Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

guida alla normativa

Accountability oltre il perimetro NIS 2: guida alla necessaria documentazione delle scelte

Home Norme e adeguamenti
Indirizzo copiato

Un aspetto fondamentale nell’applicazione della NIS 2 riguarda l’accountability delle organizzazioni che si autovalutano come escluse dagli obblighi imposti dalla direttiva. Ecco un esempio pratico di come formalizzare tali decisioni e come favorire una gestione responsabile, anche in caso di decisioni “in negativo”

Pubblicato il 29 ott 2024
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

Accountability perimetro NIS 2

Nel contesto della cyber security e della protezione delle infrastrutture critiche, la Direttiva NIS 2 rappresenta un caposaldo, avendo introdotto nuovi e rigorosi standard per la sicurezza delle reti e dei sistemi informativi.

Il D.lgs. 138/2024 che l’ha recepita ha definito in modo chiaro le tempistiche e gli obblighi per le organizzazioni che rientrano nel perimetro normativo. Ma cosa accade quando un’azienda, pur essendo potenzialmente inclusa in tale perimetro, ritiene di non esserne soggetta?

L’autovalutazione e la conseguente decisione di escludersi dall’applicazione della normativa devono essere affrontate con la stessa attenzione e serietà riservata alle decisioni di inclusione. In questo quadro, l’accountability si estende anche alla formalizzazione delle decisioni “in negativo”, le quali potrebbero rivelarsi strategiche in occasione di eventuali ispezioni future.

Autovalutazione e autocertificazione: un’accountability necessaria

Sebbene non esplicitamente richiesto dalla normativa, un’azienda che decide di autovalutarsi come non soggetta alla NIS 2 dovrebbe comunque documentare formalmente tale scelta.

Questo può essere realizzato mediante un atto ufficiale del Consiglio di Amministrazione il quale costituisce una prova tangibile della consapevolezza della dirigenza riguardo ai rischi e alle opportunità derivanti dall’applicazione, o dalla mancata applicazione, della direttiva.

Un simile documento non solo dimostra che l’organizzazione ha condotto una riflessione approfondita sulla propria posizione rispetto al decreto, ma rappresenta anche un esempio di trasparenza e accountability, utile in eventuali fasi di controlli o ispezioni.

Esempio di atto del Consiglio di Amministrazione

Come è noto, gli organi di amministrazione e direttivi delle aziende soggette al D.Lgs. 138/2024, sono tenuti, ai sensi dell’articolo 23, a formalizzare mediante un atto l’approvazione del piano di implementazione delle misure previste.

Tuttavia, le aziende che, a seguito di analisi interne, riconoscono di non rientrare nel perimetro di applicazione della NIS 2, possono – o meglio: dovrebbero – redigere un atto del Consiglio di Amministrazione (CdA) che illustri le motivazioni di questa scelta. Tale atto dovrebbe contenere:

  1. un riepilogo delle analisi effettuate: una descrizione dettagliata delle valutazioni condotte, che includa gli aspetti – quali la natura delle attività svolte, le dimensioni aziendali e il volume di fatturato – che hanno portato alla conclusione che l’azienda non rientri tra quelle soggette alla normativa;
  2. una motivazione della decisione: le ragioni specifiche per cui l’organizzazione ritiene di non essere soggetta agli obblighi della NIS 2, con particolare riferimento ai parametri chiave definiti dalla normativa, come il numero di dipendenti, il settore di appartenenza e il fatturato;
  3. un piano di rivalutazione periodica: nonostante l’esclusione attuale, è fondamentale prevedere una verifica periodica dei parametri aziendali, quali il numero di dipendenti o il volume di fatturato. Questo garantirà che, in caso di cambiamenti significativi (come fusioni, acquisizioni o crescita organica, estensione del perimetro del business,), l’organizzazione possa rivalutare la propria posizione rispetto all’applicazione della NIS 2.

L’obiettivo di tale atto è garantire un approccio trasparente e responsabile, dimostrando che l’azienda è consapevole della propria posizione rispetto alla normativa e pronta ad adeguarsi qualora le circostanze lo richiedano.

