Nella valutazione dei rischio nel  contesto NIS2, rischio residuo e accettazione del rischio residuo sono concetti chiave soprattutto dal punto di vista legale e di responsabilità del management. Proviamo a spiegarlo in modo chiaro ma rigoroso.

Cos’è il rischio residuo (NIS2)

È il rischio che rimane dopo che l’organizzazione ha:

• identificato le minacce (cyber, operative, supply chain, ecc.)
• valutato probabilità e impatto
• implementato misure tecniche e organizzative adeguate (art. 21 NIS2)

In altre parole:
– non è il rischio “non gestito”, ma il rischio che non può essere ulteriormente ridotto in modo ragionevole, tenuto conto di ragioni normative o tecniche , costi, fattibilità e stato dell’arte.

Accettazione del rischio residuo: cosa significa legalmente

Dal punto di vista giuridico, accettare il rischio residuo significa che: l’organizzazione prende atto consapevolmente dell’esistenza di un rischio e decide formalmente di convivere con esso, ritenendo le misure adottate sufficienti e proporzionate.

⚠  Punto fondamentale:  non è un atto tecnico, ma una decisione di governance.

Chi accetta il rischio secondo NIS2 ?

La NIS2 è molto esplicita:

• Organo di amministrazione / top management
• non solo CISO o IT

il management:

• approvi le misure di sicurezza
• sia responsabile della loro adeguatezza
• possa essere soggetto a responsabilità personale (sanzioni, sospensione temporanea)

– Quindi l’accettazione del rischio residuo deve essere consapevole, tracciabile e documentata a livello di direzione.

Dal punto di vista legale, l’accettazione del rischio è difendibile solo se:

1. Il rischio è stato valutato formalmente
2. Le misure adottate sono:
   • adeguate
   • proporzionate
   • allineate allo stato dell’arte
3. L’accettazione è:
   • documentata
   • motivata (costi sproporzionati, limiti tecnici, impatto sul servizio)
4. È previsto un riesame periodico

Se manca uno di questi elementi, non è vera accettazione del rischio, ma potenzialmente negligenza.