Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

La Governance

La NIS 2 non necessita di documenti: richiede governo

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Con la NIS 2, la sicurezza informatica diventa materia di governo societario. Ecco perché il rischio digitale deve essere assunto, deliberato e tracciato dal vertice organizzativo

Pubblicato il 24 feb 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

NIS2 determinazione ACN 31 luglio 2025; Governare il rischio di cyber sicurezza nell'impresa: il ruolo degli amministratori, fra obblighi e responsabilità; NIS2, ACN aggiorna le FAQ: la notifica degli incidenti non si appalta; La NIS 2 non necessita di documenti: richiede governo

La Direttiva NIS 2, recepita in Italia con il D.Lgs. 138/2024, ha introdotto un principio che segna una discontinuità rispetto al passato: la sicurezza informatica è materia di governo societario.

L’Appendice C delle Linee Guida dell’ACN “NIS – Specifiche di base – Guida alla lettura di settembre 2025” individua un insieme di documenti che devono essere approvati dagli organi di amministrazione e direttivi.

È la traduzione applicativa di un chiarissimo requisito normativo: il rischio digitale deve essere assunto, deliberato e tracciato dal vertice organizzativo.

In questo articolo – il primo di una pentalogia dedicata alla governance NIS 2, con un focus particolare focus sulla componente della documentazione – analizziamo il significato di tale architettura, mostrando come i documenti indicati dall’ACN costituiscano la mappa minima della responsabilità organizzativa.

NIS 2 come sicurezza misurabile: come riconoscere un incidente significativo

Il rischio implicito e l’assenza di indirizzo strategico

Ogni organizzazione governa, anche quando non lo dichiara esplicitamente.
Governa quando:

  • sceglie un’infrastruttura cloud invece di un’altra;
  • decide di affidarsi a un fornitore esterno senza approfondire il suo livello di sicurezza;
  • stabilisce che un certo investimento in protezione può attendere.

Queste sono tutte scelte che determinano il livello di esposizione al rischio dell’organizzazione.

Il problema nasce quando queste scelte vengono prese senza una linea strategica chiara cioè senza che il vertice organizzativo abbia definito, in modo esplicito:

  • quale sia il livello di rischio accettabile;
  • quali siano le priorità di protezione;
  • quali asset siano realmente critici;
  • quali scenari non siano tollerabili.

In assenza di queste linee di indirizzo strategico, le decisioni vengono prese “dal basso”, caso per caso, spesso sulla base di esigenze contingenti, urgenze operative o vincoli di budget o ancora peggio sensibilità del singolo.

In quel contesto sembrano semplici scelte tecniche o di natura organizzativa mentre in realtà stanno definendo, senza dichiararlo, la politica del rischio dell’organizzazione.

Ora, finché tutto questo resta implicito, nessuno si assume formalmente la responsabilità di aver stabilito quanto rischio sia accettabile e perché.

Non esiste un atto deliberativo che dica: questo livello di esposizione è stato valutato, compreso e scelto.

La NIS 2 interviene proprio in questo scenario imponendo che il rischio digitale non sia più gestito per inerzia operativa, ma sia oggetto di indirizzo strategico. Questo è il vero salto culturale introdotto dalla NIS 2.

Dall’illusione tecnica alla responsabilità deliberativa

Per anni la sicurezza informatica è stata confinata nel dominio tecnico: il vertice, nel migliore dei casi, riceveva relazioni sintetiche, spesso poco comprensibili, e si limitava a prenderne atto.

In tal modo, la gestione concreta restava confinata in ambito IT.

La NIS 2, e il D.Lgs. 138/2024 che l’ha recepita, superano questo schema. La norma attribuisce agli organi di amministrazione e direttivi obblighi di supervisione e responsabilità diretta. Si tratta di un obbligo giuridico vero e proprio, che incide sul modo in cui il vertice governa l’organizzazione.

Peraltro, questa funzione di supervisione non si esaurisce in un atto iniziale di approvazione.

È una responsabilità che accompagna il tempo: gli organi apicali sono chiamati a riesaminare periodicamente le misure adottate, a verificarne l’adeguatezza, a confermarle o aggiornarle.

