L'architettura attuativa NIS in Italia è definita dal decreto legislativo 138/2024 e dagli atti di implementazione ACN. Per i team di governance, il punto critico non è solo quali controlli applicare, ma quali funzioni interne sono responsabili sul piano legale e operativo per decisioni, evidenze, escalation incidenti e interazioni con l'Autorità.
Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Punti chiave
- Il decreto legislativo 138/2024 è la base giuridica primaria degli obblighi NIS in Italia.
- ACN, quale Autorità competente, definisce specifiche attuative nella fase di prima applicazione.
- Il modello operativo distingue responsabilità legale (organi e direzione), responsabilità esecutiva (organizzazione cyber) e responsabilità di reporting (catena incidente/notifica).
- I soggetti NIS sono classificati e gli obblighi sono calibrati da quadro normativo e specifiche attuative.
Fonti: Decreto legislativo 138/2024, Guida ACN lettura specifiche
Stack normativo in sintesi
| Livello | Funzione | Impatto governance |
|---|---|---|
| Decreto legislativo 138/2024 | Definisce obblighi, perimetro e modello autorità | Fissa accountability e doveri cogenti |
| Determinazioni ACN (fase baseline) | Definiscono modalità e specifiche di base | Traducono obblighi legali in controlli concreti e aspettative di notifica |
| Guide operative ACN | Supportano interpretazione e sequenza attuativa | Aiutano a costruire procedure auditabili |
Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Modello ruoli da implementare internamente
In base al testo normativo e al materiale attuativo ACN, l'organizzazione deve impostare almeno tre livelli di responsabilità.
1. Responsabilità strategica e di governance
Organi di amministrazione e direzione rispondono di supervisione e governo sugli obblighi NIS.
2. Responsabilità operativa di cybersecurity
Un'organizzazione cyber formalizzata deve mantenere ruoli, responsabilità, politiche ed evidenze, incluse revisioni periodiche.
3. Responsabilità di notifica e interfaccia esterna
La catena di segnalazione/notifica incidenti deve essere assegnata, documentata e resa operativa tramite ruoli e procedure verso CSIRT/canali autoritativi.
Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base, Guida ACN gestione incidenti
Perimetro e classificazione dei soggetti
Il framework distingue categorie di soggetti NIS e prevede specifiche di base differenziate. I programmi di governance dovrebbero mantenere una motivazione documentata della classificazione del soggetto e della mappatura obblighi → allegati applicabili.
I dettagli sono definiti nella documentazione normativa e ACN ufficiale.
Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base, ACN - Allegato 1, ACN - Allegato 2
Checklist governance per esecuzione immediata
- Confermare perimetro legale e classificazione del soggetto con motivazione documentata.
- Definire una matrice formale ruoli-responsabilità per governance, operation cyber e notifiche.
- Mappare ogni obbligo a owner, processo, controllo ed evidenza.
- Allineare approvazione e riesame politiche alle aspettative baseline.
- Definire una catena di reporting verso Autorità con percorsi di escalation testati.
FAQ
Il solo decreto è sufficiente per eseguire la conformità operativa?
No. Il decreto definisce il quadro legale; per l'esecuzione operativa servono atti implementativi ACN e specifiche di base. Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base
Quali ruoli devono essere formalizzati per primi?
Almeno ownership di governance, ruoli operativi cyber e catena di interfaccia/notifica incidenti secondo requisiti normativi e ACN applicabili. Fonti: Guida ACN lettura specifiche, Guida ACN gestione incidenti
Soggetti importanti ed essenziali seguono gli stessi allegati baseline?
No. Le specifiche di base sono differenziate per categoria soggetto in allegati dedicati. Fonti: ACN - Allegato 1, ACN - Allegato 2, ACN - Allegato 3, ACN - Allegato 4