NIS2: Le nuove FAQ di ACN

A inizio luglio, ACN ha integrato alcune delle FAQ presenti sul proprio sito e ne ha introdotte di nuove. In particolare, sono state integrate le FAQ ODA.8 e ODA.9 e introdotte le nuove ODA.10, ODA.11, ODA.12 e ODA.13. L’intervento si colloca solo sul piano interpretativo, in quanto gli obblighi continuano a derivare dall’articolo 23 del decreto legislativo 138/2024 e dalle specifiche di base definite dalla Determinazione ACN 379907/2025. Le FAQ rendono tuttavia più chiara la lettura che l’Autorità attribuisce a tali disposizioni e offrono indicazioni rilevanti per organizzare il percorso di adeguamento.

Questo aggiornamento interviene su uno degli aspetti più discussi dell’attuazione della NIS2, cioè il rapporto tra le responsabilità attribuite agli organi di amministrazione e il lavoro svolto dalle funzioni che gestiscono operativamente il rischio cyber.

Le integrazioni a ODA.8 e ODA.9

Le nuove formulazioni di ODA.8 e ODA.9 distinguono con maggiore precisione la possibilità di delegare determinate attività e la responsabilità formale dalle attività necessarie per dare esecuzione agli obblighi.

In particolare, ODA.8 specifica che tale delega non può riguardare l’approvazione dei documenti di cui all’articolo 23, comma 1, lett. a), e 2 del decreto NIS, riportati sotto forma tabellare nell’appendice C della guida alla lettura delle specifiche di base. Tale obbligo, infatti, che resta in capo unicamente ed esclusivamente agli organi di amministrazione e direttivi del soggetto NIS. Inoltre, tale obbligo non è suscettibile di essere trasferito né a membri specifici, né a distinti organi e funzioni del soggetto NIS, indipendentemente dal modello di governance societaria adottato.

Per quanto riguarda ODA.9, invece, viene indicata una lista degli obblighi e delle relative responsabilità in capo agli organi di amministrazione e direttivi, pertanto non delegabili.

Viene inoltre specificato che è possibile applicare la delega per lo svolgimento delle attività finalizzate all’attuazione degli obblighi di cui all’articolo 23, commi 1 e 2 del decreto NIS. In caso di delega, ai fini delle responsabilità, resta fermo quanto previsto dagli artt. 2381 c.c. e 2392 c.c.

Nella stessa FAQ, viene inoltre precisato che la delega non permette di trasferire in capo a singoli membri degli organi di amministrazione e direttivi, né ad altri organi e funzioni del soggetto NIS, l’adempimento degli obblighi di cui all’articolo 23, commi 1 e 2 del decreto NIS.

ODA.10: Il board approva contenuti strategici, non manuali tecnici

Nella nuova FAQ ODA.10, vengono elencati gli undici documenti soggetti ad approvazione degli organi di amministrazione e direttivi di cui all’articolo 23, comma 1, lett. a) del decreto NIS.

Nel testo della FAQ, inoltre, viene specificato che tali documenti debbano rispettare i requisiti delle misure di sicurezza almeno a livello di indirizzo e pianificazione strategica, in modo da consentire agli organi di amministrazione e direttivi di esercitare consapevolmente la propria funzione. Conseguentemente, il dettaglio tecnico e operativo dei succitati documenti può essere disciplinato attraverso ulteriori e diversi presidi documentali e organizzativi (e.g., procedure tecniche, istruzioni operative, manuali, documenti e relazioni interne) a cura delle articolazioni competenti del soggetto NIS. Il dettaglio tecnico e operativo può essere sviluppato attraverso procedure o altri presidi predisposti dalle funzioni competenti. La FAQ distingue così il livello documentale sottoposto al vertice da quello utilizzato dalle strutture specialistiche per attuare concretamente le misure.

ODA.11: I presidi operativi restano fuori dal ciclo di approvazione

La FAQ ODA.11 chiarisce che gli ulteriori presidi documentali e organizzativi richiamati nei documenti indicati da ODA.10 non devono essere sottoposti all’approvazione degli organi di amministrazione e direttivi.

Il chiarimento, in sostanza, conferma che il Consiglio di Amministrazione non è tenuto ad approvare ogni documento tecnico previsto dalla NIS2. La FAQ conferma inoltre che i contenuti richiesti possono essere raccolti in un unico documento oppure distribuiti tra più documenti. Nel caso del piano per la gestione degli incidenti, ad esempio, non è richiesto che questo contenga il dettaglio delle procedure applicabili, ma è sufficiente che ne riporti l’elenco con i riferimenti ai relativi documenti.

ODA.12: L’aggiornamento di una procedura non richiede una nuova approvazione

In continuità con ODA.11, la FAQ ODA.12 chiarisce che, qualora siano aggiornati i presidi documentali e organizzativi di cui alla FAQ ODA.11, non è richiesto che gli organi di amministrazione e direttivi approvino gli ulteriori e diversi presidi documentali e organizzativi eventualmente referenziati in tali documenti.

ODA.13: maggiore flessibilità nella comunicazione dei recapiti

La FAQ ODA.13 interviene su un aspetto amministrativo più circoscritto, chiarendo che la PEC personale dei componenti degli organi di amministrazione e direttivi è auspicabile, senza essere obbligatoria. Il soggetto può indicare una PEC funzionale dell’organizzazione oppure, qualora questa non sia disponibile, un indirizzo di posta elettronica aziendale. Il chiarimento semplifica la gestione dei recapiti, purché venga garantito un canale ufficiale, aggiornato e adeguatamente presidiato.

Cosa cambia per i programmi NIS2

Nel loro complesso, le nuove FAQ rendono l’applicazione della NIS2 più coerente con i principi di proporzionalità, accountability e gestione del rischio già consolidati negli standard internazionali di sicurezza delle informazioni. Il chiarimento consente alle organizzazioni di distinguere meglio le responsabilità del board dalle attività operative, riducendo passaggi documentali poco utili e mantenendo l’attenzione sulla qualità delle decisioni.

Ne emerge un approccio alla compliance più sostenibile e maggiormente orientato all’effettiva governance della cybersicurezza.

Articoli consigliati