Con l’aggiornamento delle FAQ pubblicate dall’Agenzia per la Cybersicurezza Nazionale (ACN) in materia di notifica degli incidenti significativi al CSIRT Italia, il quadro applicativo della Direttiva (UE) 2022/2555 (NIS2) conosce un ulteriore momento di chiarificazione interpretativa.
L’intervento dell’Autorità assume particolare rilievo in quanto affronta una delle questioni più controverse nella prassi: la relazione tra esternalizzazione dei servizi ICT e titolarità dell’obbligo di notifica, chiarendo che tale obbligo non è trasferibile mediante outsourcing.
La NIS2 come disciplina di governance del rischio cyber
La Direttiva NIS2 si colloca in una prospettiva che supera la tradizionale impostazione tecnico-difensiva della sicurezza informatica, per adottare un modello fondato sulla responsabilità organizzativa e sulla governance del rischio.
L’obiettivo del legislatore europeo non è esclusivamente quello di prevenire o mitigare gli incidenti, ma di garantire che le entità essenziali e importanti siano in grado di:
- identificare tempestivamente eventi rilevanti;
- valutarne l’impatto;
- interagire in modo strutturato con le autorità competenti.
In questo contesto, l’assetto contrattuale o tecnologico adottato dall’impresa non incide sulla titolarità degli obblighi, che restano in capo al soggetto qualificato come entità NIS.
Il principio di non delegabilità dell’obbligo di notifica
Le FAQ ACN ribadiscono un principio fondamentale per cui l’obbligo di notifica degli incidenti significativi al CSIRT Italia permane in capo all’entità soggetta NIS2, anche in presenza di:
- esternalizzazione della gestione infrastrutturale;
- affidamento del monitoraggio a SOC o MSSP;
- utilizzo di servizi cloud.
Il fornitore può essere coinvolto nella fase di rilevazione e gestione tecnica dell’incidente, ma non assume automaticamente la posizione giuridica del soggetto obbligato alla notifica.
Tale impostazione è coerente con la logica di accountability che permea l’intero impianto della Direttiva.
Incidente riconducibile ai sistemi del cliente
Nel caso in cui l’incidente riguardi i sistemi del cliente soggetto NIS2, l’obbligo di notifica è integralmente in capo al cliente, indipendentemente dal supporto tecnico fornito da terzi.
L’eventuale coinvolgimento del fornitore non incide sulla titolarità dell’obbligo, ma esclusivamente sulle modalità operative di gestione dell’evento.
Incidente originato dal fornitore con impatto sul cliente
Qualora l’incidente abbia origine presso il fornitore e produca effetti sui servizi erogati al cliente soggetto NIS2, si configura uno scenario più complesso.
In tali casi:
- il fornitore soggetto NIS può essere tenuto a notificare l’incidente;
- il cliente deve autonomamente valutare se l’impatto subito integri i presupposti per una propria notifica.
Il profilo critico non risiede tanto nella possibile duplicazione delle notifiche, quanto nel rischio di disallineamento informativo, sintomatico di una governance inadeguata della relazione contrattuale.
Servizi cloud e modelli di controllo
Nel contesto dei servizi cloud, le FAQ ACN chiariscono che il criterio dirimente non è la qualificazione formale del servizio, bensì il grado di controllo effettivo esercitato sulle risorse.
Nei modelli in cui il cliente mantiene il controllo delle risorse (ad esempio IaaS), l’obbligo di notifica resta in capo a quest’ultimo.
In altri modelli, può configurarsi un obbligo concorrente, da valutare caso per caso.
La figura del Referente CSIRT quale strumento di governance operativa
Un ulteriore elemento di rilievo è rappresentato dalla valorizzazione della figura del Referente CSIRT, incaricato di:
- interfacciarsi operativamente con il CSIRT Italia;
- trasmettere le notifiche di incidente;
- gestire il flusso informativo durante l’evento.
Il Referente CSIRT può essere interno o esterno all’organizzazione, ma la sua nomina non determina un trasferimento della responsabilità giuridica, che resta in capo all’entità NIS.
Si tratta, dunque, di un presidio organizzativo e non di una delega sostanziale.
Implicazioni organizzative e contrattuali per le imprese
I chiarimenti ACN evidenziano come la compliance NIS2 non possa essere ridotta alla disponibilità di strumenti tecnologici o fornitori qualificati.
È necessario predisporre:
- processi decisionali interni strutturati;
- ruoli chiaramente definiti;
- meccanismi di valutazione tempestiva della significatività degli incidenti.
Nella gestione del rischio NIS2, un ruolo centrale è assunto dai contratti con i fornitori. In assenza di clausole che regolino elementi quali obblighi di segnalazione, tempistiche di comunicazione o cooperazione informativa, l’impresa rischia di non essere in grado di adempiere correttamente agli obblighi di notifica, pur non essendo responsabile dell’evento sotto il profilo tecnico.
Il principale rischio per le imprese non è esclusivamente quello sanzionatorio, ma quello di non riuscire a dimostrare un adeguato livello di controllo e coordinamento in sede di verifica da parte dell’Autorità competente.
Considerazioni conclusive
L’aggiornamento delle FAQ ACN contribuisce a chiarire un aspetto centrale dell’impianto NIS2:
la sicurezza informatica è una funzione di governo del rischio e non un’attività delegabile integralmente a terzi.
La gestione e la notifica degli incidenti diventano così un indicatore di maturità organizzativa, misurabile in termini di:
- chiarezza dei ruoli;
- integrazione tra funzioni tecniche, legali e di compliance;
- capacità di controllo della supply chain digitale.
In tale prospettiva, la compliance NIS2 si configura non come un adempimento formale, ma come componente strutturale della resilienza organizzativa dell’impresa.
