Il documento «Cybersecurity e Modello 231: integrazione dei rischi informatici nella governance d’impresa» del CNDCEC evidenzia la necessità di includere il rischio cyber nei processi di valutazione e gestione dei rischi aziendali.
La crescente esposizione delle imprese ad attacchi informatici impone di superare una visione della cybersecurity limitata agli aspetti tecnologici, poiché un incidente cyber può produrre effetti economici, operativi, reputazionali e legali. In tale prospettiva, il Modello 231 rappresenta uno strumento efficace per integrare la gestione dei rischi informatici nei sistemi di governance e controllo.
Il processo di risk assessment deve estendersi anche alle minacce informatiche che possono favorire la commissione dei reati presupposto, mappando asset informatici, processi digitalizzati e vulnerabilità, nonché individuando le aree maggiormente esposte agli attacchi. Particolare attenzione va inoltre riservata alla supply chain e al «rischio di filiera», poiché molti incidenti hanno origine presso fornitori o partner tecnologici.
La gestione dei rischi deve assumere un approccio sempre più forward looking, capace di anticipare le minacce emergenti e adeguare costantemente i presìdi di controllo. In quest’ottica, attività quali vulnerability assessment, audit periodici, verifiche sui backup consentono di monitorare nel tempo l’efficacia delle misure adottate e la capacità dell’impresa di prevenire e gestire gli incidenti.
La cybersecurity diventa quindi una componente strutturale della governance aziendale e dell’efficace attuazione dei Modelli 231.