La Direttiva NIS 2, recepita in Italia con il D.Lgs. 138/2024, ha introdotto un principio che segna una discontinuità rispetto al passato: la sicurezza informatica è materia di governo societario.

L’Appendice C delle Linee Guida dell’ACN “NIS – Specifiche di base – Guida alla lettura di settembre 2025” individua un insieme di documenti che devono essere approvati dagli organi di amministrazione e direttivi.

È la traduzione applicativa di un chiarissimo requisito normativo: il rischio digitale deve essere assunto, deliberato e tracciato dal vertice organizzativo.

In questo articolo – il primo di una pentalogia dedicata alla governance NIS 2, con un focus particolare focus sulla componente della documentazione – analizziamo il significato di tale architettura, mostrando come i documenti indicati dall’ACN costituiscano la mappa minima della responsabilità organizzativa.

Il rischio implicito e l’assenza di indirizzo strategico

Ogni organizzazione governa, anche quando non lo dichiara esplicitamente.
Governa quando:

• sceglie un’infrastruttura cloud invece di un’altra;
• decide di affidarsi a un fornitore esterno senza approfondire il suo livello di sicurezza;
• stabilisce che un certo investimento in protezione può attendere.

Queste sono tutte scelte che determinano il livello di esposizione al rischio dell’organizzazione.

Il problema nasce quando queste scelte vengono prese senza una linea strategica chiara cioè senza che il vertice organizzativo abbia definito, in modo esplicito:

• quale sia il livello di rischio accettabile;
• quali siano le priorità di protezione;
• quali asset siano realmente critici;
• quali scenari non siano tollerabili.

In assenza di queste linee di indirizzo strategico, le decisioni vengono prese “dal basso”, caso per caso, spesso sulla base di esigenze contingenti, urgenze operative o vincoli di budget o ancora peggio sensibilità del singolo.

In quel contesto sembrano semplici scelte tecniche o di natura organizzativa mentre in realtà stanno definendo, senza dichiararlo, la politica del rischio dell’organizzazione.

Ora, finché tutto questo resta implicito, nessuno si assume formalmente la responsabilità di aver stabilito quanto rischio sia accettabile e perché.

Non esiste un atto deliberativo che dica: questo livello di esposizione è stato valutato, compreso e scelto.

La NIS 2 interviene proprio in questo scenario imponendo che il rischio digitale non sia più gestito per inerzia operativa, ma sia oggetto di indirizzo strategico. Questo è il vero salto culturale introdotto dalla NIS 2.

Dall’illusione tecnica alla responsabilità deliberativa

Per anni la sicurezza informatica è stata confinata nel dominio tecnico: il vertice, nel migliore dei casi, riceveva relazioni sintetiche, spesso poco comprensibili, e si limitava a prenderne atto.

In tal modo, la gestione concreta restava confinata in ambito IT.

La NIS 2, e il D.Lgs. 138/2024 che l’ha recepita, superano questo schema. La norma attribuisce agli organi di amministrazione e direttivi obblighi di supervisione e responsabilità diretta. Si tratta di un obbligo giuridico vero e proprio, che incide sul modo in cui il vertice governa l’organizzazione.

Peraltro, questa funzione di supervisione non si esaurisce in un atto iniziale di approvazione.

È una responsabilità che accompagna il tempo: gli organi apicali sono chiamati a riesaminare periodicamente le misure adottate, a verificarne l’adeguatezza, a confermarle o aggiornarle.

La governance, per essere tale, deve essere continua, consapevole e documentabile.

Le Linee Guida dell’ACN “NIS – Specifiche di base, Guida alla lettura”, nell’Appendice C, rendono esplicito questo obbligo individuando i documenti che devono essere approvati dal vertice e che riguardano i seguenti ambiti:

• organizzazione per la sicurezza informatica,
• politiche di sicurezza informatica;
• valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete;
• piano di trattamento del rischio;
• piano di gestione delle vulnerabilità;
• piano di adeguamento;
• di continuità operativa;
• di ripristino in caso di disastro;
• piano di gestione delle crisi;
• piano di formazione;
• piano per la gestione degli incidenti di sicurezza informatica.

L’ intreccio tra controlli e documenti

Non sono documenti scelti in modo casuale, ma discendono dai requisiti strutturati nei domini di governance, identificazione, protezione, risposta e ripristino.

Così, per esempio:

• quando si parla di Organizzazione per la sicurezza informatica si fa riferimento al controllo GV.RR-02;
• quando si richiede l’approvazione delle Politiche di sicurezza si richiama GV.PO-01;
• la Valutazione del rischio trova fondamento nel requisito ID.RA-05, mentre il Piano di trattamento è collegato a ID.RA-06 e la Gestione delle vulnerabilità a ID.RA-08;
• il Piano di adeguamento si innesta su ID.IM-01;
• continuità operativa, ripristino in caso di disastro e gestione delle crisi discendono da ID.IM-04;
• il Piano di formazione è ancorato a PR.AT-01 e la Gestione degli incidenti a RS.MA-01.

Questo intreccio tra controlli e documenti dimostra un fatto preciso: l’Appendice C è la proiezione documentale di requisiti normativi puntuali.

Il vertice è chiamato ad assumere formalmente la responsabilità su ciascuna di queste aree.

