Governance, gestione del rischio e supply chain

Governance, gestione del rischio e supply chain al centro delle nuove disposizioni

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato nuove determinazioni attuative della direttiva NIS2, definendo un quadro più strutturato di obblighi per i soggetti essenziali e importanti, con impatti operativi rilevanti a partire dal 2026.

Categorizzazione dei servizi e nuovi obblighi di adeguamento

Tra le principali novità emerge l’avvio del processo di categorizzazione delle attività e dei servizi, che richiederà alle organizzazioni di mappare questi processi secondo specifiche macro-aree e attribuire un livello di rilevanza basato sull’impatto di eventuali compromissioni. Un passaggio fondamentale per orientare le priorità di sicurezza e rafforzare le strategie di gestione del rischio.

Le nuove disposizioni definiscono inoltre una roadmap progressiva per l’adeguamento agli obblighi previsti dalla direttiva NIS2:

• Adozione delle misure di sicurezza entro il 31 luglio 2027 per i soggetti inseriti nel perimetro NIS nel 2026
• Obbligo di notifica degli incidenti significativi a partire dal 1° gennaio 2027
• Utilizzo della piattaforma digitale ACN come punto unico per registrazione, aggiornamento annuale delle informazioni e comunicazione con l’Autorità competente

Contestualmente, viene rafforzato il ruolo della governance aziendale, con responsabilità dirette attribuite agli organi direttivi.

Focus su supply chain e gestione del rischio di terze parti

Particolare attenzione viene posta anche sulla supply chain e sulla gestione del rischio di terze parti (TPRM). Le organizzazioni dovranno censire i fornitori critici e strutturare processi di valutazione e monitoraggio più robusti, valorizzando eventuali programmi TPRM già presenti ai fini dell’adeguamento alla normativa.

Nel complesso, le nuove disposizioni introdotte da ACN spingono le organizzazioni verso un approccio alla cybersecurity più concreto e basato sul rischio, con impatti diretti su processi interni, fornitori e modelli di governance.

Vuoi preparare la tua organizzazione agli obblighi NIS2?

Scopri come i servizi di Cybersecurity di SEFIN possono supportare la tua azienda nel percorso di adeguamento normativo, nella gestione del rischio e nella protezione delle infrastrutture digitali.