La governance, per essere tale, deve essere continua, consapevole e documentabile.

Le Linee Guida dell’ACN “NIS – Specifiche di base, Guida alla lettura”, nell’Appendice C, rendono esplicito questo obbligo individuando i documenti che devono essere approvati dal vertice e che riguardano i seguenti ambiti:

  • organizzazione per la sicurezza informatica,
  • politiche di sicurezza informatica;
  • valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete;
  • piano di trattamento del rischio;
  • piano di gestione delle vulnerabilità;
  • piano di adeguamento;
  • di continuità operativa;
  • di ripristino in caso di disastro;
  • piano di gestione delle crisi;
  • piano di formazione;
  • piano per la gestione degli incidenti di sicurezza informatica.

L’ intreccio tra controlli e documenti

Non sono documenti scelti in modo casuale, ma discendono dai requisiti strutturati nei domini di governance, identificazione, protezione, risposta e ripristino.

Così, per esempio:

  • quando si parla di Organizzazione per la sicurezza informatica si fa riferimento al controllo GV.RR-02;
  • quando si richiede l’approvazione delle Politiche di sicurezza si richiama GV.PO-01;
  • la Valutazione del rischio trova fondamento nel requisito ID.RA-05, mentre il Piano di trattamento è collegato a ID.RA-06 e la Gestione delle vulnerabilità a ID.RA-08;
  • il Piano di adeguamento si innesta su ID.IM-01;
  • continuità operativa, ripristino in caso di disastro e gestione delle crisi discendono da ID.IM-04;
  • il Piano di formazione è ancorato a PR.AT-01 e la Gestione degli incidenti a RS.MA-01.

Questo intreccio tra controlli e documenti dimostra un fatto preciso: l’Appendice C è la proiezione documentale di requisiti normativi puntuali.

Il vertice è chiamato ad assumere formalmente la responsabilità su ciascuna di queste aree.

La mappa minima del governo del rischio

Se si guarda con attenzione all’insieme dei documenti richiesti, ciò che emerge non è una somma di atti separati, ma una struttura coerente che descrive l’intero percorso del rischio all’interno dell’organizzazione.

Tutto inizia dall’organizzazione della sicurezza, che non si limita a disegnare un organigramma, ma chiarisce:

  • chi ha il potere di decidere;
  • chi ha il compito di attuare;
  • come le informazioni devono risalire fino al vertice.

Su questa base si innestano le politiche di sicurezza, che traducono la strategia aziendale in indirizzi chiari, definendo il livello di protezione perseguito e l’approccio al rischio.

La valutazione del rischio rappresenta il momento in cui l’organizzazione prende consapevolezza delle proprie esposizioni, individua le priorità e misura gli impatti potenziali.

Da questa analisi discende il piano di trattamento, che trasforma la consapevolezza in decisione operativa, stabilendo quali misure adottare e con quali tempi.

La logica Pdca (plan do check act)

Quando emergono scostamenti rispetto ai requisiti normativi o agli standard interni, interviene il piano di adeguamento, che pianifica gli interventi necessari per riallineare il sistema.

Nel frattempo, la gestione delle vulnerabilità mantiene uno sguardo costante sulle debolezze tecniche, assicurando che vengano identificate e affrontate prima che si trasformino in incidenti.

Se l’incidente si verifica, la gestione operativa disciplina la risposta, mentre la continuità operativa e il disaster recovery garantiscono che le funzioni essenziali possano sopravvivere all’evento.

Nei momenti più delicati, la gestione delle crisi coordina decisioni e comunicazioni, evitando che l’emergenza degeneri in disordine.

E lungo tutto questo percorso, la formazione consolida la consapevolezza, perché senza cultura organizzativa nessun sistema regge nel tempo.

Non siamo dunque di fronte a documenti isolati, ma a un ciclo completo, secondo una logica PDCA (plan do check act), che accompagna il rischio dalla prevenzione alla resilienza.

Su questo ciclo, nella sua interezza, il vertice organizzativo è chiamato a deliberare e ad assumere responsabilità.

