NIS2 e responsabilità del vertice: quali documenti devono essere approvati secondo le nuove FAQ ACN

Nuove FAQ ACN

Sommario

Con l’aggiornamento del 14 luglio 2026, l’Agenzia per la cybersicurezza nazionale ha integrato le FAQ ODA.8 e ODA.9 e introdotto le nuove ODA.10, ODA.11 e ODA.12. I chiarimenti distinguono con maggiore precisione le decisioni riservate agli organi di amministrazione e direttivi dalle attività che possono essere affidate alle strutture competenti. I documenti che definiscono gli indirizzi e la pianificazione strategica delle misure di sicurezza devono essere approvati dal vertice; procedure, istruzioni e manuali operativi possono invece essere gestiti dalle funzioni tecniche e organizzative. La semplificazione non riduce gli obblighi di approvazione, sovrintendenza, formazione e informazione previsti dal decreto NIS.

Chi siede in un consiglio di amministrazione o in un organo direttivo di un soggetto NIS si pone da tempo una domanda molto concreta: il vertice deve approvare ogni documento che riguarda la cybersicurezza, comprese le procedure tecniche, le istruzioni operative e i manuali utilizzati quotidianamente dalle strutture?

Il 14 luglio 2026 l’Agenzia per la cybersicurezza nazionale ha fornito un chiarimento particolarmente atteso. Sono state integrate le FAQ ODA.8 e ODA.9 e sono state introdotte le nuove FAQ ODA.10, ODA.11 e ODA.12, dedicate proprio alla delegabilità delle attività e al livello di dettaglio della documentazione da sottoporre agli organi di amministrazione e direttivi.

Il principio che emerge è chiaro: al vertice spettano le decisioni strategiche, l’approvazione dei documenti rilevanti e la sovrintendenza sull’attuazione degli obblighi. Le strutture competenti possono invece occuparsi della predisposizione, dell’attuazione e dell’aggiornamento della documentazione tecnica e operativa.

 

Gli obblighi attribuiti al vertice dall’articolo 23

Il punto di partenza resta l’articolo 23 del d.lgs. 4 settembre 2024, n. 138.

La norma stabilisce che gli organi di amministrazione e direttivi dei soggetti essenziali e importanti:

  • approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate ai sensi dell’articolo 24;
  • sovrintendono all’implementazione degli obblighi previsti dal Capo IV e dall’articolo 7;
  • sono responsabili delle violazioni previste dal decreto.

I componenti degli organi sono inoltre tenuti a seguire una formazione in materia di sicurezza informatica. Gli stessi organi devono promuovere periodicamente una formazione coerente per i dipendenti, affinché questi possano individuare i rischi e valutare le pratiche di gestione della sicurezza informatica e il loro impatto sulle attività e sui servizi del soggetto.

Infine, gli organi devono essere informati periodicamente o, quando opportuno, tempestivamente degli incidenti e delle notifiche effettuate ai sensi degli articoli 25 e 26.

L’attribuzione di questi obblighi agli organi non significa che tutte le attività debbano essere materialmente svolte dal consiglio di amministrazione o dal vertice collegiale. Occorre però distinguere con precisione ciò che può essere delegato o affidato alle strutture da ciò che deve restare oggetto di una decisione dell’organo competente.

 

La delega delle attività non comprende l’approvazione

La FAQ ODA.8 chiarisce che gli organi di amministrazione e direttivi possono delegare al proprio interno lo svolgimento delle attività finalizzate all’assolvimento degli obblighi previsti dall’articolo 23, commi 1 e 2.

La delega interna può quindi essere utilizzata per organizzare il lavoro dell’organo e distribuire le attività preparatorie o di presidio. Non può invece trasferire a un singolo componente, a una funzione aziendale o a un diverso organismo la competenza ad approvare i documenti per i quali la disciplina NIS richiede una deliberazione dell’organo collegiale o, quando previsto, dell’organo monocratico.

