La cybersicurezza entra nei cda. L’Authority: le decisioni strategiche non si possono delegare

2026/07/15

Categories: world-news

Faq aggiornate

L’Agenzia per la cybersicurezza aggiorna le Faq sulla direttiva Nis 2: ai consigli di amministrazione spetta l’approvazione delle strategie di sicurezza, mentre resta delegabile solo l’attuazione operativa

 (AdobeStock)

I punti chiave

La cybersicurezza sale fino ai vertici delle aziende. Con l’aggiornamento delle Faq sulla direttiva Nis 2, l’Agenzia per la cybersicurezza nazionale, diretta da Andrea Quacivi, chiarisce che gli organi di amministrazione societari non possono limitarsi a prendere atto delle scelte compiute dalle strutture tecniche. Le decisioni strategiche sulla sicurezza informatica spettano direttamente ai consigli di amministrazione o, dove previsto, agli organi monocratici. E non possono essere delegate.

Domande di approfondimento generate da 24Ore AI

Nis 2, l’approvazione spetta ai vertici aziendali

Il primo chiarimento riguarda i documenti previsti dall’articolo 23 del decreto Nis. La loro approvazione costituisce una competenza esclusiva dell’organo collegiale o dell’organo monocratico. Il passaggio è netto: il vertice aziendale deve assumersi direttamente la responsabilità delle scelte strategiche in materia di cybersicurezza. Non può trasferire questa funzione ad altre strutture, dirigenti o organismi interni. Resta invece delegabile l’attività necessaria a tradurre quelle decisioni in misure concrete e operative.

Strategia al cda, attuazione alle strutture tecniche

Le nuove Faq tracciano così una linea precisa tra governance e gestione. Agli organi di amministrazione spetta la definizione degli indirizzi e della pianificazione strategica delle misure di sicurezza. Procedure, istruzioni operative e manuali restano invece nella sfera delle strutture tecniche competenti, che possono predisporli e aggiornarli senza dover tornare ogni volta davanti al consiglio di amministrazione. La responsabilità strategica resta quindi al vertice. L’esecuzione operativa può essere affidata a chi gestisce quotidianamente la sicurezza informatica.

Un documento unico o più atti coordinati

L’Agenzia chiarisce anche che i soggetti Nis possono organizzare la documentazione secondo il modello ritenuto più adatto alla propria struttura. Le aziende potranno quindi scegliere se riunire indirizzi, misure e pianificazione in un unico documento oppure distribuire i contenuti in più atti coordinati tra loro. Non conta la forma utilizzata, ma la presenza di un sistema documentale coerente e capace di distinguere con chiarezza le decisioni strategiche dalle attività tecniche.

Gli aggiornamenti tecnici non tornano sempre in cda

Un ulteriore chiarimento riguarda le modifiche successive. L’aggiornamento dei documenti tecnici e organizzativi richiamati nella documentazione strategica non comporta automaticamente una nuova approvazione da parte degli organi di amministrazione.

>> Home