---
title: "Art. 23 NIS2: Obblighi di Governance"
description: "Articolo 23 NIS2 in pratica: obblighi per organi direttivi e amministrativi. Responsabilità, formazione e sanzioni previste dal D.Lgs. 138/2024."
canonical: https://www.aegister.com/it/cms/insights/nis2-articolo-23-obblighi-organi-direttivi/
url: /it/cms/insights/nis2-articolo-23-obblighi-organi-direttivi/
lang: it
---

![](/static/images/header-contact.webp)

# Articolo 23 NIS2 in Pratica: Obblighi per Organi Direttivi e Amministrativi

---

![Articolo 23 NIS2 in Pratica: Obblighi per Organi Direttivi e Amministrativi](/static/images/cms/nis2-requisiti-di-base.webp)

## Articolo 23 NIS2 in Pratica: Obblighi per Organi Direttivi e Amministrativi

27 Gennaio 2026

[NIS2](/it/cms/keyword/nis2/)
[ACN](/it/cms/keyword/acn/)
[conformità](/it/cms/keyword/conformita/)
[sicurezza informatica](/it/cms/keyword/sicurezza-informatica/)
+6

L'articolo 23 del decreto legislativo 138/2024 definisce obblighi di livello governance per i soggetti NIS. In pratica, serve un modello formale in cui organi direttivi e amministrativi approvano l'indirizzo cyber, supervisionano l'attuazione e mantengono evidenze delle decisioni, dei riesami e delle responsabilità.

Fonti: [Decreto legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG), [Guida ACN lettura specifiche](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base), [Determinazione ACN obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)

## Punti chiave

- L'articolo 23 è focalizzato su governance e accountability direzionale, non solo su execution tecnica.
- Gli organi direttivi devono assicurare che la governance cyber sia formalizzata, riesaminata e documentata.
- Flussi di approvazione, attribuzione ruoli e supervisione periodica devono essere tracciabili con evidenze auditabili.
- Gli obblighi di governance si collegano direttamente alle specifiche di base ACN della prima fase attuativa.

Fonti: [Decreto legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG), [Guida ACN lettura specifiche](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base)

## Obblighi di governance secondo l'articolo 23

A livello operativo, l'articolo 23 va implementato tramite un framework di governance che colleghi obblighi legali, diritti decisionali, ownership ed evidenze.

### 1. Ownership formale di governance

Il soggetto dovrebbe identificare quali organi e figure executive hanno la ownership formale della governance cyber e assegnare responsabilità in modo esplicito.

### 2. Approvazione di politiche e indirizzi

Le policy cyber principali, i principi di governo del rischio e gli indirizzi strategici di sicurezza dovrebbero essere approvati a livello adeguato e riesaminati periodicamente.

### 3. Supervisione dello stato di attuazione

Gli organi direttivi dovrebbero ricevere report ricorrenti su stato di implementazione, rischi rilevanti e azioni correttive, con decisioni e follow-up registrati.

### 4. Accountability e prontezza documentale

Le decisioni di governance dovrebbero essere supportate da evidenze documentali come verbali di approvazione, esiti di riesame, matrici ruoli e output degli organi.

Fonti: [Decreto legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG), [Determinazione ACN obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed), [Guida ACN lettura specifiche](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base)

## Modello operativo minimo per i team compliance

| Elemento di governance | Aspettativa pratica | Evidenze tipiche |
| --- | --- | --- |
| Modello ruoli e responsabilità | Ruoli governance cyber definiti e approvati | Matrice ruoli-responsabilità, atti di nomina |
| Governance delle policy | Policy approvate e ciclo di riesame | Verbali di approvazione, storico revisioni |
| Supervisione direzionale | Reporting periodico e meccanismi di escalation | Dashboard governance, registri decisioni |
| Governance della formazione | Coinvolgimento degli organi su awareness e formazione | Piano formazione approvato, registri completamento |

Fonti: [Guida ACN lettura specifiche](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base), [Determinazione ACN obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)

## Checklist di esecuzione per i prossimi 90 giorni

1. Confermare chi, a livello organi ed executive, è owner degli obblighi di governance cyber.
2. Approvare o aggiornare il modello formale ruoli-responsabilità per la governance cyber.
3. Verificare che le policy chiave includano ownership, cadenza di riesame e criteri di escalation.
4. Attivare reporting ricorrente agli organi con tracking rischi e remediation.
5. Preparare un pacchetto evidenze sintetico per eventuali verifiche dell'autorità.

