Nel modello baseline NIS2, il dominio Governance (GV) definisce come i soggetti impostano l’indirizzo cyber, assegnano accountability e mantengono la supervisione. Per i team compliance, l’obiettivo pratico è un sistema che colleghi approvazione policy, strategia rischio, ownership dei ruoli e governance della supply chain a evidenze verificabili.
Fonti: Determinazione ACN obblighi di base, Decreto legislativo 138/2024
Punti chiave
- I controlli di governance sono fondativi e guidano tutte le altre aree di attuazione NIS.
- I controlli GV combinano contesto, strategia rischio, ruoli e poteri, ciclo di policy e governo supply chain.
- Organi direttivi e management sono chiamati ad approvare gli artefatti chiave e a riesaminarne gli esiti.
- La prontezza delle evidenze è obbligatoria: governance senza tracciabilità documentale non è difendibile.
Fonti: Determinazione ACN obblighi di base
Struttura GV da implementare
1. Contesto organizzativo (GV.OC)
Definire obiettivi, capacità e servizi critici che la governance deve proteggere. Questo ancora priorità e decisioni di rischio.
2. Strategia di gestione del rischio (GV.RM)
Impostare priorità e criteri di rischio e mantenere un processo periodico di riesame degli esiti.
3. Ruoli, responsabilità e poteri (GV.RR)
Attribuire formalmente ruoli cyber e diritti decisionali, includendo interazione con governance e percorsi di escalation.
4. Framework di policy (GV.PO)
Adottare set di policy per il rischio cyber, definire cadenza di riesame e garantire approvazioni e aggiornamenti periodici.
5. Governance della supply chain (GV.SC)
Integrare i rischi cyber dei fornitori nei processi procurement e contrattuali, con responsabilità definite e controlli documentati.
Fonti: Determinazione ACN obblighi di base
Artefatti di governance ed evidenze attese
| Elemento governance | Aspettativa minima | Evidenze tipiche |
|---|---|---|
| Modello di governance cyber | Modello formale di accountability | Matrice ruoli, charter di governance |
| Governance delle policy | Set policy approvato con ciclo di vita | Verbali approvazione, storico revisioni |
| Loop di risk governance | Riesame periodico ed esiti decisionali | Report governance, verbali riesame rischio |
| Governance supply chain | Controlli rischio fornitori integrati | Requisiti procurement, clausole contrattuali, log riesami |
| Comunicazione governance | Flusso decisionale verso operation | Procedure escalation, registri decisioni |
Fonti: Determinazione ACN obblighi di base
Checklist di rafforzamento governance (90 giorni)
- Confermare owner governance e autorità di approvazione per le decisioni cyber risk.
- Verificare copertura delle policy GV rispetto ai requisiti baseline e assegnare scadenze di riesame.
- Aggiornare mappa ruoli-responsabilità con diritti decisionali ed escalation esplicite.
- Integrare requisiti cybersecurity fornitori nella governance procurement.
- Consolidare le evidenze di governance in un registro pronto audit.
FAQ
I controlli GV sono solo requisiti documentali?
No. I controlli GV richiedono decisioni, accountability e attività ricorrenti di governo, supportate da evidenze. Fonte: Determinazione ACN obblighi di base
Chi deve approvare le policy di governance cyber?
Il framework baseline prevede approvazione a livello di governance per policy cyber principali e artefatti correlati. Fonti: Determinazione ACN obblighi di base, Decreto legislativo 138/2024
Come si collega GV ai controlli tecnici?
GV definisce perimetro, ownership e priorità rischio che guidano implementazione di identificazione, protezione, rilevamento, risposta e ripristino. Fonte: Determinazione ACN obblighi di base