L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato un aggiornamento delle FAQ dedicate agli obblighi degli organi di amministrazione e direttivi dei soggetti NIS, introducendo nuovi chiarimenti interpretativi per agevolare l’applicazione della direttiva NIS 2 e rafforzare la governance della cybersicurezza.
L’aggiornamento interessa le FAQ ODA.8 e ODA.9, che sono state integrate, e introduce le nuove FAQ ODA.10, ODA.11 e ODA.12, con l’obiettivo di fornire indicazioni operative su alcuni aspetti chiave della disciplina.
Tra i principali chiarimenti, ACN ribadisce che l’approvazione dei documenti previsti dall’articolo 23 del decreto NIS rappresenta una competenza esclusiva dell’organo di amministrazione, collegiale o monocratico, e non può essere oggetto di delega. Rimane invece delegabile l’esecuzione delle attività necessarie all’attuazione operativa degli obblighi previsti dalla normativa.
La nuova FAQ ODA.10 specifica, inoltre, che i documenti da sottoporre all’approvazione degli organi di amministrazione devono definire gli indirizzi e la pianificazione strategica delle misure di sicurezza. La documentazione di carattere tecnico e operativo, quali procedure, istruzioni operative e manuali, può essere predisposta e aggiornata dalle strutture competenti senza necessità di approvazione da parte degli organi di governo.
Le FAQ ODA.11 e ODA.12 chiariscono come i soggetti NIS possono organizzare la documentazione secondo le modalità ritenute più idonee, sia attraverso un unico documento sia mediante un insieme di documenti tra loro coordinati. L’aggiornamento dei documenti tecnici e organizzativi richiamati nella documentazione strategica non comporta la necessità di una nuova approvazione di quest’ultima.
Con questo aggiornamento, ACN fornisce indicazioni utili per una più corretta applicazione della normativa NIS 2, contribuendo a definire con maggiore chiarezza responsabilità, competenze e modalità di gestione della documentazione nell’ambito della governance della cybersicurezza.





