«Abbiamo nominato il CISO, quindi siamo a posto». È una delle affermazioni che ricorrono più spesso quando il tema della sicurezza informatica arriva all’attenzione di un Consiglio di amministrazione.
Riflette un’impostazione ancora diffusa, secondo la quale la cyber security sarebbe una materia prevalentemente tecnica, da affidare a una funzione specialistica e da considerare governata una volta individuato il relativo responsabile.
L’aggiornamento delle FAQ pubblicato dall’Agenzia per la Cybersicurezza Nazionale sugli obblighi degli organi di amministrazione e direttivi chiarisce perché questa interpretazione non sia compatibile con l’impianto della NIS2.
L’intervento non introduce nuovi obblighi rispetto a quelli già previsti dall’articolo 23 del decreto legislativo 138/2024, ma ne precisa l’applicazione concreta, distinguendo ciò che può essere affidato a una funzione operativa da ciò che deve necessariamente restare nella sfera decisionale e di responsabilità degli organi apicali.
Il messaggio che emerge è netto: la cyber security può essere gestita attraverso deleghe operative, ma non può essere delegata nella sua dimensione di governo.
Indice degli argomenti
Il chiarimento necessario dopo mesi di interpretazioni differenti
L’articolo 23 del decreto NIS attribuisce agli organi di amministrazione e direttivi il compito di approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica, sovrintendere alla loro attuazione e rispondere delle violazioni del decreto. Agli stessi organi sono inoltre richieste una formazione adeguata in materia di sicurezza informatica e la promozione di una formazione coerente per i dipendenti.
Nonostante la formulazione della norma, nella fase di prima applicazione sono emerse letture molto differenti. In alcuni casi si è ritenuto sufficiente nominare un CISO; in altri si è tentato di attribuire l’intera responsabilità NIS2 al responsabile IT, a un amministratore delegato o a un comitato interno.
Non sono mancate, inoltre, organizzazioni che hanno interpretato l’obbligo di approvazione come la necessità di sottoporre al CdA procedure tecniche, manuali e interi impianti documentali operativi.
Le nuove FAQ ODA.8, ODA.9, ODA.10, ODA.11 e ODA.12 intervengono esattamente su questi punti, uniformando la lettura della norma e delineando con maggiore precisione un modello di governance nel quale il vertice mantiene le proprie prerogative, mentre le funzioni specialistiche ne supportano l’esercizio.
La delega organizza il lavoro, ma non trasferisce gli obblighi
Le FAQ ODA.8 e ODA.9 distinguono chiaramente tra gli obblighi attribuiti dalla legge agli organi di amministrazione e direttivi e le attività necessarie per consentirne l’adempimento.
Possono essere delegate, per esempio, la predisposizione delle analisi e dei documenti, la valutazione dei rischi, la definizione dei piani di trattamento, il coordinamento dei programmi di adeguamento, l’implementazione delle misure tecniche e organizzative, la raccolta delle evidenze e il monitoraggio operativo.
Queste attività possono essere affidate al CISO, al CTO, alla funzione IT, a un comitato interno o a consulenti esterni, purché la delega sia accompagnata da competenze, poteri, risorse e flussi informativi coerenti con l’incarico assegnato.
Non possono invece essere trasferiti gli obblighi di indirizzo e pianificazione strategica che l’articolo 23 pone direttamente in capo agli organi. L’approvazione delle modalità di implementazione delle misure, la sovrintendenza sulla loro attuazione e la responsabilità derivante dalle eventuali violazioni restano quindi attribuite agli organi di amministrazione e direttivi.
La FAQ ODA.8 precisa, inoltre, che l’approvazione dei documenti richiesti dall’articolo 23 non può essere trasferita a singoli membri, ad altri organi o a specifiche funzioni aziendali. Tale competenza resta in capo all’organo nella sua collegialità oppure, quando il modello organizzativo lo prevede, all’organo monocratico.
Una delega può quindi distribuire compiti, funzioni e responsabilità operative, ma non può essere utilizzata come clausola di esonero nei confronti degli obblighi stabiliti dalla legge.
Si delegano le attività necessarie all’attuazione, non si delega la governance del rischio cyber.
La nomina del CISO non libera il CdA
Il chiarimento incide direttamente anche sul ruolo del CISO, spesso descritto in modo semplicistico come il “responsabile della cyber security”.
Questa definizione può essere utile per identificare una funzione aziendale, ma diventa fuorviante quando induce il vertice a ritenere che la nomina trasferisca automaticamente al CISO anche gli obblighi e le responsabilità previsti dalla NIS2.
Il CISO deve certamente assumere un ruolo centrale nella costruzione e nel mantenimento del sistema di gestione della sicurezza. Deve analizzare i rischi, proporre le priorità, coordinare le misure, verificare lo stato di attuazione e rappresentare al management eventuali carenze, ritardi o rischi residui. La sua funzione consiste però nel mettere gli organi apicali nelle condizioni di assumere decisioni informate, non nel sostituirsi ad essi.
Quando il CISO riceve una delega operativa, può essere chiamato a rispondere delle proprie condotte, delle omissioni e del mancato rispetto dei compiti che gli sono stati assegnati. Questa eventuale responsabilità non elimina automaticamente quella degli organi, ma può affiancarsi ad essa, soprattutto quando il vertice non abbia definito indirizzi adeguati, non abbia verificato l’implementazione delle misure oppure non sia intervenuto dopo aver ricevuto informazioni su criticità rilevanti.
Il principio è analogo a quello applicato agli altri rischi aziendali: l’esistenza di una funzione competente non esonera il Board dal dovere di indirizzo, controllo e supervisione.
