A inizio luglio, ACN ha integrato alcune delle FAQ presenti sul proprio sito e ne ha introdotte di nuove. In particolare, sono state integrate le FAQ ODA.8 e ODA.9 e introdotte le nuove ODA.10, ODA.11, ODA.12 e ODA.13. L’intervento si colloca solo sul piano interpretativo, in quanto gli obblighi continuano a derivare dall’articolo 23 del decreto legislativo 138/2024 e dalle specifiche di base definite dalla Determinazione ACN 379907/2025. Le FAQ rendono tuttavia più chiara la lettura che l’Autorità attribuisce a tali disposizioni e offrono indicazioni rilevanti per organizzare il percorso di adeguamento.
Questo aggiornamento interviene su uno degli aspetti più discussi dell’attuazione della NIS2, cioè il rapporto tra le responsabilità attribuite agli organi di amministrazione e il lavoro svolto dalle funzioni che gestiscono operativamente il rischio cyber.
Le nuove formulazioni di ODA.8 e ODA.9 distinguono con maggiore precisione la possibilità di delegare determinate attività e la responsabilità formale dalle attività necessarie per dare esecuzione agli obblighi.
In particolare, ODA.8 specifica che tale delega non può riguardare l’approvazione dei documenti di cui all’articolo 23, comma 1, lett. a), e 2 del decreto NIS, riportati sotto forma tabellare nell’appendice C della guida alla lettura delle specifiche di base. Tale obbligo, infatti, che resta in capo unicamente ed esclusivamente agli organi di amministrazione e direttivi del soggetto NIS. Inoltre, tale obbligo non è suscettibile di essere trasferito né a membri specifici, né a distinti organi e funzioni del soggetto NIS, indipendentemente dal modello di governance societaria adottato.
Per quanto riguarda ODA.9, invece, viene indicata una lista degli obblighi e delle relative responsabilità in capo agli organi di amministrazione e direttivi, pertanto non delegabili.
Viene inoltre specificato che è possibile applicare la delega per lo svolgimento delle attività finalizzate all’attuazione degli obblighi di cui all’articolo 23, commi 1 e 2 del decreto NIS. In caso di delega, ai fini delle responsabilità, resta fermo quanto previsto dagli artt. 2381 c.c. e 2392 c.c.
Nella stessa FAQ, viene inoltre precisato che la delega non permette di trasferire in capo a singoli membri degli organi di amministrazione e direttivi, né ad altri organi e funzioni del soggetto NIS, l’adempimento degli obblighi di cui all’articolo 23, commi 1 e 2 del decreto NIS.
Nella nuova FAQ ODA.10, vengono elencati gli undici documenti soggetti ad approvazione degli organi di amministrazione e direttivi di cui all’articolo 23, comma 1, lett. a) del decreto NIS.
Nel testo della FAQ, inoltre, viene specificato che tali documenti debbano rispettare i requisiti delle misure di sicurezza almeno a livello di indirizzo e pianificazione strategica, in modo da consentire agli organi di amministrazione e direttivi di esercitare consapevolmente la propria funzione. Conseguentemente, il dettaglio tecnico e operativo dei succitati documenti può essere disciplinato attraverso ulteriori e diversi presidi documentali e organizzativi (e.g., procedure tecniche, istruzioni operative, manuali, documenti e relazioni interne) a cura delle articolazioni competenti del soggetto NIS. Il dettaglio tecnico e operativo può essere sviluppato attraverso procedure o altri presidi predisposti dalle funzioni competenti. La FAQ distingue così il livello documentale sottoposto al vertice da quello utilizzato dalle strutture specialistiche per attuare concretamente le misure.
La FAQ ODA.11 chiarisce che gli ulteriori presidi documentali e organizzativi richiamati nei documenti indicati da ODA.10 non devono essere sottoposti all’approvazione degli organi di amministrazione e direttivi.
Il chiarimento, in sostanza, conferma che il Consiglio di Amministrazione non è tenuto ad approvare ogni documento tecnico previsto dalla NIS2. La FAQ conferma inoltre che i contenuti richiesti possono essere raccolti in un unico documento oppure distribuiti tra più documenti. Nel caso del piano per la gestione degli incidenti, ad esempio, non è richiesto che questo contenga il dettaglio delle procedure applicabili, ma è sufficiente che ne riporti l’elenco con i riferimenti ai relativi documenti.
In continuità con ODA.11, la FAQ ODA.12 chiarisce che, qualora siano aggiornati i presidi documentali e organizzativi di cui alla FAQ ODA.11, non è richiesto che gli organi di amministrazione e direttivi approvino gli ulteriori e diversi presidi documentali e organizzativi eventualmente referenziati in tali documenti.
La FAQ ODA.13 interviene su un aspetto amministrativo più circoscritto, chiarendo che la PEC personale dei componenti degli organi di amministrazione e direttivi è auspicabile, senza essere obbligatoria. Il soggetto può indicare una PEC funzionale dell’organizzazione oppure, qualora questa non sia disponibile, un indirizzo di posta elettronica aziendale. Il chiarimento semplifica la gestione dei recapiti, purché venga garantito un canale ufficiale, aggiornato e adeguatamente presidiato.
Nel loro complesso, le nuove FAQ rendono l’applicazione della NIS2 più coerente con i principi di proporzionalità, accountability e gestione del rischio già consolidati negli standard internazionali di sicurezza delle informazioni. Il chiarimento consente alle organizzazioni di distinguere meglio le responsabilità del board dalle attività operative, riducendo passaggi documentali poco utili e mantenendo l’attenzione sulla qualità delle decisioni.
Ne emerge un approccio alla compliance più sostenibile e maggiormente orientato all’effettiva governance della cybersicurezza.
ai.esra SpA – strada del Lionetto 6 Torino, Italia, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Questo sito si impegna a garantire l’accessibilità digitale secondo la normativa europea (EAA). Per segnalare problemi di accessibilità, scrivi a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Tutti i diritti riservati