Di seguito si propone un modello di verbale.

VERBALE DEL CONSIGLIO DI AMMINISTRAZIONE

Società [Ragione sociale]

Verbale n. [XX] del [Data]

Oggetto: Delibera sull’esclusione dal perimetro applicativo della Direttiva NIS 2 come recepita dal D.Lgs. 138/2024.

In data [data], presso la sede legale di [indirizzo], si è riunito il Consiglio di Amministrazione di [Nome Azienda], sotto la presidenza di [Nome Presidente] e con la presenza dei seguenti consiglieri:

  • [Nome e Cognome Consigliere 1]
  • [Nome e Cognome Consigliere 2]
  • [Nome e Cognome Consigliere 3]
  • [Nome e Cognome Segretario del CdA]

Il Presidente, constatata la regolarità della convocazione e la presenza del numero legale, dichiara aperta la seduta alle ore [XX].

Ordine del giorno

Valutazione e deliberazione sull’applicabilità Decreto Legislativo n. 138/2024 a [Ragione sociale], con particolare riferimento all’esclusione dal perimetro normativo e alla definizione di un piano di rivalutazione periodica dei parametri aziendali.

Riepilogo delle analisi effettuate

Il Consiglio, sulla base delle valutazioni interne condotte dal dipartimento legale e dal team di compliance aziendale, ha esaminato la posizione di [Nome Azienda] rispetto ai requisiti previsti dalla Direttiva NIS 2. Le analisi, che hanno preso in esame i seguenti parametri:

  • natura delle attività svolte: l’azienda opera nel settore [settore di appartenenza], fornendo [descrizione delle attività principali], che non rientrano tra le infrastrutture critiche o i servizi essenziali così come definiti dalla Direttiva NIS 2.
  • dimensioni aziendali: con un organico di [numero dipendenti] dipendenti, la società si posiziona al di sotto della soglia minima prevista per l’applicabilità della normativa.
  • fatturato: il volume d’affari dell’azienda, pari a [XX milioni di euro] nell’ultimo esercizio, è anch’esso inferiore al limite dei 10 milioni di euro stabilito dalla normativa per le piccole e medie imprese.

Tali parametri sono stati valutati in conformità ai criteri di inclusione/esclusione definiti dagli artt. 3 e 6 del D.Lgs. 138/2024, che disciplina l’applicabilità della NIS 2 alle organizzazioni che rivestono il ruolo di soggetti essenziali e soggetti importanti.

Motivazione della decisione

A fronte delle analisi condotte, il Consiglio rileva che [Nome Azienda] non rientra nel perimetro della Direttiva NIS 2 per i seguenti motivi:

  • esclusione per settore: le attività svolte non rientrano nelle categorie considerate critiche o essenziali, come chiaramente definito dal D.Lgs. 138/2024 e dalle linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN);
  • parametri dimensionali: il numero di dipendenti e il fatturato annuale sono inferiori ai requisiti minimi per l’applicazione della normativa, escludendo di fatto l’azienda dall’obbligo di registrazione e conformità alle misure imposte dal decreto;
  • rischio residuo: l’analisi del rischio condotta dal dipartimento di sicurezza IT ha dimostrato che l’attuale esposizione dell’azienda a rischi cyber è considerata gestibile con i protocolli di sicurezza già in essere, senza la necessità di adeguamenti strutturali imposti dalla normativa.

In virtù di tali considerazioni, il Consiglio delibera di non procedere all’applicazione delle misure previste dalla NIS 2 e di non effettuare la registrazione presso l’Agenzia per la Cybersicurezza Nazionale.

Piano di rivalutazione periodica

Pur non rientrando al momento nel perimetro della Direttiva NIS 2, il Consiglio concorda sulla necessità di istituire un piano di rivalutazione periodica dei parametri aziendali.