La mappa minima del governo del rischio

Se si guarda con attenzione all’insieme dei documenti richiesti, ciò che emerge non è una somma di atti separati, ma una struttura coerente che descrive l’intero percorso del rischio all’interno dell’organizzazione.

Tutto inizia dall’organizzazione della sicurezza, che non si limita a disegnare un organigramma, ma chiarisce:

• chi ha il potere di decidere;
• chi ha il compito di attuare;
• come le informazioni devono risalire fino al vertice.

Su questa base si innestano le politiche di sicurezza, che traducono la strategia aziendale in indirizzi chiari, definendo il livello di protezione perseguito e l’approccio al rischio.

La valutazione del rischio rappresenta il momento in cui l’organizzazione prende consapevolezza delle proprie esposizioni, individua le priorità e misura gli impatti potenziali.

Da questa analisi discende il piano di trattamento, che trasforma la consapevolezza in decisione operativa, stabilendo quali misure adottare e con quali tempi.

La logica Pdca (plan do check act)

Quando emergono scostamenti rispetto ai requisiti normativi o agli standard interni, interviene il piano di adeguamento, che pianifica gli interventi necessari per riallineare il sistema.

Nel frattempo, la gestione delle vulnerabilità mantiene uno sguardo costante sulle debolezze tecniche, assicurando che vengano identificate e affrontate prima che si trasformino in incidenti.

Se l’incidente si verifica, la gestione operativa disciplina la risposta, mentre la continuità operativa e il disaster recovery garantiscono che le funzioni essenziali possano sopravvivere all’evento.

Nei momenti più delicati, la gestione delle crisi coordina decisioni e comunicazioni, evitando che l’emergenza degeneri in disordine.

E lungo tutto questo percorso, la formazione consolida la consapevolezza, perché senza cultura organizzativa nessun sistema regge nel tempo.

Non siamo dunque di fronte a documenti isolati, ma a un ciclo completo, secondo una logica PDCA (plan do check act), che accompagna il rischio dalla prevenzione alla resilienza.

Su questo ciclo, nella sua interezza, il vertice organizzativo è chiamato a deliberare e ad assumere responsabilità.

Approvare significa assumere consapevolezza

L’approvazione formale di questi documenti è soprattutto una dichiarazione di consapevolezza.

Quando il Consiglio di Amministrazione approva una valutazione del rischio, attesta di aver preso atto delle minacce individuate e di ritenere adeguate e proporzionate le misure proposte.

Anche qualora non disponga delle competenze tecniche per entrare nel dettaglio di ogni profilo specialistico, compie comunque una scelta consapevole: quella di fare affidamento sui propri esperti e di far propria la sintesi tecnica che gli viene sottoposta.

Quando approva un piano di continuità operativa, compie una dichiarazione ancora più netta: individua quali funzioni considera vitali per la tenuta dell’organizzazione e definisce implicitamente il livello di investimento che intende sostenere per proteggerle.

In quel momento, il vertice stabilisce cosa deve essere preservato a ogni costo e su cosa è disposto a impegnare risorse, tempo e responsabilità.

In caso di ispezione da parte dell’ACN è verosimile che non sarà valutata soltanto l’esistenza del documento, ma la coerenza tra valutazione del rischio, piano di trattamento, piano di adeguamento e misure effettivamente implementate.

Probabilmente, si verificherà anche la periodicità degli aggiornamenti, per altro definita in molti casi, e la tracciabilità delle approvazioni.

In questo senso, la documentazione diventa la prova della diligenza organizzativa.

Governare significa rendere dimostrabile

La NIS 2 si colloca nella stessa traiettoria evolutiva già tracciata dal GDPR: la responsabilità va dimostrata.

La solidità dell’architettura documentale non dipende soltanto dalla qualità tecnica dei contenuti, ma anche dalla capacità di renderli tracciabili, aggiornati e coerenti nel tempo.

Senza un sistema di gestione documentale che garantisca versioning, controllo delle modifiche e formalizzazione delle approvazioni, anche il miglior impianto rischia di perdere efficacia probatoria.

Il legislatore europeo ha compreso che la sicurezza non può essere lasciata alla buona volontà tecnica, ma deve essere necessariamente inserita nella grammatica della governance.

La NIS 2 richiede governo

La NIS 2 non richiede la predisposizione di documenti per riempire archivi ma impone al verticemorganizzativo di assumere il rischio digitale come materia propria, lo comprenda, lo deliberi e ne lasci traccia formale.

L’Appendice C delle Linee Guida dell’ACN del settembre 2025 individua la struttura minima attraverso cui questo governo diventa visibile.

Ogni documento richiesto rappresenta un presidio di responsabilità e un segmento del ciclo del rischio.

Comprendere questa architettura è il primo passo, costruirla in modo coerente è il secondo, tenerla aggiornata e valida nel tempo il terzo.

Nel secondo capitolo della pentalogia, dedicata alla Governance nella NIS 2, mostreremo come ogni documento si inserisca in un processo unitario e permanente, dove coerenza, aggiornamento e tracciabilità diventano il parametro reale con cui si misura il governo del rischio digitale.

Non è una questione di carta prodotta, ma di architettura organizzativa: una struttura capace di rendere visibile e dimostrabile la responsabilità del vertice.