NIS 2 e governo del rischio cyber: obblighi degli organi di amministrazione, assetti organizzativi, adempimenti pratici e piano di adeguamento.
Workshop organizzato da Paradigma S.p.A. - 21 Luglio 2026.
L’Avv. Alessandro del Ninno ha tenuto per Paradigma un workshop specialistico dedicato all’attuazione della disciplina NIS 2 e al suo impatto sulla governance societaria, sugli assetti organizzativi e sui processi di gestione del rischio cyber. L’incontro ha proposto una lettura rigorosa ma fortemente operativa del nuovo quadro normativo, evidenziando come la cybersicurezza non possa più essere considerata una materia confinata alle funzioni tecniche, ma debba essere integrata nei sistemi di amministrazione, controllo, compliance e gestione del rischio dell’impresa.
Il workshop ha approfondito il perimetro applicativo della NIS 2, la distinzione tra soggetti essenziali e soggetti importanti e, soprattutto, le responsabilità attribuite agli organi di amministrazione dal D.lgs. n. 138/2024. Una parte centrale dell’intervento è stata dedicata alle decisioni da sottoporre al Consiglio di Amministrazione: presa d’atto dell’inclusione nel perimetro NIS, approvazione del modello di governance, designazione dei ruoli chiave, adozione del piano di adeguamento, supervisione delle misure di gestione del rischio cyber, formazione degli organi e del personale, definizione dei flussi informativi e monitoraggio periodico dell’effettiva attuazione del sistema di compliance.
Ampio spazio è stato riservato alla costruzione della governance operativa NIS e alla corretta allocazione delle responsabilità tra organi amministrativi e direttivi, punto di contatto, sostituto, referente CSIRT, segreteria e operatori. L’Avv. Alessandro del Ninno ha illustrato come coordinare efficacemente le funzioni Legal, Compliance, IT, Cybersecurity, Risk, Procurement, HR e Internal Audit, al fine di predisporre una matrice delle responsabilità chiara, tracciabile e coerente con le esigenze di reporting verso il vertice aziendale.
L’intervento ha inoltre analizzato gli adempimenti nei confronti dell’Agenzia per la Cybersicurezza Nazionale, con particolare attenzione agli obblighi di aggiornamento delle informazioni, all’elencazione e categorizzazione delle attività e dei servizi, all’attribuzione delle categorie di rilevanza e alla conservazione delle evidenze poste a fondamento delle valutazioni effettuate. Il workshop ha mostrato come tali attività costituiscano il presupposto documentale e organizzativo per il successivo adeguamento alle misure di sicurezza e per una gestione difendibile dei rapporti con l’Autorità.
Particolare rilievo è stato attribuito al governo della catena di approvvigionamento e alla gestione dei fornitori rilevanti NIS. Sono stati esaminati i criteri per la loro individuazione, le informazioni da comunicare ad ACN, l’utilizzo dei codici CPV, la distinzione tra forniture ICT fungibili e infungibili e i casi più ricorrenti nella pratica, quali rapporti con rivenditori e intermediari, subfornitori, fornitori infragruppo, operatori esteri e soggetti diversi tra contraente formale e fornitore effettivo. L’analisi ha evidenziato le ricadute concrete su procurement, contratti, Business Impact Analysis, continuità operativa, sicurezza della supply chain e gestione del rischio da terze parti.
La parte conclusiva del workshop è stata dedicata alla preparazione agli obblighi in materia di sicurezza informatica e notifica degli incidenti, con focus sulla verifica dello stato di adeguamento dell’organizzazione, sull’aggiornamento delle policy e delle procedure interne, sulla definizione dei flussi di escalation e comunicazione, sul coinvolgimento tempestivo degli organi di amministrazione e sulla predisposizione delle evidenze necessarie in caso di controlli. L’incontro ha così fornito ai partecipanti una roadmap concreta per trasformare gli obblighi NIS 2 in un sistema di governance cyber strutturato, documentato e realmente integrato nei processi decisionali dell’impresa.
Programma del Workshop