norppa.io
Guide

Guida NIS2 · 7 min

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

NIS2 fa qualcosa che le precedenti regole di cybersicurezza in gran parte non facevano: mette la cybersicurezza esplicitamente sul tavolo dell'organo di gestione. La dirigenza deve approvare le misure di gestione dei rischi, vigilare su di esse e può essere ritenuta personalmente responsabile in caso di carenze. Questa guida spiega cosa la direttiva si aspetta da consiglio e vertici, le domande da porre al tuo team di sicurezza, com'è un buon reporting e quanto costa sbagliare.

Punti chiave

  • Gli organi di gestione devono approvare e vigilare sulle misure di gestione dei rischi cyber — e possono essere ritenuti responsabili delle carenze (art. 20).
  • La dirigenza deve seguire una formazione sulla cybersicurezza; l'obbligo non può essere delegato del tutto all'IT.
  • Le sanzioni raggiungono 10 mln € o il 2% del fatturato mondiale per i soggetti essenziali, 7 mln € o l'1,4% per quelli importanti (art. 34).
  • Il consiglio dovrebbe attendersi un reporting conciso e basato su evidenze — copertura, rapidità di remediation e rischio aperto — non una garanzia annuale.

La dirigenza è nominata e responsabile

Ai sensi dell'articolo 20, l'organo di gestione di un soggetto essenziale o importante deve approvare le misure di gestione dei rischi cyber del soggetto e vigilare sulla loro attuazione. Non è una formalità delegabile: la direttiva rende la dirigenza responsabile del fatto che le misure siano davvero in atto e funzionino.

È fondamentale che i membri degli organi di gestione possano essere ritenuti responsabili delle violazioni del soggetto. Questa responsabilità è iscritta nella direttiva stessa; la sua forma concreta dipende dal recepimento nazionale. La cybersicurezza è quindi una questione di governance, non solo IT — rientra nell'ordine del giorno del consiglio accanto al rischio finanziario e legale.

I quattro doveri di un organo di gestione

In pratica, le aspettative di governance della direttiva si riducono a quattro cose che la dirigenza deve fare:

  • Approvare le misure — validare le misure di gestione dei rischi (la base dell'art. 21) con sufficiente comprensione di ciò che approvi.
  • Vigilare sull'attuazione — assicurare che le misure siano effettivamente adottate ed efficaci nel tempo, con reporting periodico al consiglio.
  • Seguire la formazione — i membri devono seguire una formazione sulla cybersicurezza per identificare i rischi e valutare l'adeguatezza delle misure (art. 20(2)); una formazione analoga va offerta al personale.
  • Essere responsabile — assumersi il risultato. La responsabilità per le carenze ricade sull'organo di gestione e le autorità di controllo possono agire direttamente sulla dirigenza.

Domande da porre al tuo team di sicurezza

Non serve essere un ingegnere della sicurezza per esercitare la vigilanza. Un consiglio può assolvere gran parte del proprio dovere ponendo le domande giuste e pretendendo risposte basate su evidenze:

Rientriamo nell'ambito come soggetto essenziale o importante — e quali nostri clienti lo sono, trasferendoci obblighi tramite contratto?
Abbiamo in atto le misure dell'art. 21, e quando sono state esaminate e approvate l'ultima volta da questo organo?
Possiamo rispettare i termini di notifica di 24/72 ore se un incidente — anche presso un fornitore — colpisce i nostri servizi?
Come gestiamo il rischio cyber di fornitori e terze parti, e come lo dimostreremmo in un controllo di vigilanza?
Quali sono ora i nostri principali rischi aperti, e chi è responsabile della remediation ed entro quando?

Com'è un buon reporting al consiglio

La vigilanza ha bisogno di un segnale, non di un allegato di 60 pagine. Una linea di reporting NIS2 utile al consiglio è breve, comparabile nel tempo e basata su evidenze:

Copertura

Quale quota di fornitori e asset nell'ambito è effettivamente monitorata — le sorprese arrivano dalle lacune.

Rapidità di remediation

Tempo medio per risolvere i rilievi critici e alti — la tendenza conta più di qualsiasi singolo numero.

Rischio aperto

I rilievi critici/alti attuali e i rischi documentati e accettati — NIS2 si aspetta rischio gestito, non zero rilievi.

Prontezza agli incidenti

I termini di notifica possono essere rispettati, e sono stati provati, anche per incidenti causati da fornitori?

Quanto costa sbagliare — e riuscire

Le sanzioni ai sensi dell'articolo 34 raggiungono fino a 10 milioni € o il 2% del fatturato annuo mondiale totale (il maggiore dei due) per i soggetti essenziali, e fino a 7 milioni € o l'1,4% per quelli importanti. Le autorità di controllo possono inoltre emettere istruzioni vincolanti, ordinare la divulgazione degli incidenti e — per i soggetti essenziali — sospendere temporaneamente funzioni dirigenziali. Per la dirigenza, l'esposizione reputazionale e la responsabilità personale possono pesare più della sanzione stessa.

Fatto bene, si tratta spesso meno di nuova spesa che di riutilizzare controlli esistenti: le misure dell'art. 21 si sovrappongono ampiamente a controlli che molte organizzazioni già gestiscono (ISO 27001, continuità operativa, controllo degli accessi). Lo spostamento imposto da NIS2 va dalla garanzia puntuale a una gestione continua e basata su evidenze — il che rende anche il reporting di vigilanza davvero informativo anziché formale.

Fonte: Direttiva (UE) 2022/2555 (NIS2), articoli 20 e 34 — consulta la tua legge nazionale di recepimento per le esatte disposizioni su responsabilità e formazione nel tuo Paese.

Come aiuta norppa.io

norppa.io trasforma il rischio cyber di fornitori e terze parti nel tipo di evidenza che un consiglio può davvero usare: un punteggio di rischio chiaro per fornitore, rilievi mappati agli articoli NIS2 e un report direzionale mensile pensato per la dirigenza e non per gli ingegneri.

Copertura, storico della remediation e rischio aperto sono visibili a colpo d'occhio, con la pista di audit completa esportabile — così la dirigenza può dimostrare una vigilanza attiva, e la stessa evidenza risponde alle domande di un'autorità di controllo.

Dai al tuo consiglio evidenze, non affermazioni

Guarda il report fornitore direzionale — punteggio di rischio, mappatura NIS2 ed evidenze — in due minuti.

Vedi report di esempio

Guide correlate

NIS2 e il requisito della supply chain — cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

NIS2 Art. 21(2) — checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il tuo obbligo.

ISO 27001 e NIS2: cosa copre già il tuo SGSI — e le lacune che restano

Se hai la ISO 27001: cosa si riporta su NIS2 e cosa no — notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua — e come colmare la lacuna.