Salta al contenuto
Novità Cybersecurity NIS2 ACN documentazione governance NIS2 responsabilità

ACN: Chiarimenti su Obblighi e Governance NIS 2 per Organi Direttivi

ACN: Chiarimenti su Obblighi e Governance NIS 2 per Organi Direttivi

In sintesi

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha aggiornato le FAQ relative agli obblighi degli organi di amministrazione e direttivi dei soggetti NIS. L'aggiornamento fornisce indicazioni interpretative sulla governance NIS 2, chiarendo le responsabilità e la gestione della documentazione di cybersicurezza. L'obiettivo è agevolare l'applicazione della normativa da parte dei soggetti interessati.

Contesto

In data 14 luglio 2026, l'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato un aggiornamento delle sue FAQ, specificamente quelle relative agli obblighi degli organi di amministrazione e direttivi dei soggetti NIS. Sono state integrate le FAQ ODA.8 e ODA.9 e introdotte le nuove FAQ ODA.10, ODA.11 e ODA.12. L'iniziativa mira a fornire chiarimenti interpretativi su aspetti applicativi della disciplina NIS 2 e a definire meglio il ruolo degli organi di amministrazione e direttivi nel sistema di governance della cybersicurezza. Le FAQ ODA.8 e ODA.9 ribadiscono che l'approvazione dei documenti previsti dall'articolo 23 del decreto NIS è una competenza esclusiva e non delegabile dell'organo collegiale o monocratico, mentre le attività operative possono essere delegate. La FAQ ODA.10 stabilisce che i documenti da approvare dagli organi di amministrazione devono delineare gli indirizzi e la pianificazione strategica delle misure di sicurezza, escludendo la documentazione tecnica e operativa. Infine, le FAQ ODA.11 e ODA.12 precisano che i soggetti NIS possono organizzare la documentazione come ritengono più opportuno (unico documento o insieme coordinato) e che l'aggiornamento dei documenti tecnici e organizzativi non richiede una nuova approvazione della documentazione strategica.

Perché conta

Questi chiarimenti dell'ACN sono fondamentali per tutti i soggetti rientranti nel perimetro NIS 2, in quanto definiscono con maggiore precisione le responsabilità e le modalità di adempimento degli obblighi di governance della cybersicurezza. La non delegabilità dell'approvazione dei documenti strategici impone agli organi di amministrazione una partecipazione attiva e consapevole, rafforzando la loro accountability in materia di sicurezza delle informazioni. Comprendere correttamente la distinzione tra documentazione strategica e operativa è cruciale per evitare errori procedurali e garantire che le decisioni al più alto livello siano ben informate e formalmente approvate, contribuendo così a una governance solida e a una migliore postura di sicurezza complessiva.

Cosa fare

  • Verificare la propria documentazione strategica di cybersicurezza alla luce delle FAQ aggiornate ACN.
  • Assicurarsi che l'approvazione dei documenti previsti dall'articolo 23 del decreto NIS sia di competenza esclusiva dell'organo collegiale o monocratico.
  • Organizzare la documentazione di cybersicurezza in modo idoneo, distinguendo tra documenti strategici e operativi.
  • Definire negli indirizzi e nella pianificazione strategica delle misure di sicurezza i documenti da sottoporre all'approvazione degli organi di amministrazione.

Cosa evitare

  • Delegare l'approvazione dei documenti previsti dall'articolo 23 del decreto NIS.
  • Sottoporre all'approvazione degli organi di amministrazione documentazione di natura meramente tecnica e operativa.
  • Richiedere una nuova approvazione della documentazione strategica per ogni aggiornamento di documenti tecnici e organizzativi richiamati.

Implicazioni pratiche

Le organizzazioni soggette alla NIS 2 devono rivedere le proprie procedure interne e la ripartizione delle responsabilità relative alla governance della cybersicurezza per allinearsi ai chiarimenti dell'ACN, garantendo che le decisioni strategiche siano prese e approvate dagli organi direttivi senza possibilità di delega per l'approvazione stessa.

Azioni da fare

  • Riesaminare le proprie politiche e procedure di governance della cybersicurezza alla luce delle FAQ aggiornate ACN.
  • Garantire che gli organi di amministrazione siano consapevoli delle loro responsabilità esclusive per l'approvazione dei documenti strategici NIS.
  • Strutturare la documentazione di cybersicurezza in modo chiaro, distinguendo tra livello strategico (per l'approvazione direttiva) e operativo (per la gestione interna).

Errori da evitare

  • Ignorare le indicazioni aggiornate dell'ACN sulla governance NIS 2, sottovalutando la responsabilità degli organi direttivi.
  • Confondere la responsabilità di approvazione strategica con l'esecuzione operativa e tentare di delegare l'approvazione.

Domande di self-assessment

  • I nostri organi di amministrazione sono pienamente consapevoli delle loro responsabilità inderogabili ai sensi della NIS 2 e dei chiarimenti ACN?
  • La nostra documentazione di governance della cybersicurezza distingue chiaramente tra policy strategiche (richiedenti approvazione direttiva) e procedure operative?
  • Abbiamo processi chiari e conformi per la gestione, l'aggiornamento e l'approvazione della documentazione strategica e tecnica in materia di cybersicurezza?

Riferimenti

Normativa nazionale: Decreto NIS (Art. 23)

Leggi l'articolo originale su acn.gov.it ↗

Leggi anche