L’approvazione resta pertanto riservata all’organo individuato in base alla natura giuridica e all’effettivo assetto di governance del soggetto. Non conta soltanto la denominazione formale dell’organismo, ma il fatto che esso eserciti effettivamente il potere di direzione dell’organizzazione.

La FAQ ODA.9 precisa inoltre che la delega delle attività non esclude la responsabilità attribuita dall’articolo 23 agli organi di amministrazione e direttivi.

La delega consente di organizzare lo svolgimento delle attività, ma non permette al vertice di sottrarsi ai propri obblighi di approvazione e sovrintendenza.

Questo principio non deve essere confuso con un automatismo nella responsabilità personale dei singoli componenti. Le FAQ non stabiliscono che ogni violazione debba essere indistintamente imputata a tutte le persone che compongono l’organo. Le eventuali responsabilità individuali devono essere valutate sulla base delle specifiche disposizioni del decreto, dei poteri esercitati, delle funzioni ricoperte e delle condotte concretamente tenute.

 

Quali documenti devono essere approvati

Il chiarimento centrale è contenuto nella FAQ ODA.10.

Secondo l’ACN, i documenti che devono essere approvati dagli organi ai fini dell’implementazione delle misure di sicurezza di base devono rappresentare almeno gli indirizzi e la pianificazione strategica delle misure.

Il vertice non è quindi chiamato a deliberare su ogni dettaglio tecnico, ma deve assumere le decisioni fondamentali attraverso le quali il soggetto definisce il proprio modello di governo della sicurezza informatica.

In funzione della misura applicabile e del contenuto del singolo documento, possono rientrare in questo livello:

  • gli indirizzi generali di sicurezza;
  • gli obiettivi perseguiti;
  • il modello di governance;
  • le responsabilità principali;
  • i criteri strategici di gestione e trattamento del rischio;
  • le priorità di intervento;
  • gli indirizzi generali relativi alle risorse e ai controlli.

Questo elenco costituisce una ricostruzione applicativa e non sostituisce l’esame delle singole misure di sicurezza di base. Per determinare esattamente quali contenuti debbano essere approvati occorre verificare, documento per documento, i requisiti applicabili al soggetto.

La documentazione tecnica e operativa può invece essere predisposta e aggiornata dalle strutture competenti. Rientrano normalmente in questa categoria:

  • procedure;
  • istruzioni operative;
  • manuali tecnici;
  • schede di controllo;
  • configurazioni;
  • modelli di registrazione;
  • documenti utilizzati per l’esecuzione concreta delle misure.

La distinzione dipende dal contenuto effettivo del documento, non soltanto dal suo titolo. Una procedura formalmente definita “operativa” potrebbe contenere scelte strategiche, modificare responsabilità essenziali o incidere sui criteri di gestione del rischio. In questo caso, il documento o la parte che contiene tali decisioni dovrebbe essere sottoposto all’organo competente.

 

Un documento unico o più documenti coordinati

Le nuove FAQ chiariscono anche che non esiste un unico modello documentale obbligatorio.

Il soggetto NIS può organizzare la documentazione secondo le modalità ritenute più adatte alla propria struttura, utilizzando:

  • un documento complessivo articolato in più sezioni;
  • più politiche riferite a specifici ambiti;
  • una policy generale accompagnata da documenti settoriali;
  • un insieme coordinato di politiche, procedure, istruzioni e manuali.

La conformità non dipende quindi dal numero dei documenti, ma dalla loro capacità di rappresentare in modo completo e coerente gli indirizzi strategici e le modalità di attuazione delle misure.

La FAQ ODA.11 precisa inoltre che gli ulteriori presidi documentali e organizzativi richiamati nei documenti approvati dal vertice non devono, per il solo fatto di essere menzionati, essere a loro volta sottoposti all’approvazione degli organi.

Una policy strategica può quindi richiamare una procedura di gestione degli incidenti, un manuale tecnico o un piano operativo senza che ogni modifica di tali documenti richieda un nuovo passaggio in consiglio.