Approvare significa assumere consapevolezza

L’approvazione formale di questi documenti è soprattutto una dichiarazione di consapevolezza.

Quando il Consiglio di Amministrazione approva una valutazione del rischio, attesta di aver preso atto delle minacce individuate e di ritenere adeguate e proporzionate le misure proposte.

Anche qualora non disponga delle competenze tecniche per entrare nel dettaglio di ogni profilo specialistico, compie comunque una scelta consapevole: quella di fare affidamento sui propri esperti e di far propria la sintesi tecnica che gli viene sottoposta.

Quando approva un piano di continuità operativa, compie una dichiarazione ancora più netta: individua quali funzioni considera vitali per la tenuta dell’organizzazione e definisce implicitamente il livello di investimento che intende sostenere per proteggerle.

In quel momento, il vertice stabilisce cosa deve essere preservato a ogni costo e su cosa è disposto a impegnare risorse, tempo e responsabilità.

In caso di ispezione da parte dell’ACN è verosimile che non sarà valutata soltanto l’esistenza del documento, ma la coerenza tra valutazione del rischio, piano di trattamento, piano di adeguamento e misure effettivamente implementate.

Probabilmente, si verificherà anche la periodicità degli aggiornamenti, per altro definita in molti casi, e la tracciabilità delle approvazioni.

In questo senso, la documentazione diventa la prova della diligenza organizzativa.

Governare significa rendere dimostrabile

La NIS 2 si colloca nella stessa traiettoria evolutiva già tracciata dal GDPR: la responsabilità va dimostrata.

La solidità dell’architettura documentale non dipende soltanto dalla qualità tecnica dei contenuti, ma anche dalla capacità di renderli tracciabili, aggiornati e coerenti nel tempo.

Senza un sistema di gestione documentale che garantisca versioning, controllo delle modifiche e formalizzazione delle approvazioni, anche il miglior impianto rischia di perdere efficacia probatoria.

Il legislatore europeo ha compreso che la sicurezza non può essere lasciata alla buona volontà tecnica, ma deve essere necessariamente inserita nella grammatica della governance.

La NIS 2 richiede governo

La NIS 2 non richiede la predisposizione di documenti per riempire archivi ma impone al verticemorganizzativo di assumere il rischio digitale come materia propria, lo comprenda, lo deliberi e ne lasci traccia formale.

L’Appendice C delle Linee Guida dell’ACN del settembre 2025 individua la struttura minima attraverso cui questo governo diventa visibile.

Ogni documento richiesto rappresenta un presidio di responsabilità e un segmento del ciclo del rischio.

Comprendere questa architettura è il primo passo, costruirla in modo coerente è il secondo, tenerla aggiornata e valida nel tempo il terzo.

Nel secondo capitolo della pentalogia, dedicata alla Governance nella NIS 2, mostreremo come ogni documento si inserisca in un processo unitario e permanente, dove coerenza, aggiornamento e tracciabilità diventano il parametro reale con cui si misura il governo del rischio digitale.

Non è una questione di carta prodotta, ma di architettura organizzativa: una struttura capace di rendere visibile e dimostrabile la responsabilità del vertice.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • GDPR e NIS 2; Dalla teoria alla tabella: correlare BIA, SL e incidenti significativi nel Monis

  • La sicurezza misurabile

    Gestire gli incidenti significativi: la matrice operativa per la conformità NIS 2

    02 Dic 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • GhostPairing

  • l'analisi tecnica

    GhostPairing, l’attacco che sfrutta i dispositivi collegati per compromettere WhatsApp

    23 Dic 2025

    di Salvatore Lombardo

    Condividi
  • Modello Pay or consent: le implicazioni privacy delle sanzioni della Commissione Ue

  • Unione europea

    L'Enisa NIS360 ci dice a che punto siamo nella compliance NIS2

    10 Mar 2025

    di Federica Maria Rita Livelli

    Condividi
  • Deepfake indagine X

  • gdpr e dsa

    Deepfake su X, l’autorità irlandese apre l’indagine: la prova del fuoco per il DSA

    18 Feb 2026

    di Tania Orrù

    Condividi
0
Lascia un commento, la tua opinione conta.x