ACN aggiorna le FAQ sulla NIS2 e chiarisce gli obblighi degli organi di amministrazione e direttivi
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha aggiornato le FAQ dedicate agli obblighi degli organi di amministrazione e direttivi dei soggetti rientranti nell’ambito di applicazione della disciplina NIS2, fornendo nuovi chiarimenti interpretativi per agevolare la corretta attuazione delle disposizioni del Decreto legislativo 4 settembre 2024, n. 138. L’intervento integra le FAQ già pubblicate e introduce ulteriori indicazioni operative sulle responsabilità degli organi di governance, con l’obiettivo di favorire un’applicazione uniforme della normativa da parte dei soggetti essenziali e importanti.
I chiarimenti riguardano, in particolare, il ruolo degli organi di amministrazione nell’approvazione delle misure di gestione del rischio per la cybersicurezza e nella supervisione della loro concreta attuazione. ACN precisa che le decisioni attribuite dalla normativa agli organi di amministrazione e direttivi costituiscono competenze proprie dell’organo collegiale o monocratico e non possono essere delegate. Viene così ribadita la responsabilità diretta del vertice aziendale nella definizione degli indirizzi strategici e nel controllo dell’efficacia delle misure di sicurezza adottate.
L’aggiornamento introduce inoltre nuovi chiarimenti sulle modalità di assolvimento degli obblighi formativi previsti dalla disciplina NIS2 e sui requisiti richiesti per assicurare un adeguato coinvolgimento degli organi di governance nella gestione del rischio cyber. Le FAQ precisano altresì alcuni aspetti relativi alla documentazione da approvare e conservare, rafforzando il principio di accountability che caratterizza il nuovo modello europeo di cybersicurezza.
Le nuove indicazioni confermano il cambiamento di paradigma introdotto dalla NIS2. La cybersicurezza non costituisce più una materia esclusivamente tecnica, ma assume una rilevanza strategica nell’ambito della governance aziendale. Gli organi di amministrazione sono chiamati a svolgere un ruolo attivo nella definizione delle politiche di sicurezza, nella valutazione dei rischi e nel monitoraggio dell’efficacia dei presidi organizzativi e tecnologici.
L’aggiornamento delle FAQ rappresenta un importante supporto operativo per imprese e amministrazioni soggette alla disciplina NIS2. I chiarimenti forniti da ACN contribuiscono a ridurre le incertezze applicative e ad assicurare una più efficace attuazione degli obblighi di governance, rafforzando la resilienza cibernetica delle organizzazioni e l’allineamento del sistema nazionale agli standard europei in materia di sicurezza delle reti e dei sistemi informativi.