
Launchpad Transformer Award 2026! ๐
Giugno 26, 2026
FAQ ACN: nuovi chiarimenti sugli obblighi degli organi di amministrazione NIS2
LโAgenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato il 14 luglio 2026 un aggiornamento delle FAQ dedicate agli obblighi degli organi di amministrazione NIS2. Il chiarimento riguarda cinque quesiti, dalla FAQ ODA.8 alla FAQ ODA.12, e punta ad agevolare lโapplicazione della disciplina NIS da parte dei soggetti interessati. Per le aziende che rientrano nel perimetro NIS2, lโaggiornamento offre indicazioni operative preziose sulla governance della cybersicurezza.
La normativa NIS2 assegna infatti agli organi di vertice un ruolo attivo e non solo formale nella gestione del rischio cyber. Comprendere con precisione i confini di questa responsabilitร รจ quindi essenziale per evitare sia inadempimenti sia unโeccessiva burocratizzazione dei processi interni.
Cosa chiariscono le FAQ ODA.8 e ODA.9
Le FAQ ODA.8 e ODA.9 confermano un principio centrale della normativa NIS2. Lโapprovazione dei documenti previsti dallโarticolo 23 del decreto NIS spetta in modo esclusivo allโorgano collegiale o, ove previsto, allโorgano monocratico. Questa competenza non puรฒ essere delegata a terzi.
Tuttavia, lo svolgimento operativo degli obblighi normativi resta delegabile alle strutture interne competenti. Pertanto, gli organi di vertice mantengono la responsabilitร strategica, mentre lโattuazione pratica puรฒ essere affidata ai team tecnici e alle funzioni di sicurezza.
Questa distinzione tra responsabilitร strategica e attuazione operativa evita due rischi opposti: da un lato la deresponsabilizzazione degli organi di vertice, dallโaltro il blocco operativo dei team tecnici in attesa di continue approvazioni formali.
La FAQ ODA.10: cosa deve approvare lโorgano di amministrazione
La FAQ ODA.10 introduce un criterio utile per distinguere i documenti che richiedono lโapprovazione degli organi di governo. Devono essere sottoposti allโorgano di amministrazione solo i documenti che definiscono gli indirizzi e la pianificazione strategica delle misure di sicurezza.
Al contrario, la documentazione tecnica e operativa, come procedure, istruzioni operative e manuali, puรฒ essere predisposta e aggiornata direttamente dalle strutture competenti. Di conseguenza, non serve unโapprovazione formale per ogni aggiornamento tecnico.
In pratica, lโorgano di amministrazione approva la cornice strategica una sola volta, mentre le strutture operative aggiornano gli strumenti tecnici con la flessibilitร necessaria a rispondere rapidamente a nuove minacce.
FAQ ODA.11 e ODA.12: come organizzare la documentazione
Le FAQ ODA.11 e ODA.12 lasciano ai soggetti NIS libertร organizzativa sulla documentazione. ร possibile scegliere tra un unico documento complessivo oppure un insieme di documenti coordinati tra loro.
Inoltre, lโaggiornamento dei documenti tecnici e organizzativi richiamati nella documentazione strategica non comporta lโobbligo di una nuova approvazione di questโultima. Quindi, il carico amministrativo per le aziende si riduce, senza intaccare la responsabilitร degli organi di vertice sulle scelte strategiche.
Questa flessibilitร consente a ogni organizzazione di adattare la struttura documentale alle proprie dimensioni e alla propria complessitร organizzativa, mantenendo comunque un chiaro collegamento tra indirizzi strategici e strumenti operativi.
Perchรฉ questo aggiornamento conta per le aziende NIS
Il tema della governance รจ centrale nella disciplina NIS2. Gli organi di amministrazione e direttivi devono comprendere fino a che punto si estendono le loro responsabilitร dirette. Una gestione poco chiara della documentazione puรฒ esporre lโorganizzazione a rischi di non conformitร .
Quindi, ogni soggetto NIS dovrebbe rivedere lโattuale ripartizione di competenze tra organo di vertice e strutture operative, alla luce di queste nuove indicazioni. In concreto, conviene verificare tre aspetti:
- I documenti strategici previsti dallโarticolo 23 sono stati formalmente approvati dallโorgano competente?
- Le procedure tecniche e operative sono gestite e aggiornate dalle strutture corrette, senza passaggi approvativi superflui?
- La documentazione รจ organizzata in modo coerente, sia che si scelga un documento unico sia piรน documenti coordinati?
Di conseguenza, una revisione periodica di questa ripartizione di ruoli non รจ solo un adempimento formale: รจ uno strumento concreto per rendere la governance della cybersicurezza piรน solida ed efficiente.
Il supporto di GetSolution per la compliance NIS2
GetSolution affianca le organizzazioni nellโinterpretazione e nellโapplicazione della normativa NIS2, dalla definizione della governance alla predisposizione della documentazione richiesta. Per una valutazione della tua situazione o per ricevere supporto specialistico, contattaci: il nostro team รจ a tua disposizione.

