L’Agenzia per la Cybersicurezza Nazionale (Acn) adotta una specifica determinazione in materia di Nis 2 e guida le imprese e le pubbliche amministrazioni nel percorso di adeguamento operativo e nella definizione di una road map alla luce delle prossime scadenze.
L'Agenzia per la Cybersicurezza Nazionale (Acn) come previsto dall'articolo 22 del decreto attuativo della Nis 2 (decreto legislativo 4 settembre 2024,numero 138), ha stabilito con la determinazionenumero 164179 del 14 aprile 2025, in fase di prima applicazione della direttiva europea, le modalità e le specifiche di base per l'adempimento ai predetti obblighi. I contenuti e gli allegati tecnici alla determinazione a firma del direttore generale di Acn, Bruno Frattesi, sono il frutto del confronto con il Tavolo per l'attuazione della disciplina NIS e sono stati condivisi con le Autorità di settore e con le associazioni di categoria anche per mezzo dei tavoli settoriali di cui all'articolo 11, comma 4, lettera f), del decreto NIS. La determinazione è pubblicata sui siti web istituzionali dell'Agenzia per la Cybersicurezza Nazionale e delle Autorità di settore NIS e ne sarà data comunicazione per la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. La determinazione cita il «Framework Nazionale per la Cybersecurity e la Data Protection», edizione 2025 (Framework nazionale), realizzato dal Centro di ricerca di Cyber Intelligence and Information Security (CIS) della Sapienza Università di Roma e dal Cybersecurity National Lab del Consorzio interuniversitario nazionale per l'informatica (CINI). Il Framework, a differenza delle precedenti versioni, è stato aggiornato grazie alla preziosa collaborazione con l'Agenzia per la Cybersicurezza Nazionale (ACN) e costituisce lo strumento di supporto per le organizzazioni pubbliche e private in materia di strategie e processi volti alla sicurezza informatica: la bussola imprescindibile per le imprese e le pubbliche amministrazioni per l'adeguamento alle misure di scurezza richieste dalla Nis 2 e per effettuare i controlli richiesti per verificare il livello di sicurezza dell'organizzazione. Il Framework prevede uno schema che segue la progressione logica della difesa cibernetica: Govern (Governare), Identify (Identificare), Protect (Proteggere), Detect (Indagare), Respond (reagire), Recovery (Riparare) e costituisce un adattamento del Nist CFS v.2.0 con una parte nuova sul GDPR non previsto dal Nist. Il NIST Cybersecurity Framework (CSF) è un insieme di linee guida volontarie sviluppate dal National Institute of Standards and Technology (NIST) degli Stati Uniti utilizzato in tutte le organizzazioni del mondo per affrontare i rischi informatici in modo strutturato e con l'uso di metodologie standardizzate. La determinazione di Acn ha il pregio di definire le specifiche di base previste per l'adempimento degli obblighi derivanti dalla nuova normativa NIS 2 a carico degli organi di amministrazione (articolo 23 del Decreto 138 del 2024); in materia di misure di sicurezza informatica (articolo 24); in materia di notifica degli incidenti significativi (articolo 25). La determinazione è corredata da quattro allegati tecnici: nell'allegato 1 sono definite le misure di sicurezza per i soggetti importanti: si tratta di implementare 37 misure, declinate in 87 requisiti. I soggetti importanti ricomprendono i seguenti settori: servizi postali, gestione rifiuti, produzione chimica, alimentare, fabbricazione dispositivi medici, servizi digitali come motori di ricerca e piattaforme social, enti pubblici regionali L'allegato 2 definisce le misure di sicurezza per i soggetti essenziali che dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti. I soggetti essenziali ricomprendono i seguenti settori strategici: energia, trasporti, settore bancario, infrastrutture digitali critiche, pubblica amministrazione centrale, sanità, acqua potabile, infrastrutture di mercato finanziario, spazio, ecc. Il termine per l'adozione delle misure di sicurezza di base di cui agli allegati 1 e 2 è fissato, dall'articolo 3 della determinazione, in diciotto mesi dalla ricezione, da parte del soggetto NIS della comunicazione di inserimento nell'elenco dei soggetti NIS. Viene previsto che le misure di sicurezza di base e in materia di gestione dei rischi sono a carico degli organi di amministrazione e direttivi: il governo della sicurezza informatica non è, a differenza del passato, più delegabile: la Nis 2 rappresenta pertanto un salto di qualità e di livello della cybersecurity. Viene approfondito, pertanto, il profilo dei Ruoli, responsabilità e correlati poteri (GV.RR) nei sopra citati allegati e viene previsto che i ruoli, le responsabilità e i correlati poteri in materia di cybersecurity per promuovere l'accountability, la valutazione delle prestazioni e il miglioramento continuo sono stabiliti e comunicati. I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity devono essere definiti, comunicati, compresi e applicati. Viene richiesto di definire, approvare da parte degli organi di amministrazione e direttivi, e rendere note alle articolazioni competenti del soggetto NIS, l'organizzazione per la sicurezza informatica e di stabilire ruoli e responsabilità. Occorre mantenere un elenco aggiornato del personale dell'organizzazione avente specifici ruoli e responsabilità ed è reso noto alle articolazioni competenti del soggetto NIS. All'interno dell'organizzazione per la sicurezza informatica sono inclusi il punto di contatto, e almeno un suo sostituto, di cui alla determina adottata ai sensi dell'articolo 7, comma 6 del decreto NIS. 4. I ruoli e le responsabilità sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell'esposizione alle minacce e ai relativi rischi. La cybersecurity è inclusa nelle