Tale piano prevederà:

  • monitoraggio trimestrale del numero di dipendenti e del fatturato aziendale (stima con proiezione a fine anno), con l’obiettivo di verificare eventuali superamenti delle soglie previste dalla normativa;
  • rivalutazione annuale del rischio: il dipartimento di sicurezza IT, in collaborazione con l’ufficio legale, condurrà una revisione completa della posizione aziendale rispetto ai requisiti della NIS 2, considerando eventuali cambiamenti nel panorama normativo o nel profilo di rischio dell’azienda.
  • piano di azione in caso di cambiamenti: nel caso in cui i parametri aziendali superino le soglie previste dalla NIS 2 (ad esempio, a seguito di acquisizioni, fusioni o crescita organica), il Consiglio provvederà tempestivamente a rivedere la propria decisione e a predisporre le misure necessarie per l’adeguamento normativo, inclusa la registrazione presso l’ACN.

Impegno per un Audit a fronte della ISO/IEC 27001:2022

Il Consiglio è consapevole che, indipendentemente dalle disposizioni normative vigenti, il presidio della cybersicurezza rappresenta un aspetto essenziale. Pertanto, delibera di assegnare al Responsabile ICT un budget di € XXX per l’esecuzione di una Gap Analysis, che sarà affidata a un esperto esterno in conformità alla norma ISO/IEC 27001:2022, entro il mese di XX. Sulla base dei risultati di tale audit, e con il supporto delle funzioni interne – in particolare del Responsabile ICT – si procederà alla valutazione di un piano di intervento. Il Consiglio di Amministrazione destinerà le risorse necessarie per affrontare le criticità più significative emerse.

Impegno verso i fornitori e partner critici

Infine, il Consiglio sottolinea l’importanza di mantenere elevati standard di sicurezza informatica anche nei confronti dei fornitori che operano in settori critici o rientrano nel perimetro della NIS 2. A tal fine, sarà cura dell’azienda verificare regolarmente la conformità dei propri fornitori alle normative vigenti, predisponendo, se necessario, appositi accordi di compliance.

Conclusioni e delibera

Il Consiglio, preso atto delle valutazioni e analisi svolte, delibera all’unanimità quanto segue:

  1. [Ragione sociale] non rientra nel perimetro della Direttiva NIS 2 e del D.Lgs. 138/2024, sulla base delle motivazioni sopra esposte.
  2. Viene approvato il piano di rivalutazione periodica dei parametri aziendali come indicato, con verifiche trimestrali.
  3. Viene dato mandato al dipartimento di sicurezza IT di predisporre una relazione annuale da sottoporre al Consiglio in merito ai rischi di cybersecurity e alla conformità normativa. La prima relazione dovrà includere i risultati della Gap Analysis deliberata.
  4. Il Consiglio resta impegnato a mantenere elevati standard di sicurezza e a monitorare le interazioni con fornitori e partner che operano nei settori regolamentati dalla NIS 2.

Non essendoci ulteriori argomenti all’ordine del giorno, la seduta viene chiusa alle ore [XX].

Letto, approvato e sottoscritto.

[Nome Presidente del CdA]

[Nome Segretario del CdA]

Il caso delle aziende “borderline”

Esistono aziende che si trovano in una posizione borderline rispetto ai requisiti della Direttiva NIS 2. Un esempio comune è costituito da imprese con più di 50 dipendenti e un fatturato superiore ai 10 milioni di euro, come quelle che operano nel settore della distribuzione alimentare.

Tuttavia, la normativa utilizza il termine “distribuzione all’ingrosso” in maniera ambigua, senza chiarire se si riferisca esclusivamente alla commercializzazione o anche ad altre attività correlate.

L’ambiguità, in questo caso, nasce dal fatto che il D.Lgs. 138/2024, nell’Allegato II, include tra i settori critici, alla voce “4. Produzione, trasformazione e distribuzione di alimenti, anche le “Imprese alimentari, come definite all’articolo 3, punto 2), del regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio, che si occupano della distribuzione all’ingrosso e della produzione industriale e trasformazione”.

