Introduzione

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente aggiornato le FAQ sulla Direttiva NIS2, fornendo chiarimenti di particolare rilievo in tema di obbligo di notifica degli incidenti quando questi coinvolgono rapporti contrattuali tra soggetti rientranti nell’ambito di applicazione della normativa.

Le precisazioni fornite dall’Autorità eliminano interpretazioni errate circa la possibilità di “delegare” contrattualmente l’adempimento degli obblighi pubblicistici, ribadendo un principio fondamentale: la responsabilità della notifica permane sempre in capo al soggetto essenziale o importante.

Il principio fondamentale

L’ACN distingue in modo netto tra due piani:

Questa distinzione è cruciale per il rispetto delle tempistiche previste dalla NIS2:

Scenario 1: incidente sui sistemi del soggetto NIS con servizi esternalizzati

Quando un soggetto essenziale o importante si avvale di fornitori per servizi IT, sicurezza gestita o SOC, e l’incidente colpisce i suoi sistemi, l’obbligo di notifica rimane esclusivamente a suo carico.

Implicazioni contrattuali
I contratti devono prevedere che il fornitore sia vincolato a:

La mancanza di tali clausole può rendere impossibile adempiere agli obblighi nei termini previsti, con conseguente responsabilità amministrativa del soggetto NIS, nonostante l’outsourcing.

L’eventuale ritardo o incompletezza nella notifica non può essere giustificato adducendo l’affidamento della gestione a terzi: l’esternalizzazione è una scelta organizzativa interna, irrilevante ai fini degli obblighi pubblicistici.

Scenario 2: incidente presso il fornitore con impatto sul cliente

Quando l’incidente origina presso i sistemi del fornitore (anch’esso soggetto NIS) ma produce effetti sul cliente (parimenti soggetto NIS), si configura una duplicità dell’obbligo:

Questa configurazione richiede meccanismi di coordinamento preventivo per garantire:

Notifiche disallineate o contraddittorie possono essere interpretate dall’Autorità come indice di carenze nella governance, nei processi di incident response e nel coordinamento della supply chain security.

Scenario 3: servizi cloud e modelli di responsabilità

Regola generale: se sia il cliente sia il fornitore cloud sono soggetti NIS2, entrambi sono tenuti a notificare l’incidente significativo.

Eccezione – IaaS: nei servizi configurati come Infrastructure as a Service o hosting infrastrutturale, l’obbligo notificatorio grava esclusivamente sul cliente.

La distinzione si fonda sul modello di shared responsibility:

Implicazioni pratiche:

Gruppi societari: nessun consolidamento degli obblighi

L’ACN ribadisce che gli adempimenti NIS2, inclusa la registrazione e la notifica degli incidenti, devono essere effettuati da ciascuna persona giuridica rientrante nell’ambito applicativo, indipendentemente dall’appartenenza a un gruppo societario.

È possibile adottare una governance centralizzata e sistemi condivisi, ma la responsabilità amministrativa resta in capo alla singola legal entity colpita dall’incidente.

La non delegabilità dell’obbligo di notifica

L’obbligo pubblicistico di notificazione:

Eventuali clausole che attribuiscano al fornitore l’onere di notifica sono inefficaci nei confronti dell’Autorità.

La mancata, tardiva o incompleta notificazione espone a sanzioni pecuniarie, misure correttive, obblighi di comunicazione pubblica e responsabilità dirigenziale.

Raccomandazioni operative

Per garantire la conformità alla NIS2 è necessario:

L’adeguamento alla NIS2 richiede il superamento della logica dell’“outsourcing della responsabilità” a favore di una governance della catena di valore digitale, in cui l’esternalizzazione operativa è accompagnata da solidi presìdi contrattuali, procedurali e tecnologici.