pratiche delle risorse umane. Viene previsto che per almeno i sistemi informativi e di rete rilevanti, il personale autorizzato ad accedervi sia individuato previa valutazione dell'esperienza, capacità e affidabilità e sia in grado di fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica. Gli amministratori di sistema dei sistemi informativi e di rete sono individuati previa valutazione dell'esperienza, capacità e affidabilità e devono fornire idonea garanzia del pieno rispetto della normativa in materia di sicurezza informatica. Nel rispetto delle politiche di cui alla misura GV.PO-01, sono adottate e documentate le relative procedure La politica di cybersecurity dell'organizzazione è definita, comunicata e applicata. La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata. Viene richiesto di adottare e documentate politiche di sicurezza informatica per almeno i seguenti ambiti: gestione del rischio; ruoli e responsabilità; affidabilità delle risorse umane; conformità e audit di sicurezza; gestione dei rischi per la sicurezza informatica della catena di approvvigionamento; gestione degli asset; gestione delle vulnerabilità; continuità operativa, ripristino in caso di disastro e gestione delle crisi; gestione dell'autenticazione, delle identità digitali e del controllo accessi; sicurezza fisica; formazione del personale e consapevolezza; l) sicurezza dei dati; sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete; protezione delle reti e delle comunicazioni; o) monitoraggio degli eventi di sicurezza; risposta agli incidenti e ripristino. Le sopracitate politiche sono approvate dagli organi di amministrazione e direttivi: la cybersecurity esce dal perimetro ICT ma investe l'intero board e cambia natura non è più solo sicurezza reattiva a incidenti e attacchi ma diventa proattiva. In caso di violazioni e di mancati adeguamenti alle misure Nis non scatta lo scudo difensivo dell'amministrazione ma rispondono in prima persona i singoli componenti del CDA. Il CDA e gli organi direttivi non possono delegare ma devono definire e comunicare la propria governance cybersecurity con l'indicazione di ruoli, responsabilità e correlati poteri relativi alla gestione del rischio di cyber security, road map e percorso di adeguamento Il Cda e gli organi direttivi devono approvare le misure di sicurezza, sovrintendere alla loro attuazione, seguire corsi di formazione obbligatoria e promuovere l'informazione e la formazione in materia di cybersecurity. Gli allegati tre e quattro definiscono le caratteristiche degli incidenti significativi per i soggetti importanti e per i soggetti essenziali e aiutano le imprese a comprendere i criteri per la classificazione degli incidenti. ACN ha inoltre, definito le tipologie di incidenti che i soggetti essenziali e importanti dovranno notificare a partire da gennaio 2026, con requisiti di monitoraggio più rigorosi per i soggetti essenziali (quattro tipologie di incidenti rispetto alle tre previste per i soggetti importanti) . Tra le tipologie di incidenti sono ricomprese la perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale, la perdita di integrità, con impatto verso l'esterno, di dati di sua proprietà o sui quali esercita il controllo, anche parziale, la violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività, sulla base dei livelli di servizio atteso (SL) stabiliti. Tali indicazioni sono molto utili e concrete anche se, sarebbe opportuno definire delle soglie oggettive e una specifica check list operativa in materia. Il termine per l'adempimento dell'obbligo di notifica degli incidenti significativi di base descritti negli allegati 3 e 4 è fissato in nove mesi dalla ricezione, da parte del soggetto NIS, della comunicazione di inserimento nell'elenco dei soggetti NIS. La determinazione in esame costituisce un tassello importante: l'inizio della seconda fase di applicazione Nis 2 nel nostro paese che costituisce un cambio di passo dell'adeguamento agli obblighi della Nis 2 finalizzata ad aumentare la resilienza delle nostre imprese e pubbliche amministrazioni e la sicurezza collettiva del paese. L'articolo 8 specifica che dalla determinazione non derivano nuovi o maggiori oneri a carico della finanza pubblica, anche ai sensi dell'articolo 12, comma 6, del decreto NIS: tale profilo costituisce il tallone di Achille dell'architettura della governance della cybersecurity nel nostro paese. La determinazione lancia una sfida complessa per le nostre imprese e pubbliche amministrazioni: proteggere le nostre imprese, servizi e posti di lavoro e tradurre i requisiti complessi indicati negli allegati in strumenti semplici, sostenibili e scalabili. Le amministrazioni devono attuare un primo assessment e un'attenta gap analisi fra le misure di sicurezza richieste dagli allegati Anc e quelle attualmente in essere, coinvolgere il CDA e gli organi direttivi nella definizione di una propria governance in materia di cybersecurity integrata con le altre funzioni strategiche aziendali con indicazioni di ruoli e responsabilità, approvare tramite il CDA e gli stessi organi direttivi un percorso di adeguamento Nis e un sistema di monitoraggio dello stato delle misure adottate, pianificare la formazione cybersecurity dei componenti del CDA e degli organi direttivi e dell'intero personale, aggiornare le policy di notifica delle segnalazioni degli incidenti significativi e prevedere l'integrazione con la notifica dei data breach da attivare nel caso di presenza di dati personali. Determinazione 164179 del Direttore Generale dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024,numero 138, adottata secondo le modalità di cui all'articolo 40, comma 5, lettera l), che, ai sensi dell'articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo.