Parlando di NIS2, tra i temi che generano maggiore apprensione nelle organizzazioni, c’è quello relativo all’attività ispettiva di ACN: quando avviene, come viene attivata e quali conseguenze comporta.

Le risposte fornite da Nicolò Rivetti di Val Cervo, Capo Divisione NIS di ACN, e da Aldo di Somma, Vice Capo della Divisione CSIRT Italia, durante il convegno ACN e Clusit del 3 dicembre 2025, mostrano un quadro più rassicurante del previsto.

L’ispezione non ha come obiettivo la ricerca dell’errore, ma si concentra su una valutazione della diligenza complessiva dell’organizzazione.

Il regime ispettivo: due modelli distinti

Il tipo di ispezione dipende dalla classificazione del soggetto NIS2.

Per i soggetti essenziali il regime è ex ante periodico: le verifiche sono programmate con cadenza regolare, analoghe a un audit ricorrente. Per i soggetti importanti, invece, il regime è ex post su sentore: ACN interviene quando emergono elementi che suggeriscono una potenziale violazione, come un incidente significativo o una segnalazione circostanziata.

Di Somma riassume così il meccanismo: «Il regime ispettivo per gli essenziali può essere anche ex ante, quindi periodico; invece, per gli importanti, qualora l’autorità abbia un sentore di potenziale violazione, può attivare l’attività ispettiva».

La distinzione segnala che non esiste un approccio unico, ma un modello calibrato sulla criticità del servizio erogato e sul rischio sistemico associato.

L’incidente grave come possibile trigger ispettivo

Un incidente particolarmente rilevante può attivare l’ispezione sia per essenziali sia per importanti. Rivetti chiarisce che una simile attivazione non nasce da un’intenzione punitiva, ma da un’esigenza di comprensione e prevenzione: «Un incidente particolarmente grave può potenzialmente determinare l’attività ispettiva per diversi fini: intanto per capire effettivamente cosa è successo ed evitare che si riproduca, perché un evento di questo genere potrebbe avere effetti sistemici».

L’ispezione, in questo caso, serve a ricostruire la dinamica dell’evento, valutare se le misure implementate siano state adeguate rispetto allo scenario e comprendere eventuali connessioni che potrebbero creare effetti “a catena” nel resto dell’ecosistema.

Il punto cruciale: essere vittima non significa essere in violazione

Uno dei messaggi più importanti che ACN ha voluto trasmettere riguarda la distinzione tra vulnerabilità e responsabilità. Subire un incidente non equivale di per sé a essere inadempienti.

Rivetti lo esprime chiaramente: «Essere vittima di un incidente non è per forza sintomo di una mancata implementazione di misure di sicurezza, perché di fatto sono una mitigazione del rischio».

Il ruolo delle misure di sicurezza non è quello di rendere impossibile un incidente – obiettivo irrealistico –, ma di ridurne la probabilità e l’impatto. Un’organizzazione diligente può comunque essere colpita da un attacco ben orchestrato. Quello che ACN valuta, dunque, non è l’infallibilità, ma la diligenza del soggetto nella gestione dei rischi.

La finestra temporale e la contestabilità prima del 31 ottobre 2026

Molte organizzazioni temono che un incidente grave possa esporle a contestazioni immediate, anche nel periodo in cui la NIS2 è in fase di prima applicazione.

Rivetti ha chiarito questo punto, ricordando che fino al 31 ottobre 2026 la scadenza per completare l’implementazione delle misure di base non è ancora maturata. «Essere vittima di un incidente non è per forza sintomo di una mancata implementazione di misure di sicurezza […] tra l’altro, in questa fase, ad oggi, l’obbligo formalmente – se andiamo a fare gli avvocati – fino al giorno prima del 10 ottobre uno potrebbe non aver fatto niente».

In altri termini, fino alla scadenza ufficiale non è possibile contestare la mancata implementazione delle misure. Dopo quella data, invece, l’assenza di misure obbligatorie diventa un elemento che ACN può valutare in sede ispettiva.

La notifica tempestiva come prova di diligenza

La tempestività nella notifica dell’incidente al CSIRT Italia è uno degli indicatori principali che ACN utilizza per valutare la buona fede e la capacità di gestione dell’organizzazione.

Di Somma ricorda che, «se è fatta tempestivamente, magari serve anche ad evitare che poi si sparga a macchia d’olio, perché siamo tutti interconnessi. Il fornitore che segnala prima che tutti i clienti siano stati abbattuti serve a evitare questi effetti».

Notificare significa proteggere sé stessi, ma anche contribuire alla sicurezza del sistema nel suo complesso. Un’azienda che ritarda o omette la notifica espone sé stessa a rischi maggiori, perché ACN potrebbe venire a conoscenza dell’incidente attraverso altre fonti, alterando significativamente la percezione della diligenza dell’organizzazione.

La responsabilità distribuita nei diversi livelli organizzativi

La NIS2 non attribuisce la responsabilità in maniera indistinta, ma, secondo un modello granulare che distingue tra livelli di governance, implementazione e comunicazione.

Il Consiglio di amministrazione risponde dell’approvazione dei piani e delle strategie di implementazione. Il CISO è responsabile della corretta messa in opera delle misure tecniche e organizzative. Il Referente CSIRT deve garantire la notifica nei tempi previsti. La direzione, infine, è responsabile degli obblighi informativi verso clienti e stakeholder.

Non esiste un automatismo per cui ogni responsabilità risale sempre al vertice. Ognuno risponde per il proprio ruolo e per le omissioni che gli competono.

L’ispezione non è una caccia all’errore

L’idea che l’ispezione sia un momento di “caccia alle streghe” non corrisponde alla visione espressa da Rivetti e Di Somma. L’ispezione è un momento di verifica, utile a comprendere se i processi sono adeguati e se la documentazione riflette scelte chiare e tracciate.

Un’organizzazione che ha lavorato con metodo, che ha documentato il proprio operato, che ha formato il personale e che ha notificato gli incidenti tempestivamente non ha ragione di temere l’ispezione.

La diligenza è la migliore difesa

Il messaggio finale di ACN è un invito alla serenità operativa: la diligenza è la migliore difesa. Un’organizzazione che affronta la compliance con continuità e trasparenza, pianifica con anticipo e adotta procedure chiare arriva all’ispezione con una posizione solida.

Chi invece rinvia, improvvisa o tenta di eludere gli obblighi si troverà in una posizione molto più fragile.

La NIS2 non richiede la perfezione, ma richiede serietà: diligenza, trasparenza e tracciabilità delle decisioni.