Nel sistema disegnato dalla NIS 2 e dal D.Lgs. 138/2024, la relazione annuale del CISO – o, in sua assenza, del Responsabile It – non è prevista come adempimento formale.

Tuttavia è uno strumento con cui, comunque, il vertice può esercitare consapevolmente il proprio ruolo, governare il rischio e orientare risorse e priorità.

Ecco la proposta di una struttura della relazione, distinguendo tra consuntivazione e pianificazione e spiegandone la valenza strategica e la natura dinamica. Si tratta di un documento che può diventare un asse portante della governance.

La relazione annuale del CISO come quadro operativo della resilienza aziendale

La direttiva NIS 2 (che punta a rafforzare la cyber security e la resilienza delle infrastrutture digitali in tutta l’UE) non impone la figura del CISO. Eppure, ovunque esista una reale esposizione ai rischi digitali, quella funzione è ormai parte naturale dell’organigramma.

Il D.lgs. 138/2024, all’art. 23 (1), impone agli organi di vertice di:

• approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica;
• sovrintendere all’implementazione degli obblighi posto dal decreto NIS.

Per farlo, serve un documento che renda:

• il rischio leggibile;
• i fatti verificabili;
• le decisioni informate.

È qui che entra in gioco la relazione del CISO. Un atto ufficiale, consegnato almeno una volta l’anno, in grado di raccontare quanto è stato fatto, ciò che è accaduto nonché gli ostacoli, le vulnerabilità emerse, gli audit, le remediation, lo stato dei fornitori, la formazione, gli incidenti, la maturità organizzativa e ciò che deve essere realizzato nel periodo successivo.

Si tratta di un documento che, se redatto bene, diventa uno dei tasselli della resilienza aziendale.

Perché la relazione è necessaria

La finalità della relazione consiste nel mettere il vertice organizzativo nelle condizioni di decidere con cognizione di causa.

Il Consiglio di Amministrazione o l’organo equivalente devono poter esercitare il proprio ruolo non per sentito dire, ma sulla base di evidenze ed ecco che la relazione permette al vertice di:

• comprendere lo stato reale di implementazione delle misure NIS 2;
• valutare gli scostamenti rispetto al piano di implementazione;
• deliberare l’adeguatezza delle misure;
• orientare budget e priorità;
• assumersi la responsabilità prevista dalla legge.

La relazione appare quindi come il ponte tra chi deve sapere e chi deve agire.

La struttura logica della relazione

La relazione potrebbe/dovrebbe essere articolata in due grandi blocchi: la consuntivazione del periodo passato e la pianificazione del periodo successivo.

Questa suddivisione trasforma il documento in un vero strumento di governo.

Consuntivazione: ciò che è stato fatto, ciò che è successo, ciò che manca

In questa sezione confluiscono tutte le informazioni necessarie a fotografare la maturità aziendale e in particolare lo stato di implementazione delle misure NIS 2 cioè un aggiornamento puntuale sulla presa in carico delle misure del piano approvato.

Il CISO dovrebbe evidenziare ciò che è stato fatto, gli ostacoli incontrati, le misure implementate e quelle ancora in corso.

Aggiornamento del piano

La realtà non è statica. Per questo motivo dovrebbero essere illustrate le esigenze di revisione del piano dovute a:

• nuove disposizioni dell’ACN;
• nuove vulnerabilità individuate;
• nuove soluzioni tecnologiche;
• eventi interni/esterni che hanno inciso sulla sicurezza;
• cambi organizzativi;
• evoluzioni normative o operative.

Fornitori e catena di dipendenze

La relazione dovrebbe anche riportare:

• la valutazione dell’adeguatezza dei fornitori critici;
• i rischi emersi;
• eventuali penalità;
• gli SLA non rispettati;
• gli audit condotti e i risultati ottenuti.

Formazione del personale

Resoconto delle attività formative svolte, grado di copertura, budget consumato, ricadute operative.

Incidenti e notifiche

Dovrebbero essere riportati:

• gli incidenti avvenuti;
• gli eventi che avrebbero potuto compromette la sicurezza;
• le notifiche volontarie;
• lo stato della procedura di notifica che deve essere operativa dal primo gennaio 2026.

Audit, ispezioni, controlli

La relazione riporta inoltre:

• audit interni;
• audit sui fornitori;
• audit dei clienti;
• ispezioni previste dagli artt. 35, 36 e 37 D.lgs. 138/2024;
• remediation avviate;
• remediation completate.

Aggiornamento su Acn, CSIRT e punti di contatto

Elenco delle modifiche intervenute, nomine, sostituzioni e stato dei referenti.

Aspetti societari e organizzativi

Ogni variazione societaria, acquisizione, cessione, riorganizzazione, ampliamento tecnologico deve essere illustrata per chiarire l’impatto sulla sicurezza.

Relazione con il DPO e altre funzioni

Sintesi del coordinamento, dei rischi condivisi e delle problematiche emerse.

Pianificazione: ciò che si farà, ciò che serve, ciò che deve essere deciso

La seconda parte della relazione è la rappresentazione del futuro. È qui che si definisce la maturazione progressiva del sistema NIS 2.

Questo secondo blocco della relazione potrebbe/dovrebbe comprendere:

• l’aggiornamento del piano di implementazione delle misure NIS 2: la nuova versione del piano, modifiche richieste, nuove priorità, milestone e responsabilità;
• i fornitori da rivedere o da sostituire: le analisi delle criticità e proposte di cambiamento o adeguamento;
• la formazione da completare: programmazione, ampliamenti, priorità per le figure critiche, budget previsto;
• gli audit futuri: agenda degli audit interni ed esterni e motivazione strategica delle scelte;
• le modifiche organizzative previste: eventuali rischi, impatti, dipendenze, vulnerabilità latenti;
• l’aggiornamento delle informazioni da comunicare all’ACN/CSIRT, contatti e governance interna: proposte di completamento o rafforzamento;
• le nuove remediation: elenco delle azioni correttive da programmare con priorità e risorse;
• il budget richiesto: la parte più delicata: la traduzione economica delle scelte di sicurezza.

La valenza dinamica della relazione

La relazione non è un documento chiuso cioè non va intesa come un qualcosa che si consegna a fine anno e si archivia con soddisfazione.

Invece è un modello di consuntivazione e pianificazione continua che deve accompagnare l’azienda oltre ottobre 2026, quando – in teoria – tutte le misure NIS 2 dovrebbero essere già applicate.

Il rischio evolve e le vulnerabilità cambiano velocemente; per cui il piano deve essere costantemente aggiornato e il vertice deve essere continuamente messo nelle condizioni di deliberare.

Dunque, la relazione annuale diventa la spina dorsale della sicurezza, il documento che allinea strategia, governance e operatività.

La relazione annuale del CISO per trasformare la sicurezza in scelta strategica

La relazione annuale del CISO per la NIS 2, benché non sia un obbligo, può comunque costituire un efficace atto di comando, perché può rappresentare lo strumento attraverso il quale la complessità viene resa leggibile, il rischio prende forma e il vertice organizzativo può finalmente governare non per intuizione, ma per conoscenza.

Una buona relazione annuale del CISO può davvero contribuire a trasformare la sicurezza da risposta tecnica a scelta strategica.