Art. 20 NIS 2 + §38 BSIG

RACI per NIS 2 in un'organizzazione di 60 persone

Ai sensi dell'Art. 20 NIS 2 l'organo di amministrazione è Accountable per legge per le misure di gestione del rischio. La RACI è il modo più economico per assicurarsi che tutti gli altri sappiano cosa ciò significhi nella pratica.

Simon OrzelSimon Orzel·

Perché una RACI per NIS 2

La maggior parte dei team Mittelstand salta la matrice RACI perché suona come teatro da consulenti. Sotto NIS 2 non è facoltativa nello spirito. L'Art. 20 NIS 2 pone l'Accountability sull'organo di amministrazione per nome; la matrice è solo il modo più economico per rendere leggibili al team Accountable, Responsible, Consulted e Informed.

Un'organizzazione di 60 persone non può permettersi un CISO, un DPO, un CCO, un responsabile legale e un responsabile IT come cinque persone diverse. Una persona tipicamente copre due o tre ruoli, e l'organo di amministrazione copre quelli a responsabilità direttamente personale. La RACI documenta come funziona questa consolidazione senza violare la direttiva.

La matrice conta soprattutto in due momenti: quando un nuovo dirigente entra e chiede chi è titolare di quale obbligo NIS 2, e quando il BSI richiede evidenze e devi dimostrare che qualcuno ha dato la sua approvazione.

Dove risiede l'obbligo
La direttiva indica il lato Accountable; la trasposizione aggiunge il dovere di formazione.

Art. 20(1) NIS 2 (responsabilità dell'organo di amministrazione)

Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article.

'Approvare' e 'sovrintendere' sono attività Accountable in termini RACI. L'organo di amministrazione detiene la A indipendentemente dal fatto che deleghi la R. La delega è consentita, l'abdicazione no.

§38 BSIG (formazione dell'organo di amministrazione)

Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.

La formazione è un obbligo proprio dell'organo di amministrazione, non delegabile. La RACI lo mostra come Responsible E Accountable sulla riga dell'organo di amministrazione.

Cinque ruoli centrali per 60 dipendenti
Insieme minimo vitale di ruoli. I soggetti più piccoli consolidano ulteriormente; quelli più grandi aggiungono specialisti.

Organo di amministrazione

CEO, Geschäftsführer, Vorstand. Accountable per legge per le misure dell'Art. 21. Responsible per la formazione dell'Art. 20, l'approvazione del budget, l'accettazione del rischio oltre la soglia concordata.

Responsabile IT o CISO

La maggior parte dei soggetti Mittelstand di 60 persone non ha un CISO; il responsabile IT fa anche da CISO. Responsible per l'attuazione tecnica delle misure, le operazioni quotidiane, la valutazione tecnica dei fornitori.

Responsabile della protezione dei dati (DPO)

Già presente per il GDPR. Sotto NIS 2 tipicamente è titolare del lato della notifica ai clienti (Art. 23(2) NIS 2) e della sovrapposizione delle violazioni con l'Art. 33 GDPR. Spesso a tempo parziale o esterno.

HR

Responsible per la formazione del personale ORP.3, i processi di accesso joiner/mover/leaver, il lato dei dati personali dei dipendenti nella gestione dei fornitori.

Compliance o legale

Spesso esternalizzato. Responsible per le clausole contrattuali con i fornitori ai sensi dell'Art. 21(2)(d), le notifiche ai destinatari ex Art. 23(2), la corrispondenza regolatoria con il BSI.

Matrice RACI: 10 obblighi NIS 2 × 5 ruoli
Leggi ogni riga: A è Accountable (qui si ferma il cerino), R è Responsible (svolge il lavoro), C è Consulted, I è Informed.
Matrice RACIOrgano di amministrazioneResponsabile IT o CISOResponsabile della protezione dei dati (DPO)HRCompliance o legale
Registrazione presso il BSI ai sensi del §33 BSIGARCIC
Policy di sicurezza delle informazioni ai sensi dell'Art. 21(2)(a)ARCCC
Gestione degli incidenti ai sensi dell'Art. 21(2)(b)ARCIC
Continuità operativa ai sensi dell'Art. 21(2)(c)ARICI
Sicurezza della catena di approvvigionamento ai sensi dell'Art. 21(2)(d)ACCIR
Formazione dell'organo di amministrazione ai sensi dell'Art. 20(2) + §38 BSIGA and RICCC
Formazione di sensibilizzazione per tutto il personale ai sensi dell'Art. 21(2)(g)ACCRI
Notifica degli incidenti ai sensi dell'Art. 23 + §32 BSIGARCIC
Notifica ai destinatari ai sensi dell'Art. 23(2) NIS 2ACRIC
Aggiornamento della registrazione ai sensi del §33(5) BSIG (termine di 2 settimane)ARICC
Accountable vs Responsible: la trappola più comune

La RACI fallisce quando i team trattano A e R come la stessa cosa. Ai sensi dell'Art. 20 NIS 2 l'organo di amministrazione detiene la A per legge. Non può delegare la A. Può e deve delegare la R, spesso al responsabile IT o al DPO, ma il cerino si ferma comunque all'organo di amministrazione.

Conseguenza pratica: quando un audit chiede 'chi ha approvato questa accettazione del rischio?', la risposta non può essere 'il responsabile IT'. Deve essere un membro dell'organo di amministrazione, per nome, con una data. Il responsabile IT esegue; l'organo di amministrazione firma.

Cosa cambia se la tua IT è esternalizzata

Un accordo con un MSP non sposta la A all'MSP. L'Art. 20 resta in capo al tuo organo di amministrazione. La responsabilità per l'esecuzione può risiedere presso l'MSP, ma solo all'interno di un contratto che definisce cosa fanno ai sensi dell'Art. 21(2)(d).

La matrice RACI acquisisce una sesta colonna: MSP esterno. Si collocano come R sulle righe tecniche, come Consulted sulle righe di policy. La colonna Accountable non lascia mai il tuo organo di amministrazione.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), Art. 20, Art. 21, Art. 23, www.eur-lex.europa.eu
  • Legge sull'Ufficio federale per la sicurezza nella tecnologia dell'informazione (BSIG), §32, §33, §38, www.gesetze-im-internet.de
  • BSI IT-Grundschutz ORP.3 (sensibilizzazione e formazione), www.bsi.bund.de
  • Cooperation Group Common Notification Templates (adottati il 26 maggio 2026) sui flussi di lavoro di segnalazione

Questa pagina fornisce orientamento strutturato basato su fonti pubblicamente disponibili (Direttiva NIS 2, BSIG, BSI IT-Grundschutz, modelli del Cooperation Group). Non costituisce consulenza legale ai sensi del §2 RDG. Per una progettazione RACI specifica nel tuo soggetto, consulta un consulente qualificato. Aggiornato al 2026-06-04.

Vuoi una RACI su misura per il tuo numero di dipendenti?
Accedi e la piattaforma produce una RACI di partenza basata sul tuo settore, sul numero di dipendenti e sugli obblighi che selezioni.