L’architettura documentale richiesta dalla NIS 2 non è soltanto uno strumento di organizzazione interna.

In caso di incidente grave o di verifica da parte dell’Autorità competente, essa diventa prova della consapevolezza e della diligenza del vertice.

La coerenza tra valutazione del rischio, piano di trattamento, piano di adeguamento, gestione delle vulnerabilità e continuità operativa può rappresentare il criterio attraverso cui viene giudicata la qualità del governo.

Questo articolo conclude la pentalogia mostrando come la documentazione, se costruita correttamente, possa diventare presidio di responsabilità e fondamento della cultura del rischio.

Dalla gestione alla dimostrazione

Finché l’organizzazione opera in condizioni ordinarie, l’architettura documentale sembra un sistema di pianificazione e coordinamento. Definisce ruoli, analizza rischi, pianifica interventi.

Quando si verifica un evento rilevante, lo sguardo dell’Autorità si sposta sul passato. Viene esaminata la valutazione del rischio per comprendere se la minaccia fosse stata identificata.

Si analizza il piano di trattamento per verificare se le misure fossero state pianificate in modo proporzionato. Si controlla il piano di adeguamento per capire se eventuali scostamenti fossero stati programmati per essere colmati. Inoltre, si osservano i registri di gestione delle vulnerabilità per verificare la tempestività delle azioni correttive.

In quel momento, ogni documento diventa una fotografia della consapevolezza organizzativa.

La differenza tra una gestione diligente e una gestione superficiale non si misura solo nella capacità tecnica di reagire, ma nella qualità delle decisioni precedenti.

La tracciabilità delle decisioni come criterio di giudizio

La NIS 2, recepita nel D.Lgs. 138/2024, attribuisce agli organi di amministrazione un ruolo diretto nella supervisione delle misure di sicurezza. Ciò implica che le deliberazioni devono essere tracciabili.

Non è sufficiente che un documento sia stato redatto; occorre anche dimostrare:

• quando è stato approvato;
• con quale periodicità è stato aggiornato;
• su quali basi informative si fondava.

Un sistema di gestione documentale che assicuri versioning, registrazione delle modifiche e formalizzazione delle approvazioni non è un elemento accessorio. È parte integrante della governance.

La documentazione, in questo senso, non è solo contenuto è essenzialmente processo.

Coerenza sistemica e plausibile valutazione delle Autorità di controllo

È plausibile immaginare che in sede di verifica delle Autorità di controllo, ciò che viene valutato non è la perfezione teorica del documento ma la coerenza dell’insieme.

Non viene misurata l’eleganza della redazione né la completezza formale delle clausole. Ciò che viene osservato è l’insieme, la capacità del sistema di reggere come struttura coerente.

L’attenzione si concentra, verosimilmente, sul filo che lega analisi, decisione e attuazione.

Così, per esempio:

• se una valutazione del rischio individua una vulnerabilità critica, ma il piano di trattamento non prevede misure proporzionate, si crea una frattura tra consapevolezza e azione;
• se il piano di adeguamento programma interventi senza che vi sia evidenza della loro effettiva implementazione o revisione, emerge una distanza tra pianificazione e realtà;
• se il piano di continuità operativa non riflette le priorità dichiarate nella politica di sicurezza, si incrina l’allineamento tra indirizzo strategico e resilienza operativa.

L’Autorità verosimilmente non cerca formalismi ma coerenza e verifica che ciò che è stato analizzato sia stato deliberato e che ciò che è stato deliberato sia stato attuato.

In definitiva, valuta la continuità tra i livelli del sistema. In questa continuità che si misura la solidità della governance: non nella perfezione isolata dei documenti ma nella loro capacità di parlare la stessa lingua e di raccontare una storia unitaria di governo del rischio.

La responsabilità personale del vertice

La traiettoria normativa europea in materia di sicurezza digitale non lascia margini di ambiguità: il rischio informatico è una componente strutturale della responsabilità di governo.

Il legislatore ha progressivamente spostato il baricentro decisionale verso i livelli apicali, riconoscendo che la sicurezza delle reti e dei sistemi informativi incide direttamente sulla continuità operativa, sulla reputazione, sulla stabilità economica e, in ultima analisi, sulla fiducia nel mercato.

Questo spostamento è giuridico e comporta che la supervisione non può essere formale né la delega può essere inconsapevole.

Il vertice è chiamato a esercitare un controllo effettivo e informato sulle scelte che determinano l’esposizione al rischio.

Così, quando l’organo amministrativo approva una valutazione del rischio, non si limita a prendere atto di un’analisi predisposta da altri ma assume la responsabilità di averne compreso:

• la metodologia;
• gli scenari ipotizzati;
• le priorità individuate;
• le conseguenze organizzative.

E ancora, quando approva un piano di continuità operativa compie una scelta strategica su ciò che deve sopravvivere in caso di crisi e su quali funzioni sono considerate vitali per l’organizzazione.

La formalizzazione di queste decisioni non è un passaggio burocratico ma il momento in cui il rischio diventa oggetto di deliberazione e quindi di imputazione.

In assenza di questa formalizzazione, la governance resta opaca, dispersa in scelte operative non riconducibili a un indirizzo unitario. Con essa, invece, il sistema diventa leggibile, verificabile e, soprattutto, attribuibile.

La cultura del rischio come risultato finale

Al termine di questo percorso emerge un dato evidente. La documentazione richiesta dalla NIS 2 non può essere vista come il fine ma come il mezzo attraverso cui si consolida una cultura del rischio.

Un’organizzazione che aggiorna periodicamente la propria valutazione del rischio, che integra le lezioni apprese dagli incidenti nella revisione delle procedure, che pianifica l’adeguamento in modo realistico e verificabile, non sta semplicemente rispettando un obbligo normativo. Ma sta costruendo resilienza.

Quella resilienza che non nasce dall’assenza di eventi avversi ma dalla capacità di apprendere, adattare e dimostrare di aver governato l’incertezza.

Una prova di presenza di governo e dimostrazione di diligenza

La pentalogia ha seguito un filo coerente. Abbiamo visto come la NIS 2 abbia spostato la sicurezza nel perimetro della responsabilità del vertice.

Poi abbiamo analizzato l’architettura documentale necessaria per rendere concreto questo governo. Quindi, abbiamo valutato le implicazioni della scelta tra modello unico e documenti distinti.

Ora comprendiamo il punto di arrivo: il sistema documentale che diventa prova. Non prova dell’assenza di rischio, ma prova della presenza di governo; non garanzia di infallibilità ma dimostrazione di diligenza.

In un contesto in cui il rischio digitale è inevitabile, ciò che distingue un’organizzazione solida non è l’assenza di incidenti, ma la capacità di dimostrare di averli previsti, valutati e governati con responsabilità.

È qui che la NIS 2 trova il suo senso più profondo: trasformare la sicurezza da adempimento tecnico a responsabilità organizzativa consapevole.