## FAQ

### L'articolo 23 riguarda solo i team tecnici di sicurezza?

No. L'articolo 23 è centrato sulla governance e riguarda responsabilità di organi direttivi e amministrativi. L'execution può essere delegata, ma la supervisione resta in capo alla governance. Fonte: [Decreto legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)

### Approvazioni policy e registri di riesame sono opzionali?

No. L'attuazione pratica richiede evidenze documentali di approvazioni e riesami periodici. I dettagli sono definiti nella documentazione ufficiale e nel materiale attuativo ACN. Fonti: [Determinazione ACN obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed), [Guida ACN lettura specifiche](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base)

### Quali documenti dovrebbe prioritizzare subito la governance?

In priorità: matrice ruoli governance, set policy cyber, evidenze di supervisione periodica e documentazione della governance formazione coerente con le specifiche di base ACN. Fonti: [Guida ACN lettura specifiche](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base), [Determinazione ACN obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)

Hai bisogno di consulenza governance esperta? Il servizio [Virtual CISO di Aegister](/it/solutions/virtual-ciso/) fornisce supporto dedicato per gli obblighi di governance NIS2.

### Guide correlate in questa serie

- [politiche di governance, ruoli e strutture di accountability](/it/cms/insights/nis2-governance-gv-policy-ruoli-responsabilita/)

## Letture correlate

- [Obblighi NIS2 di base in pratica: articolo master su governance, controlli e gestione incidenti](/it/cms/insights/nis2-obblighi-base-master-overview/)
- [Controlli NIS2 di Governance (GV): Policy, Ruoli e Modello di Responsabilità](/it/cms/insights/nis2-governance-gv-policy-ruoli-responsabilita/)
- [Architettura Normativa NIS2 e Modello Ruoli in Italia: Chi Risponde di Cosa](/it/cms/insights/nis2-architettura-normativa-ruoli-italia/)
- [Servizio Aegister NIS2 Compliance](/it/solutions/compliance/nis2/)
- [Servizio Aegister Virtual CISO](/it/solutions/virtual-ciso/)

## Fonti ufficiali

- [Gazzetta Ufficiale - Decreto legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)
- [ACN - Determinazione obblighi di base](https://www.acn.gov.it/portale/documents/d/guest/detacn_obblighi_2511-v3_signed)
- [ACN - Guida alla lettura delle specifiche di base](https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base)

Condividi questo articolo:

## Notizie Correlate

[![Architettura Normativa NIS2 e Modello Ruoli in Italia: Chi Risponde di Cosa](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-architettura-normativa-ruoli-italia/)

[Architettura Normativa NIS2 e Modello Ruoli in Italia: Chi Risponde di Cosa](/it/cms/insights/nis2-architettura-normativa-ruoli-italia/)

[Architettura normativa NIS2 italiana: decreto legislativo 138/2024, atti ACN di base e modello di accountability a tre livelli per governance, operazioni cyber e notifica incidenti.](/it/cms/insights/nis2-architettura-normativa-ruoli-italia/)

[NIS2](/it/cms/keyword/nis2/)
[ACN](/it/cms/keyword/acn/)
+8

[![Controlli NIS2 di Governance (GV): Policy, Ruoli e Modello di Responsabilità](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-governance-gv-policy-ruoli-responsabilita/)

[Controlli NIS2 di Governance (GV): Policy, Ruoli e Modello di Responsabilità](/it/cms/insights/nis2-governance-gv-policy-ruoli-responsabilita/)

[Il dominio Governance (GV) NIS2 definisce indirizzo cyber, accountability e supervisione. Guida pratica ai controlli GV: contesto, strategia rischio, ruoli, ciclo policy e governance supply chain.](/it/cms/insights/nis2-governance-gv-policy-ruoli-responsabilita/)

[NIS2](/it/cms/keyword/nis2/)
[ACN](/it/cms/keyword/acn/)
+9

[![Punto di Contatto NIS2 e Referente CSIRT: Accountability e Compiti Operativi](/static/images/cms/nis2-requisiti-di-base.webp)](/it/cms/insights/nis2-punto-contatto-referente-csirt-accountability/)

[Punto di Contatto NIS2 e Referente CSIRT: Accountability e Compiti Operativi](/it/cms/insights/nis2-punto-contatto-referente-csirt-accountability/)

[La guida NIS2 distingue il Punto di contatto legale dal referente CSIRT operativo. Guida pratica a formalizzazione ruoli, modello sostituzione, mappatura competenze ed evidenze audit-ready.](/it/cms/insights/nis2-punto-contatto-referente-csirt-accountability/)

[NIS2](/it/cms/keyword/nis2/)
[ACN](/it/cms/keyword/acn/)
+10

### Conformità NIS 2 con Aegister

Soluzioni complete per la conformità alla Direttiva NIS 2: consulenza esperta, implementazione e supporto continuo.

[Scopri NIS 2](/it/solutions/compliance/nis2/)