Diritto amministrativo

Mappare attività e servizi NIS2 nelle macro-aree ACN



La mappatura delle attività e dei servizi nelle macro-aree ACN è un passaggio tecnico-giuridico che ogni soggetto essenziale o importante deve completare nell’ambito della compliance NIS2. Per lo studio legale che assiste clienti obbligati, conoscere la struttura della categorizzazione ACN significa poter validare o contestare la correttezza degli adempimenti svolti. Un errore in questa fase compromette l’intero risk assessment e può esporre il cliente a sanzioni fino a 10 milioni di euro o al 2% del fatturato globale.

Punti chiave

  • Punto 1 — La mappatura ACN collega processi aziendali, sistemi ICT e funzioni alle macro-aree di rischio NIS2.
  • Punto 2 — Un livello di dettaglio errato rende il risk assessment inutilizzabile e invalida la compliance documentale.
  • Punto 3 — I soggetti essenziali rischiano sanzioni fino a 10 milioni di euro per adempimenti NIS2 difettosi.

Se assisti un cliente che rientra nell’ambito applicativo del d.lgs. 138/2024 — il decreto italiano di recepimento della Direttiva NIS2 — la mappatura delle attività e dei servizi nelle macro-aree ACN non è un dettaglio tecnico delegabile all’IT. È la base documentale su cui si regge l’intera gestione del rischio e, in caso di incidente o ispezione, il perimetro entro cui ACN valuterà la conformità degli adempimenti. Una mappatura mal costruita espone il cliente a contestazioni anche in assenza di violazioni sostanziali.

Agenda Digitale ha pubblicato un’analisi su come strutturare correttamente questa categorizzazione, collegando processi, sistemi ICT e funzioni aziendali alle macro-aree definite dall’Agenzia per la Cybersicurezza Nazionale. Il fulcro del metodo è calibrare il livello di granularità: né troppo generico né troppo atomistico. Leggi l’articolo originale su Agenda Digitale.

Il contesto normativo

Il d.lgs. 138/2024, che recepisce la Direttiva (UE) 2022/2555 (NIS2), impone ai soggetti essenziali e importanti l’adozione di misure di gestione del rischio proporzionate all’entità dell’esposizione (art. 24 d.lgs. 138/2024). Queste misure devono basarsi su un’analisi preliminare dell’ambiente operativo, che ACN ha strutturato attorno a macro-aree tematiche — reti, sistemi informativi, processi critici — alle quali ogni soggetto deve ricondurre le proprie attività. L’art. 38 del medesimo decreto prevede sanzioni amministrative fino a 10 milioni di euro per i soggetti essenziali e fino a 7 milioni per i soggetti importanti, o in alternativa fino al 2% e all’1,4% del fatturato annuo mondiale, se superiori. La responsabilità degli organi di amministrazione per mancata supervisione è disciplinata dall’art. 23 d.lgs. 138/2024, che introduce un obbligo di formazione e approvazione delle misure di sicurezza direttamente in capo al board.

Cosa cambia per lo studio

  1. Prima di redigere o revisionare qualsiasi policy di sicurezza per un cliente NIS2, verifica che esista una mappatura formale delle attività nelle macro-aree ACN: senza questo documento, ogni altra misura non è ancorabile a un perimetro difendibile.
  2. Nella due diligence su acquisizioni o fusioni che coinvolgono soggetti essenziali o importanti, includi la mappatura ACN tra i documenti da richiedere: la sua assenza o lacunosità è un risk factor con impatto diretto sulle rappresentazioni e garanzie.
  3. Se assisti il cliente in un procedimento sanzionatorio avviato da ACN, la mappatura è il documento su cui si misurerà la proporzionalità delle misure adottate ex art. 24 d.lgs. 138/2024: un’assenza o un’incompletezza grave riduce drasticamente lo spazio difensivo.
  4. Consiglia ai clienti di documentare il metodo di granularità adottato nella mappatura: ACN non prescrive un unico formato, ma la scelta deve essere motivata e coerente con la dimensione e la complessità operativa del soggetto.
  5. Tieni presente che la mappatura non è un adempimento una tantum: ogni variazione rilevante nei processi o nei sistemi ICT richiede un aggiornamento, con obbligo di tracciabilità delle versioni.

