L'articolo 23 del decreto legislativo 138/2024 definisce obblighi di livello governance per i soggetti NIS. In pratica, serve un modello formale in cui organi direttivi e amministrativi approvano l'indirizzo cyber, supervisionano l'attuazione e mantengono evidenze delle decisioni, dei riesami e delle responsabilità.

Fonti: Decreto legislativo 138/2024, Guida ACN lettura specifiche, Determinazione ACN obblighi di base

Punti chiave

• L'articolo 23 è focalizzato su governance e accountability direzionale, non solo su execution tecnica.
• Gli organi direttivi devono assicurare che la governance cyber sia formalizzata, riesaminata e documentata.
• Flussi di approvazione, attribuzione ruoli e supervisione periodica devono essere tracciabili con evidenze auditabili.
• Gli obblighi di governance si collegano direttamente alle specifiche di base ACN della prima fase attuativa.

Fonti: Decreto legislativo 138/2024, Guida ACN lettura specifiche

Obblighi di governance secondo l'articolo 23

A livello operativo, l'articolo 23 va implementato tramite un framework di governance che colleghi obblighi legali, diritti decisionali, ownership ed evidenze.

1. Ownership formale di governance

Il soggetto dovrebbe identificare quali organi e figure executive hanno la ownership formale della governance cyber e assegnare responsabilità in modo esplicito.

2. Approvazione di politiche e indirizzi

Le policy cyber principali, i principi di governo del rischio e gli indirizzi strategici di sicurezza dovrebbero essere approvati a livello adeguato e riesaminati periodicamente.

3. Supervisione dello stato di attuazione

Gli organi direttivi dovrebbero ricevere report ricorrenti su stato di implementazione, rischi rilevanti e azioni correttive, con decisioni e follow-up registrati.

4. Accountability e prontezza documentale

Le decisioni di governance dovrebbero essere supportate da evidenze documentali come verbali di approvazione, esiti di riesame, matrici ruoli e output degli organi.

Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base, Guida ACN lettura specifiche

Modello operativo minimo per i team compliance

Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base

Checklist di esecuzione per i prossimi 90 giorni

1. Confermare chi, a livello organi ed executive, è owner degli obblighi di governance cyber.
2. Approvare o aggiornare il modello formale ruoli-responsabilità per la governance cyber.
3. Verificare che le policy chiave includano ownership, cadenza di riesame e criteri di escalation.
4. Attivare reporting ricorrente agli organi con tracking rischi e remediation.
5. Preparare un pacchetto evidenze sintetico per eventuali verifiche dell'autorità.

FAQ

L'articolo 23 riguarda solo i team tecnici di sicurezza?

No. L'articolo 23 è centrato sulla governance e riguarda responsabilità di organi direttivi e amministrativi. L'execution può essere delegata, ma la supervisione resta in capo alla governance. Fonte: Decreto legislativo 138/2024

Approvazioni policy e registri di riesame sono opzionali?

No. L'attuazione pratica richiede evidenze documentali di approvazioni e riesami periodici. I dettagli sono definiti nella documentazione ufficiale e nel materiale attuativo ACN. Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche

Quali documenti dovrebbe prioritizzare subito la governance?

In priorità: matrice ruoli governance, set policy cyber, evidenze di supervisione periodica e documentazione della governance formazione coerente con le specifiche di base ACN. Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base

Hai bisogno di consulenza governance esperta? Il servizio Virtual CISO di Aegister fornisce supporto dedicato per gli obblighi di governance NIS2.

Guide correlate in questa serie

• politiche di governance, ruoli e strutture di accountability

Fonti ufficiali

• Gazzetta Ufficiale - Decreto legislativo 138/2024
• ACN - Determinazione obblighi di base
• ACN - Guida alla lettura delle specifiche di base