Il contributo è pubblicato su Corporate governance, fasc. 4/2022.
SOMMARIO 1. Premessa: la trasformazione digitale dal business alla compliance. – 2. La cybersecurity come responsabilità di governance. – 3. Cyber Risk Management Model e compliance integrata: tra normative di settore, best practices e sistemi di certificazione. – 4. Risk assessment e Risk Management nel modello PDCA (Plan-Do-Check-Act). – 5. Il raccordo con la prevenzione dei “reati informatici-fine” e dei “reati informatici-mezzo” nei modelli organizzativi ex d.lgs. n. 231/2001. – 6. (in particolare) I protocolli di comportamento sulla gestione dell’attacco informatico.
Abstract:
Nella società digitale, la gestione della sicurezza cibernetica dell’impresa impone scelte organizzative e infrastrutturali che rinviano a responsabilità di corporate governance, dovendosi adottare ed efficacemente attuare modelli di risk assessment e di risk management idonei a prevenire attacchi informatici d’impatto economico e reputazionale potenzialmente devastante in quanto, per un verso, conformi agli standard normativi e di certificazione di riferimento nonché alle best practices delle autorità di vigilanza e, per altro verso, in linea con le misure adottate per la prevenzione dei computer facilitated crimes presupposto della responsabilità amministrativa di cui al d.lgs. n. 231/2001 e per il trattamento di dati personali ai sensi del Regolamento UE 679/2016 (GDPR) che, del resto, definisce la “violazione dei dati personali” proprio come “violazione di sicurezza”. L’ennesimo banco di prova per la governance che, a prescindere dalla previsione di singoli obblighi di settore diversamente sanzionati, ne può comportare una responsabilità civile verso la società o verso terzi, ad esempio ai sensi degli artt. 2381, 2392 o 2050 c.c., così come persino una responsabilità penale, sia pur eventualmente a titolo di concorso, per omesso impedimento dell’evento ai sensi degli artt. 110 e 40 cpv. c.p.
Title:
Cybersecurity and corporate governance between top-down assessments and bottom-up techniques
Abstract:
In the digital society, the management of the company’s cyber security imposes organizational and infrastructural choices that refer to corporate governance responsibilities, having to adopt and effectively implement risk assessment and risk management models suitable for preventing IT attacks with an economic and reputational potentially devastating as, on the one hand, compliant with the reference regulatory and certification standards as well as with the best practices of the supervisory authorities and, on the other hand, in line with the measures adopted for the prevention of computer facilitated crimes as a prerequisite for administrative responsibility pursuant to Legislative Decree 231/2001 and for the processing of personal data pursuant to EU Regulation 679/2016 (GDPR) which, moreover, defines the “violation of personal data” precisely as “security breach”. Yet another test case for governance which, regardless of the provision of individual sector obligations sanctioned differently, can lead to civil liability towards the company or towards third parties, for example pursuant to articles 2381, 2392 or 2050 of the Civil Code, as well as even a criminal liability, albeit possibly by way of complicity, for omitted impediment of the event pursuant to articles 110 and 40 criminal code.