 

L’aggiornamento operativo non richiede automaticamente una nuova approvazione

La FAQ ODA.12 completa il quadro chiarendo che l’aggiornamento dei presidi documentali e organizzativi richiamati nella documentazione strategica non comporta la necessità di una nuova approvazione di quest’ultima.

Una procedura può quindi essere modificata per adeguare strumenti, attività esecutive, riferimenti tecnici o modalità organizzative senza dover sottoporre nuovamente al vertice la policy che la richiama.

Le FAQ non affrontano espressamente il diverso caso in cui la modifica del documento operativo incida sostanzialmente sulle scelte strategiche già approvate.

Secondo una lettura prudenziale e coerente con l’articolo 23, una nuova approvazione dovrebbe essere valutata quando l’aggiornamento modifica, ad esempio:

  • gli indirizzi generali;
  • gli obiettivi di sicurezza;
  • il modello di governance;
  • le responsabilità principali;
  • i criteri di accettazione o trattamento del rischio;
  • le priorità strategiche;
  • le decisioni generali sull’impiego delle risorse.

In questi casi non si avrebbe più un semplice aggiornamento operativo, ma una modifica delle modalità strategiche di implementazione delle misure precedentemente approvate.

 

Chi approva cosa

Lo schema seguente traduce i chiarimenti ACN in termini operativi.

Attività o documento Soggetto competente Regime applicabile
Documenti contenenti indirizzi e pianificazione strategica delle misure Organo collegiale o, quando previsto, organo monocratico competente Approvazione necessaria e non delegabile
Predisposizione delle bozze dei documenti strategici Strutture IT, security, compliance, risk management, legale e altre funzioni competenti Attività preparatoria affidabile alle strutture
Attività finalizzate all’assolvimento degli obblighi dell’articolo 23, commi 1 e 2 Componenti dell’organo, sulla base dell’organizzazione interna Delegabili al proprio interno, ferma restando l’approvazione dell’organo quando richiesta
Procedure, istruzioni e manuali tecnici Strutture organizzative competenti Non richiedono l’approvazione del vertice, salvo che contengano scelte strategiche
Aggiornamento di un presidio operativo richiamato dalla documentazione strategica Funzione competente Non richiede automaticamente una nuova approvazione
Modifica di indirizzi, responsabilità principali o criteri strategici Organo competente Richiede la valutazione e, secondo una lettura prudenziale, una nuova approvazione

 

 

Un possibile modello documentale

Sulla base dei chiarimenti ACN, il soggetto può articolare il proprio sistema documentale su più livelli. Quello che segue è un modello organizzativo consigliato e non una classificazione obbligatoria introdotta dall’Agenzia.

Livello Contenuto prevalente Approvazione
Strategico Indirizzi, obiettivi, governance, responsabilità principali e criteri generali Organo di amministrazione o direttivo
Gestionale Processi, responsabilità operative, coordinamento e monitoraggio Funzioni individuate dal modello organizzativo, salvo contenuti strategici
Tecnico-operativo Procedure, istruzioni, manuali e configurazioni Strutture tecniche competenti
Evidenze Verbali, registri, log, rapporti e risultati dei controlli Validazione secondo le regole interne

 

Il fatto che una procedura non debba essere approvata dal vertice non significa che possa essere gestita informalmente.

Il soggetto deve comunque individuare:

  • chi la redige;
  • chi la verifica;
  • chi ne autorizza l’adozione operativa;
  • chi ne cura l’aggiornamento;
  • come vengono registrate le modifiche;
  • come viene distribuita alle persone interessate.

Cosa devono fare ora i soggetti NIS

Il chiarimento dell’ACN rappresenta un’occasione per riesaminare l’intero impianto documentale e correggere sia gli eccessi di formalizzazione sia le deleghe non coerenti con l’articolo 23.

La prima verifica riguarda l’individuazione dell’organo competente. Non è sufficiente utilizzare genericamente espressioni come “vertice”, “direzione” o “consiglio”. Occorre considerare la natura giuridica del soggetto, il suo assetto statutario e organizzativo e l’effettiva attribuzione dei poteri di direzione. Le FAQ ODA.1-ODA.7 forniscono indicazioni per questa individuazione.