Attenzione a

Il rischio più comune è trattare la mappatura come un catalogo esaustivo di ogni singolo asset IT. Un elenco troppo atomistico diventa ingestibile e, soprattutto, non consente di condurre un risk assessment significativo: si mappa tutto e non si presidia nulla. ACN valuta la proporzionalità complessiva, non la quantità di voci elencate.

Un secondo errore frequente è separare completamente la mappatura dalla governance aziendale: se il documento viene prodotto solo dall’IT senza il coinvolgimento degli organi amministrativi, si viola l’obbligo di supervisione previsto dall’art. 23 d.lgs. 138/2024. In un procedimento sanzionatorio, questo disallineamento è uno degli elementi che ACN può contestare in modo autonomo rispetto alle carenze tecniche.

Guida pratica: come procedere

  1. Identifica il perimetro soggettivo del cliente
    Verifica se il cliente rientra tra i soggetti essenziali o importanti ai sensi del d.lgs. 138/2024, controllando il settore di attività e le soglie dimensionali previste dagli allegati al decreto. Questa classificazione determina l’entità delle sanzioni applicabili e il livello di misure richieste.
  2. Richiedi o verifica la mappatura delle attività esistente
    Chiedi al cliente di produrre la documentazione della mappatura nelle macro-aree ACN. Controlla che il documento indichi per ogni macro-area i processi aziendali, i sistemi ICT coinvolti e le funzioni operative correlate, con un livello di granularità motivato e coerente con la complessità aziendale.
  3. Verifica il coinvolgimento degli organi amministrativi
    Accerta che la mappatura sia stata approvata dal board e che esista traccia documentale della supervisione ex art. 23 d.lgs. 138/2024. L’approvazione deve risultare da verbali o delibere: la sola produzione tecnica da parte dell’IT non è sufficiente ai fini della compliance.
  4. Controlla la procedura di aggiornamento
    Verifica che il cliente abbia predisposto un meccanismo di revisione della mappatura al verificarsi di variazioni rilevanti nei processi o nei sistemi ICT. Documenta le versioni precedenti: in caso di ispezione ACN, la tracciabilità delle modifiche dimostra la continuità degli adempimenti.
  5. Collega la mappatura al risk assessment formale
    Assicurati che la mappatura sia il documento di partenza del risk assessment ex art. 24 d.lgs. 138/2024 e non un elaborato separato. Se i due documenti non si richiamano reciprocamente, l’intera struttura di compliance perde coerenza e diventa difficilmente difendibile in sede sanzionatoria.

Domande frequenti

Cos’è la mappatura nelle macro-aree ACN richiesta dalla NIS2?

È l’operazione con cui un soggetto essenziale o importante riconduce i propri processi aziendali, sistemi ICT e funzioni operative alle categorie tematiche definite dall’Agenzia per la Cybersicurezza Nazionale. Questa mappatura è la base obbligatoria per il risk assessment richiesto dall’art. 24 d.lgs. 138/2024 e deve essere documentata, motivata e aggiornata a ogni variazione rilevante.

Quali sanzioni rischia un’azienda se la mappatura NIS2 è assente o lacunosa?

Per i soggetti essenziali, l’art. 38 d.lgs. 138/2024 prevede sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale. Per i soggetti importanti il tetto scende a 7 milioni o all’1,4% del fatturato. Una mappatura assente o non collegata a misure concrete è contestabile indipendentemente dall’occorrenza di un incidente.

Chi è responsabile della mappatura NIS2 in azienda, l’IT o il board?

Entrambi, ma con ruoli distinti. L’IT produce la mappatura tecnica, ma l’art. 23 d.lgs. 138/2024 impone agli organi di amministrazione di approvare le misure di sicurezza e di formarsi adeguatamente. Una mappatura prodotta solo dall’IT, senza approvazione e tracciabilità da parte del board, configura una violazione autonoma dell’obbligo di supervisione.

Fonte di riferimento: AgendaDigitale

Articoli correlati

Avvisi correlati