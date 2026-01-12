Nel quadro della direttiva NIS2, le organizzazioni manifestano preoccupazione riguardo all’attività ispettiva di ACN. Durante un convegno, Nicolò Rivetti e Aldo di Somma hanno chiarito che l’ispezione non mira a trovare errori, ma a valutare la diligenza complessiva dell’organizzazione. Il tipo di ispezione dipende dalla classificazione del soggetto NIS2: i soggetti essenziali sono soggetti a un regime ex ante periodico, mentre i soggetti importanti sono soggetti a un regime ex post su sentore.

Un incidente grave può attivare l’ispezione sia per essenziali sia per importanti. L’ispezione serve a comprendere cosa è successo e a prevenire che si ripeta. La distinzione tra vulnerabilità e responsabilità è cruciale: subire un incidente non equivale a essere inadempienti. Il ruolo delle misure di sicurezza è ridurre la probabilità e l’impatto degli incidenti, non renderli impossibili.

Fino al 31 ottobre 2026, le organizzazioni non possono essere contestate per la mancata implementazione delle misure di base. La notifica tempestiva dell’incidente al CSIRT Italia è un indicatore principale per valutare la buona fede e la capacità di gestione dell’organizzazione. La responsabilità è distribuita nei diversi livelli organizzativi, con ruoli e responsabilità distinti per il Consiglio di amministrazione, il CISO, il Referente CSIRT e la direzione.

L’ispezione non è una caccia all’errore, ma un momento di verifica per comprendere se i processi sono adeguati e se la documentazione riflette scelte chiare. Un’organizzazione che ha lavorato con metodo e ha notificato gli incidenti tempestivamente non ha ragione di temere l’ispezione. La diligenza è la migliore difesa: un’organizzazione che affronta la compliance con continuità e trasparenza arriva all’ispezione con una posizione solida.