Il CdA deve approvare documenti di governo, non manuali tecnici
Le FAQ ODA.10, ODA.11 e ODA.12 intervengono anche su un secondo tema particolarmente rilevante: il livello di dettaglio della documentazione da sottoporre all’approvazione degli organi.
L’ODA.10 individua i documenti che richiedono l’approvazione, tra i quali rientrano l’organizzazione per la sicurezza informatica, le politiche di sicurezza, la valutazione e il trattamento del rischio, il piano di gestione delle vulnerabilità, il piano di adeguamento, i piani di continuità operativa, ripristino e gestione delle crisi, il piano di formazione e il piano per la gestione degli incidenti.
Questi documenti devono avere un contenuto coerente con le funzioni tipiche di gestione, indirizzo e pianificazione strategica degli organi. Devono quindi consentire al Board di comprendere il contesto, le responsabilità, i criteri adottati, le priorità, le decisioni richieste, le risorse necessarie e il livello di rischio che l’organizzazione intende trattare o accettare.
Non è invece necessario inserire nello stesso documento tutto il dettaglio tecnico e operativo. Procedure, istruzioni di lavoro, manuali, configurazioni, schemi tecnici e altri presidi interni possono essere gestiti separatamente dalle funzioni competenti, purché siano coerenti con il quadro approvato e, quando necessario, correttamente richiamati.
L’ODA.11 chiarisce infatti che gli organi non devono approvare anche tutti gli ulteriori presidi documentali e organizzativi referenziati nei documenti strategici. L’ODA.12 precisa, inoltre, che il loro aggiornamento non richiede una nuova approvazione del documento principale, a condizione che non ne modifichi gli elementi di indirizzo e di governo.
Questo approccio evita due errori opposti. Il primo consiste nel sottoporre al CdA centinaia di pagine tecniche che difficilmente potrebbero essere valutate in modo consapevole; il secondo consiste nel presentare documenti eccessivamente generici, incapaci di dimostrare che gli organi abbiano realmente compreso e approvato il modello di gestione adottato.
La proporzionalità documentale non significa produrre meno contenuti, ma collocarli al livello corretto dell’organizzazione.
Dall’approvazione formale alla sovrintendenza sostanziale
L’approvazione dei documenti non esaurisce gli obblighi degli organi di amministrazione e direttivi. L’articolo 23 richiede anche che essi sovrintendano all’implementazione delle misure, trasformando la governance della cybersecurity in un processo continuativo e non in un adempimento annuale o in una firma apposta su una delibera.
Per esercitare concretamente questa funzione, il Board deve ricevere informazioni periodiche, comprensibili e orientate alle decisioni. Non serve riportare ogni vulnerabilità rilevata o ogni evento registrato dal SOC, ma è necessario rappresentare almeno l’evoluzione del profilo di rischio, lo stato dei piani di trattamento e adeguamento, gli incidenti significativi, le criticità non risolte, le dipendenze dai fornitori, il livello di esposizione dei servizi critici e le eventuali decisioni che richiedono investimenti o accettazione del rischio.
Questo comporta anche un’evoluzione del reporting del CISO. Il Board non ha bisogno di una trasposizione semplificata del rapporto tecnico, ma di un’informativa costruita intorno agli impatti sul business, alla resilienza dei servizi, alle responsabilità e alle scelte strategiche.
La cybersecurity entra così nell’agenda degli organi di amministrazione con la stessa logica utilizzata per gli altri rischi rilevanti dell’impresa: obiettivi definiti, responsabilità chiare, indicatori coerenti, verifiche periodiche e decisioni formalizzate.
Le FAQ non cambiano la NIS2, rendono più difficile una lettura di comodo
Il valore delle nuove FAQ ACN non risiede soltanto nelle indicazioni sulla delega o nell’elenco dei documenti da approvare. La loro lettura complessiva restituisce il significato sostanziale dell’articolo 23: la sicurezza informatica non è più un ambito che il vertice può considerare risolto attraverso una nomina, una delega o l’acquisto di una tecnologia.
Questo non significa che gli amministratori debbano diventare tecnici, valutare configurazioni di rete o definire procedure di risposta agli incidenti. Significa che devono comprendere il rischio, stabilire gli indirizzi, approvare il modello con cui l’organizzazione intende gestirlo, verificare che le decisioni vengano attuate e intervenire quando le informazioni ricevute evidenziano carenze o scostamenti.
Il CISO mantiene un ruolo centrale, ma la sua centralità non deriva dall’assunzione delle responsabilità del Board. Deriva dalla capacità di tradurre il rischio cyber in informazioni, priorità e decisioni che gli organi possano comprendere e governare.
Le nuove FAQ ACN non dicono semplicemente che il CdA deve occuparsi di cyber security. Chiariscono un principio più profondo: la cyber security è ormai parte integrante della governance aziendale e, come ogni rischio strategico, può essere gestita attraverso deleghe operative, ma non può essere scaricata su chi quelle decisioni è chiamato soltanto ad attuarle.
In sintesi, le attività operative possono essere delegate, mentre gli obblighi di approvazione, indirizzo e sovrintendenza restano in capo agli organi di amministrazione e direttivi.
Allo stesso tempo, la nomina di un CISO non trasferisce le responsabilità previste dall’articolo 23, ma mette il Board nelle condizioni di esercitarle in modo consapevole.
Dunque, il CdA deve approvare documenti di governo e pianificazione strategica, non l’intero dettaglio delle procedure tecniche e operative.
Infine, è importante sottolineare che l’aggiornamento dei presidi operativi richiamati nei documenti strategici non richiede automaticamente una nuova approvazione degli organi, mentre la delega organizza l’attuazione della cyber security, ma non sostituisce la responsabilità né il controllo continuativo del vertice.














Partecipa alla community