Home » CAPO IV – Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente (art.23-33) » Articolo 23 – Organi di amministrazione e direttivi
Sintesi Articolo 23
Il decreto delinea le funzioni degli organi amministrativi e direttivi dei soggetti essenziali e dei soggetti importanti. Gli organi di cui al presente articolo approvano le modalità di implementazione della gestione dei rischi per la sicurezza informatica adottate dai soggetti importanti e soggetti essenziali, per poi sovraintenderla. In caso di violazione la responsabilità è in capo a tali organi. Inoltre, essi devono seguire una formazione in materia di sicurezza informatica e garantire la medesima anche ai propri dipendenti al fine di assicurare l’individuazione dei rischi per la sicurezza informatica ed incrementare la conoscenza circa i loro impatti. Infine, gli organi amministrativi e direttivi sono informati su base periodica, o dove necessario, tempestivamente, degli incidenti e delle notifiche.
- Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
a) approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell’articolo 24;
b) sovrintendono all’implementazione degli obblighi di cui al presente capo e di cui all’articolo 7;
c) sono responsabili delle violazioni di cui al presente decreto.
- Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
a) sono tenuti a seguire una formazione in materia di sicurezza informatica;
b) promuovono l’offerta periodica di una formazione coerente a quella di cui alla lettera a) ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.
- Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche di cui agli articoli 25 e 26.