La Direttiva NIS 2, recepita in Italia con il Decreto Legislativo 138/2024, ha segnato una trasformazione profonda nel modo in cui le organizzazioni devono concepire la sicurezza informatica. Non si tratta più di un ambito tecnico delegato agli specialisti IT, ma di una vera e propria materia di governo societario. Il rischio digitale entra stabilmente nell’agenda del vertice e diventa oggetto di deliberazione, indirizzo strategico e responsabilità formale.

Le Linee Guida dell’Agenzia per la Cybersicurezza Nazionale, in particolare l’Appendice C della “NISGuida alla lettura” del settembre 2025, rendono tangibile questo passaggio. L’elenco dei documenti che devono essere approvati dagli organi amministrativi non va letto come un catalogo burocratico, ma come la traduzione operativa di un principio chiaro: il rischio digitale deve essere compreso, assunto e tracciato ai livelli più alti dell’organizzazione.

In realtà, ogni impresa governa il rischio anche quando non lo dichiara: lo fa nel momento in cui sceglie una determinata architettura tecnologica, quando affida un servizio critico a un fornitore senza approfondirne adeguatamente le misure di sicurezza, oppure quando decide di posticipare un investimento in protezione per ragioni di budget. In assenza di un indirizzo strategico esplicito (volto a definire il livello di rischio accettabile, gli asset realmente critici e gli scenari intollerabili) queste decisioni si accumulano dal basso, guidate dall’urgenza o dalla sensibilità individuale. Dunque, la NIS 2 interviene proprio su questa zona grigia. Impone che il rischio digitale non sia più il risultato di scelte frammentarie, bensì l’esito di una volontà strategica espressa dal vertice. Per anni la sicurezza informatica è rimasta confinata nel dominio tecnico: i consigli di amministrazione ricevevano relazioni sintetiche, spesso poco accessibili, e si limitavano a prenderne atto. Oggi la norma attribuisce agli organi apicali obblighi di supervisione e responsabilità diretta, trasformando la cybersecurity in una componente strutturale della governance.

L’Appendice C individua una serie di documenti che devono essere formalmente approvati: l’organizzazione per la sicurezza informatica, le politiche di sicurezza, la valutazione del rischio, il piano di trattamento, la gestione delle vulnerabilità, il piano di adeguamento, la continuità operativa, il disaster recovery, la gestione delle crisi, la formazione e la gestione degli incidenti. Non si tratta di atti isolati, ma di elementi interconnessi che riflettono i requisiti normativi articolati nei domini di governance, identificazione, protezione, risposta e ripristino.

Osservati nel loro insieme, questi documenti raccontano il percorso del rischio all’interno dell’organizzazione. Si parte dalla definizione dei ruoli e delle responsabilità, chiarendo chi decide, chi attua e come le informazioni risalgono fino al vertice. Le politiche traducono la strategia aziendale in principi operativi; la valutazione del rischio consente di prendere coscienza delle esposizioni e delle priorità; il piano di trattamento trasforma l’analisi in decisione concreta. Quando emergono scostamenti, il piano di adeguamento pianifica il riallineamento; la gestione delle vulnerabilità presidia le fragilità tecniche prima che si trasformino in incidenti. Se l’incidente si verifica, entrano in gioco i meccanismi di risposta, la continuità operativa e il disaster recovery, che mirano a preservare le funzioni essenziali e a garantire la resilienza. Nei momenti più critici, la gestione delle crisi coordina decisioni e comunicazioni, evitando che l’emergenza degeneri. In parallelo, la formazione alimenta nel tempo la consapevolezza diffusa, condizione imprescindibile perché l’intero sistema regga.

Si delinea così un ciclo continuo, ispirato alla logica del miglioramento progressivo: pianificare, attuare, verificare, correggere. Su questo ciclo, nella sua interezza, il vertice è chiamato a deliberare: l’approvazione dei documenti non è, quindi, un gesto simbolico, ma una “dichiarazione di consapevolezza”. In definitiva, la NIS 2 non sollecita la produzione di documenti destinati a rimanere negli archivi, ma richiede un autentico esercizio di governo: essa impone che il vertice assuma il rischio digitale come ambito proprio di responsabilità, lo analizzi con consapevolezza, lo traduca in decisioni deliberate e ne garantisca la tracciabilità formale.

Visualizzazioni: 1