La seconda verifica riguarda la classificazione della documentazione. È necessario distinguere i documenti che contengono le decisioni strategiche dai documenti che ne disciplinano l’attuazione tecnica e operativa.

La terza verifica riguarda il processo di approvazione. I documenti strategici devono essere sottoposti all’organo competente con un’istruttoria adeguata e con modalità che consentano di dimostrare l’effettiva assunzione della decisione. È quindi opportuno che l’approvazione risulti da una deliberazione o da un atto equivalente adeguatamente documentato.

La quarta verifica riguarda la gestione delle procedure operative. Il relativo processo deve essere più agile rispetto a quello previsto per le policy strategiche, ma deve comunque garantire responsabilità chiare, controllo delle versioni, tracciabilità delle modifiche e diffusione alle funzioni interessate.

Chi ha finora sottoposto al consiglio anche procedure e manuali tecnici non ha necessariamente operato in modo scorretto. Può però semplificare il processo per il futuro, evitando che ogni aggiornamento tecnico richieda una nuova deliberazione.

Chi, al contrario, ha affidato l’approvazione delle politiche o degli indirizzi strategici a un dirigente, a una funzione interna o a un comitato che non coincide con l’organo competente deve verificare il processo adottato e, se necessario, sottoporre i documenti a una corretta approvazione.

Il ruolo del vertice non si esaurisce nell’approvazione

Le nuove FAQ semplificano la gestione documentale, ma non riducono il ruolo attribuito agli organi di amministrazione e direttivi.

Il vertice non deve entrare nel dettaglio di ogni configurazione tecnica. Deve però comprendere i rischi principali, approvare le modalità strategiche di implementazione delle misure e sovrintendere alla loro effettiva attuazione.

Restano inoltre centrali la formazione e i flussi informativi.

I componenti degli organi devono seguire una formazione in materia di sicurezza informatica. Gli organi devono inoltre promuovere periodicamente una formazione coerente per i dipendenti, secondo quanto previsto dall’articolo 23, comma 2.

Ai sensi del comma 3, gli organi devono essere informati periodicamente o, quando opportuno, tempestivamente degli incidenti e delle notifiche. Per consentire l’effettivo esercizio della funzione di sovrintendenza prevista dal comma 1, lettera b), è inoltre opportuno che ricevano report strutturati sullo stato di attuazione delle misure, sulle criticità rilevate e sulle azioni correttive programmate.

Un vertice che approva formalmente una policy, ma non riceve informazioni e non verifica l’effettiva implementazione delle misure, non esercita in modo adeguato la funzione di governance richiesta dal decreto.

Le FAQ del 14 luglio 2026 non modificano la normativa, ma ne chiariscono l’applicazione. Il risultato è una distinzione più equilibrata: agli organi spettano le decisioni strategiche, l’approvazione e la sovrintendenza; alle strutture competono la progettazione tecnica, l’attuazione operativa, l’aggiornamento dei presidi e la produzione delle evidenze.

Questa distinzione evita sia di coinvolgere impropriamente il consiglio in ogni dettaglio tecnico, sia di svuotare il ruolo del vertice attraverso deleghe troppo ampie.

Enrico Capirone
Presidente iSimply srl – DPO

Fonti ufficiali

  • Agenzia per la cybersicurezza nazionale, aggiornamento del 14 luglio 2026 sulle FAQ relative agli obblighi degli organi di amministrazione e direttivi. (Agenzia per la cybersicurezza nazionale)
  • Agenzia per la cybersicurezza nazionale, FAQ NIS, sezione “Ruoli e procedure”, consultata il 16 luglio 2026. (Agenzia per la cybersicurezza nazionale)
  • Decreto legislativo 4 settembre 2024, n. 138, articolo 23, testo vigente su Normattiva. (Normattiva)

 

Team transizione digitale di iSimply