere un ruolo nelle strategie di cybersecurity, influenzando la gestione della sicurezza di tutte le società del gruppo.
  4. Gestione delle segnalazioni di incidenti: in caso di attacco o incidente, le autorità potrebbero richiedere l’intervento non solo della singola azienda colpita, ma anche delle altre società del gruppo per prevenire effetti a catena.

3. Implicazioni pratiche per le aziende nel perimetro NIS2

Se un’azienda fa parte di un gruppo, durante l’iscrizione su ACN, dovrà:

  • Dichiarare la presenza di un eventuale ente di direzione e coordinamento.
  • Indicare se la sicurezza informatica è gestita in modo centralizzato.
  • Valutare l’eventuale estensione degli obblighi di compliance NIS2 ad altre società del gruppo.

4. Concludendo

L’inclusione dei dettagli circa l’appartenenza a un gruppo di aziende durante l’iscrizione al portale NIS2 di ACN non è quindi casuale. L’analisi della struttura del gruppo aiuta a valutare la superficie di attacco, identificare i rischi condivisi e garantire una gestione coordinata della cybersicurezza.

Per le aziende che rientrano nel perimetro NIS2, è fondamentale comprendere il proprio ruolo all’interno del gruppo, adottare misure di sicurezza adeguate e garantire che la governance della cybersecurity sia allineata alle nuove normative europee e nazionali. Dubbi? Domande? Contattaci, la scadenza del 28 febbraio 2025 per l’iscrizione è prossima.

Leave a Reply

Your email address will not be published.