Tuttavia, l’articolo 3, punto 2), del regolamento (CE) n. 178/2002 definisce “impresa alimentare”, “ogni soggetto pubblico o privato, con o senza fini di lucro, che svolge una qualsiasi delle attività connesse a una delle fasi di produzione, trasformazione e distribuzione degli alimenti”.

Le due definizioni, come appare evidente, non sono perfettamente sovrapponibili, generando così possibili ambiguità.

In questi casi, è consigliabile che l’organo di governo rediga un atto formale, nel quale espliciti in modo dettagliato le motivazioni per cui l’azienda ritiene di non essere soggetta agli obblighi previsti dal decreto.

L’importanza di monitorare costantemente la conformità

La verifica della conformità alla NIS 2 non può essere considerata un’attività da eseguire una sola volta. Le organizzazioni che operano in settori a rischio devono adottare un approccio proattivo e dinamico, monitorando costantemente i parametri aziendali che potrebbero influenzare l’applicabilità della normativa.

Il superamento delle soglie di fatturato o del numero di dipendenti richiede una revisione immediata della conformità e l’adeguamento delle politiche di cybersecurity. Analogamente, l’estensione delle attività impone un’analisi puntuale della conformità.

Un esempio è quello di un’organizzazione con un fatturato superiore a 10 milioni di euro, che attualmente produce integratori alimentari. A seguito di un ampliamento del proprio business, e dopo aver ottenuto tutte le autorizzazioni necessarie, avvia la produzione di alimenti, sfruttando le similitudini tra i due processi produttivi.

Di conseguenza, la verifica del vincolo di applicazione della NIS 2 non è un processo “one shot”, ma deve essere ripetuta con regolarità nelle aziende.

Infine, non bisogna trascurare le aziende che, pur non rientrando direttamente nel perimetro della NIS 2, sono fornitori di organizzazioni soggette alla normativa. Queste imprese dovrebbero considerare l’opportunità di applicare, in tutto o in parte, le disposizioni del decreto, sia su indicazione dei propri clienti, sia come strategia per qualificarsi meglio sul mercato.

Questa situazione, pur differente rispetto ai casi precedenti, merita un’attenta valutazione da parte di tali aziende.

Conclusioni

Con questo articolo abbiamo voluto sottolineare che l’accountability non si limita alle aziende obbligate a conformarsi alla NIS 2, ma si applica anche a quelle che, a ragion veduta, decidono di escludersi dal suo perimetro o più in generale riconoscono che alla data del 17 ottobre 2024 non rientranti nel perimetro.

Documentare tali scelte tramite atti formali del Consiglio di Amministrazione non solo offre protezione legale contro possibili sanzioni, ma rappresenta anche una dimostrazione di gestione consapevole e responsabile.

In un contesto in cui la sicurezza delle informazioni è fondamentale, anche le decisioni “in negativo” devono essere affrontate con la massima trasparenza e attenzione.

Non si tratta solo di adempiere alla normativa, ma di coltivare una cultura della responsabilità che superi i semplici obblighi giuridici.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • NordVPN

  • LA SOLUZIONE

    NordVPN, proteggere la connessione a Internet e la privacy in Rete: gli strumenti

    08 Nov 2025

    di redazione affiliazioni Nextwork360

    Condividi
  • Piano ispettivo privacy

  • GDPR

    Ispezioni privacy 2025, ecco cosa devono sapere le aziende

    14 Feb 2025

    di Rosario Palumbo

    Condividi
  • Modello Pay or consent: le implicazioni privacy delle sanzioni della Commissione Ue

  • Unione europea

    L'Enisa NIS360 ci dice a che punto siamo nella compliance NIS2

    10 Mar 2025

    di Federica Maria Rita Livelli

    Condividi
  • Gdpr e DORA: sinergie e differenze tra i pilastri regolatori dell’Europa digitale

  • normative

    GDPR e DORA: sinergie e differenze tra i pilastri regolatori dell’Europa digitale

    11 Set 2025

    di Marco Toiati

    Condividi