Torna al Blog

NIS2 · Governance & ACN

NIS2: la cybersicurezza è responsabilità del vertice — le nuove FAQ ACN

·7 min lettura
Un vertice aziendale approva un documento strategico in cima a una struttura organizzativa, mentre le attività operative sono delegate ai livelli inferiori

La NIS2 non è (solo) un progetto IT. Le nuove FAQ pubblicate dall'ACN sugli obblighi degli organi di amministrazione e direttivi lo mettono nero su bianco: l'approvazione dei documenti strategici di cybersicurezza è competenza del vertice — e non può essere delegata. È il passaggio in cui la sicurezza smette di essere un tema da ufficio tecnico e diventa una responsabilità del consiglio.

In una rigaCon le FAQ ODA.10-12 l'ACN conferma: l'organo di amministrazione (collegiale o monocratico) approva di persona i documenti strategici previsti dall'art. 23 del decreto NIS; sono delegabili solo le attività operative di attuazione. La cybersicurezza è governance, non solo tecnica.

Cosa hanno chiarito le nuove FAQ ACN

L'Agenzia per la Cybersicurezza Nazionale ha aggiornato le FAQ dedicate agli obblighi degli organi di amministrazione e direttivi dei soggetti NIS. L'intervento integra le FAQ ODA.8 e ODA.9 e introduce le nuove ODA.10, ODA.11 e ODA.12, con indicazioni operative su chi approva cosa e come organizzare la documentazione. Sotto la veste di chiarimenti interpretativi, c'è una riaffermazione di principio: la NIS2 responsabilizza il vertice.

L'approvazione che non si può delegare

Il punto più netto riguarda l'art. 23 del D.Lgs. 138/2024 (il decreto di recepimento della NIS2). L'approvazione dei documenti ivi previsti resta una competenza esclusiva dell'organo collegiale o, dove previsto, monocratico, e non può essere delegata. È invece possibile delegare le attività operative necessarie all'attuazione concreta degli obblighi.

L'approvazione dei documenti dell'art. 23 non è delegabile; delegabile è solo l'attuazione operativa.

FAQ ACN — obblighi degli organi di amministrazione e direttivi

La distinzione è sottile ma decisiva: il vertice non deve scrivere le procedure tecniche né configurare i sistemi. Deve però approvare consapevolmente l'impianto strategico — e assumersene la responsabilità.

Cosa deve contenere il documento approvato

La FAQ ODA.10 precisa il livello di dettaglio richiesto: i documenti sottoposti all'approvazione degli organi di amministrazione e direttivi devono declinare le misure di sicurezza almeno a livello di indirizzo e pianificazione strategica. In pratica, il vertice approva la cornice generale con cui il soggetto NIS intende governare il rischio cyber: policy, obiettivi, responsabilità, indirizzi e criteri. Non i dettagli implementativi, ma la direzione.

Un modello documentale flessibile

Le FAQ ODA.11 e ODA.12 alleggeriscono l'onere formale. Il soggetto NIS può organizzare la propria struttura documentale come preferisce: un unico documento strategico oppure un insieme di documenti coordinati, a seconda della complessità e del modello organizzativo. E soprattutto: aggiornare procedure, istruzioni operative o manuali tecnici richiamati nei documenti strategici non richiede una nuova approvazione di questi ultimi.

Il confine da tracciare bene

Questa flessibilità è un vantaggio, ma sposta il lavoro su un punto di disegno: dove finisce lo 'strategico' (approvato dal vertice) e dove inizia l'operativo (delegabile e aggiornabile)?

  • Strategico → vertice. Indirizzo, obiettivi, responsabilità, criteri di governo del rischio: vanno nel documento che il consiglio approva.
  • Operativo → delegabile. Procedure, configurazioni, manuali tecnici: attuazione e aggiornamenti senza tornare in consiglio.
  • Il rischio dei due estremi. Se il documento strategico "ingloba" i dettagli operativi, ogni patch tecnica richiederebbe una nuova delibera; se resta troppo vago, non soddisfa l'art. 23. Il confine va disegnato con cura.

Perché conta: la responsabilità è personale

Questi chiarimenti rafforzano il cuore della NIS2 — e, a monte, dell'art. 20 della Direttiva (UE) 2022/2555: gli organi di gestione approvano le misure di gestione del rischio, ne sorvegliano l'attuazione e sono tenuti a formarsi sui temi di cybersicurezza. La sicurezza diventa una questione di governance con responsabilità diretta del vertice nel definire priorità, indirizzi, risorse e capacità di resilienza digitale. Non è una delega tecnica: è una scelta di indirizzo di cui il consiglio risponde.

Operativo: cosa fare ora

  1. 01Predisporre il documento strategico ex art. 23. All'altezza di ODA.10: indirizzo, obiettivi, responsabilità e criteri di governo del rischio, in forma approvabile dall'organo di amministrazione.
  2. 02Tracciare la delega operativa. Chi attua cosa, con quali responsabilità e limiti — senza spostare l'approvazione strategica.
  3. 03Disegnare il confine strategico/operativo. In modo che gli aggiornamenti tecnici non richiedano una nuova delibera del vertice, ma restino dentro il perimetro delegato.
  4. 04Formare e responsabilizzare il vertice. L'approvazione deve essere informata: la formazione degli organi direttivi è un obbligo, non un optional.
  5. 05Conservare le evidenze. Verbali di approvazione, versioni dei documenti, atti di delega: le prove che, in caso di ispezione ACN, dimostrano un'approvazione consapevole e un modello coerente.

In conclusione

Le nuove FAQ ACN semplificano la forma ma alzano la posta sulla sostanza: la cybersicurezza è un tema da consiglio di amministrazione. La flessibilità documentale aiuta chi ha già impostato bene la governance e mette in difficoltà chi ha trattato la NIS2 come un adempimento tecnico. La differenza, ancora una volta, non è avere i documenti — è avere i documenti giusti, approvati dagli organi giusti, e poterlo dimostrare.

Il tuo consiglio è pronto ad approvare la NIS2?

Tomato Blue affianca gli organi di amministrazione nel predisporre il documento strategico ex art. 23, disegnare il confine tra strategico e operativo, e costruire le evidenze pronte per un'ispezione ACN.

Parla con noi →

Fonti

D.Lgs. 138/2024 (recepimento della Direttiva NIS2), art. 23; Direttiva (UE) 2022/2555 (NIS2), art. 20; Agenzia per la Cybersicurezza Nazionale (ACN), «Aggiornate le FAQ ACN sugli obblighi degli organi di amministrazione e direttivi dei soggetti NIS» e FAQ NIS — Ruoli e procedure (FAQ ODA.8-12), acn.gov.it.

Questo articolo ha finalità informative e divulgative e non costituisce parere legale né sostituisce una consulenza professionale calibrata sul caso concreto. Le posizioni espresse riflettono l'analisi di Tomato Blue RegTech.