Skip to main content
Sicurezza informatica

NIS2 Italia: ACN traccia la rotta con i nuovi obblighi di base – La guida essenziale per le aziende

By 28 Maggio 2025No Comments4 min read

Se il vostro lavoro naviga nelle acque del digitale, sapete bene quanto la cybersecurity sia diventata la bussola per non finire alla deriva

La Direttiva NIS2 è l’ultima grande mappa europea per rafforzare le difese, e l’Italia, tramite l’Agenzia per la cybersicurezza nazionale (ACN), ha iniziato a tracciare le rotte operative.

Con la determinazione n. 164179 del 14 aprile 2025, l’ACN ha messo nero su bianco una serie di obblighi “di base” che i cosiddetti “soggetti essenziali” e “soggetti importanti” dovranno adottare. Pensatela come la preparazione atletica fondamentale prima di una grande competizione: sono i passi iniziali, ma cruciali.

Cosa bolle in pentola? Gli obblighi di base svelati

La guida ACN, come dettagliato da Cybersecurity360.it, si articola in quattro allegati principali, che distinguono le misure per i soggetti “importanti” (37 misure di base, 87 requisiti operativi) da quelli “essenziali” (43 misure, 116 requisiti – sì, per loro l’asticella è un po’ più alta!). Il tutto si basa sul solido Framework nazionale per la cybersecurity e la data protection.

Occhio alle Scadenze! Le tempistiche sono chiare e non lasciano spazio a interpretazioni:

  • Entro 9 mesi dalla comunicazione di essere “soggetto NIS”: scatta l’obbligo di notificare gli incidenti significativi.
  • Entro 18 mesi: adozione completa di tutte le misure di sicurezza di base.

Ma attenzione, questo è solo l’antipasto! L’ACN ha già annunciato una seconda fase per aprile 2026, con misure più specifiche e a lungo termine, calibrate su criticità e settore. Il mantra? Proporzionalità.

I 10 Comandamenti della Sicurezza NIS2 (Versione ACN)

Il cuore tecnico di questi obblighi si snoda attraverso dieci ambiti fondamentali (previsti dall’articolo 24, comma 2 del D.lgs. 138/2024). Parliamo di:

  • Gestione del rischio (il punto di partenza!)
  • Sicurezza della supply chain (sempre più critica)
  • Gestione degli asset e delle vulnerabilità
  • Continuità operativa e disaster recovery (inclusi i backup, amici!)
  • Gestione degli accessi (sì, parliamo anche di MFA – Autenticazione Multifattoriale)
  • Gestione degli incidenti
  • E molto altro, toccando specifiche amministrative (policy, piani) e tecniche (aggiornamenti, cifratura).

Flessibilità, questa conosciuta: l’approccio basato sul rischio

Una delle parole chiave della NIS2, ben recepita da ACN, è flessibilità basata sul rischio. Non tutte le aziende sono uguali, né tutti i sistemi all’interno di un’azienda hanno la stessa criticità. Per questo, la guida ACN introduce delle “clausole di flessibilità” intelligenti:

  1. Sistemi Rilevanti: Alcune misure “pesanti” si applicano “per almeno i sistemi informativi di rete rilevanti”, quelli la cui compromissione avrebbe un impatto serio. Le aziende devono identificarli.
  2. Valutazione del Rischio Docet: Molti requisiti possono essere modulati “in accordo agli esiti della valutazione del rischio” interna. Questo permette di personalizzare la sicurezza.
  3. Eccezioni Motivate: Se ci sono “motivate e documentate ragioni normative o tecniche” (pensate a certi dispositivi medici o industriali), alcuni requisiti possono non essere applicati, accettando il rischio o adottando misure compensative.
  4. Forniture Critiche: Alcune misure si concentrano sulle “forniture con potenziali impatti sulla sicurezza”, che siano software, hardware o servizi.

Doppio binario? NIS2 ACN e Regolamento UE 2690/2024

Un punto importante per molte organizzazioni: come si incastrano questi obblighi ACN con il Regolamento UE 2690/2024, già in vigore e direttamente applicabile? Semplice (o quasi!):

  • Il Regolamento UE 2690/2024 è più stringente delle misure “di base” ACN.
  • Le misure ACN sono una baseline fondamentale, una sorta di preparazione comune, anche per chi deve rispettare il Regolamento 2690. Sono propedeutiche.

Ci sono differenze di profondità: il Regolamento UE, ad esempio, impone una Business Impact Analysis (BIA) molto strutturata, mentre ACN per ora si concentra su un piano di continuità operativa. Anche su temi come la gestione delle patch, l’MFA (obbligatoria e dettagliata nel Regolamento UE) o la classificazione degli incidenti, il Regolamento UE chiede un livello di formalizzazione e dettaglio superiore rispetto a questa prima fase ACN.

Cosa significa tutto questo per tutti noi?

La determinazione ACN sugli obblighi di base NIS2 è un passo concreto e fondamentale nell’attuazione della direttiva in Italia. Non è una semplice formalità, ma una vera e propria chiamata all’azione per rafforzare la postura di cybersecurity.

  • Primo: Conoscere e capire questi obblighi è essenziale.
  • Secondo: Le scadenze sono perentorie, quindi pianificare è d’obbligo.
  • Terzo: L’approccio basato sul rischio e le clausole di flessibilità sono un’opportunità per implementare una sicurezza efficace e proporzionata, non solo una “compliance da check-list”.

Noi di Globalmagazine insieme agli esperti di Globalsystem continueremo a seguire l’evoluzione della NIS2 e le indicazioni dell’ACN. Il percorso verso una maggiore resilienza cyber è una maratona, non uno sprint, ma questi primi passi sono quelli che definiscono il ritmo.

Tags:

Recommended For You

siracusapress.it Sicurezza informatica Rivoluzione cybersecurity per le Telco: svelato il nuovo database europeo a prova di NIS2

Rivoluzione cybersecurity per le Telco: svelato il nuovo database europeo a prova di NIS2

Redazione
Redazione15 Maggio 2025
siracusapress.it Sicurezza informatica Industria 4.0 e Cybersecurity: quando un hacker può fermare la produzione

Industria 4.0 e Cybersecurity: quando un hacker può fermare la produzione

Redazione
Redazione11 Marzo 2025
DORA e NIS2 Servizi per le impreseSicurezza informatica NIS2 e DORA: Come le aziende possono rafforzare la propria sicurezza digitale

NIS2 e DORA: Come le aziende possono rafforzare la propria sicurezza digitale

Redazione
Redazione8 Febbraio 2025