ACN: con le ultime Determinazioni del periodo natalizio l’impianto della NIS-2 entra a pieno regime

Introduzione

A ridosso del cenone della vigilia, l’Agenzia per la Cybersicurezza Nazionale (“ACN“) ha pubblicato due Determinazioni (che potete trovare qui, e) che completano il passaggio dall’assetto transitorio all’assetto ‘a regime consolidato‘ per i soggetti in perimetro NIS-2.

Ci sembra opportuno chiarire fin da subito che i nuovi provvedimenti intervengono principalmente per consolidare, sistematizzare e coordinare meglio processi e logiche già note, non introducendo nessun nuovo aggiornamento da inseguire sotto le pressione delle scadenze ravvicinate.

Per un’analisi più ampia del quadro di partenza della Direttiva NIS-2 possiamo richiamare un nostro precedente approfondimento, che ci permette così di inquadrare anche le due nuove Determine natalizie di ACN come la ‘messa a terra‘ di un percorso già tracciato.

Dichiarazione e aggiornamento sul Portale ACN: continuità del processo e maggiore stabilità

La Determinazione n. 379887/2025 (che aggiorna e sostituisce la n. 333017/2025) disciplina i Servizi NIS disponibili sul Portale ACN ed è applicabile dal 31.12.2025.

Come anticipato, mentre l’architettura già conosciuta (vale a dire censimento, associazione utenze personali, dichiarazione, registrazione e aggiornamento) è rimasta invariata, emergono alcuni ritocchi da considerare nella finestre annuali d’aggiornamento.

1. Innanzitutto è stata razionalizzata e coordinata, in modo più tecnico, la terminologia.
   • Viene ora adottata la denominazione “Servizio NIS/Dichiarazione” (mentre prima era “Servizio NIS/Registrazione”) peri riflettere più precisamente la natura giuridica dell’atto del Punto di Contatto, cioè una (auto-)dichiarazione ai sensi del D.P.R. n. 445/2000.
2. Il ritocco più significativo è l’introduzione di un meccanismo di ‘stabilizzazione‘ della dichiarazione. Decorso un termine di dieci giorni dalla conferma dell’inserimento dei dati sul Portale, la dichiarazione diventa definitiva e non più modificabile.
   • Viene confermato quanto già riportato in un nostro precedente contributo: i controlli su raccolta e inserimento delle informazioni rilevanti per la dichiarazione sul Portale ACN vanno organizzati, pianificando prima chi valida i dati e con quali verifiche.
3. Inoltre, la gestione della finestra annuale (dal 1° gennaio al 28 febbraio) per la dichiarazione sul Portale ACN è stata resa più facile e ordinata.
   • D’ora in avanti, infatti, i soggetti già qualificati l’anno scorso come essenziali o importanti troveranno sul Portale una bozza precompilata, solo da confermare. Resta fermo l’onere di verifica e controllo in capo al soggetto NIS-2 dichiarante.
4. Infine, tra le informazioni da verificare in sede di aggiornamento annuale entrano anche i dati del Referente CSIRT e dei suoi eventuali sostituti. Un assestamento inevitabile, dato che – come risultava anche nel nostro precedente articolo dedicato a tale figura – era già evidente che il Referente CSIRT fosse un ruolo destinato a restare.

Obblighi su misure minime di sicurezza e notifiche di incidenti significativi

La Determinazione n. 379907/2025, applicabile dal 15.01.2026, sostituisce la precedente ed importante Determinazione n. 164179 di aprile 2025.

Uno dei passaggi più significativi di questa nuova Determinazione è la previsione di una fase di chiusura ordinata dei termini transitori.

Tali termini transitori restano in vigore solo fino al 14.01.2026 e solo per quelle specifiche categorie, come i soggetti NIS-2 che già rientravano nel Perimetro di Sicurezza Nazionale Cibernetica (“PSNC-NIS“), gli operatori di servizi essenziali (c.d. “OSE“) e gli operatori telco.

Dal 15.01.2026 in poi si applica per tutti la stessa disciplina generale sui termini entro cui notificare gli incidenti significativi, mentre per tutte le altre misure organizzative e di governance, nonché per l’implementazione di tutte le altre soluzioni tecnologiche, ci sarà tempo fino a ottobre 2026.

I commentatori più attenti non hanno mancato di sottolineare come l’impostazione di questi due termini diversi (gennaio e ottobre 2026) rischi di portare con sé delle contraddizioni. Ciò in quanto le soluzioni di governance e tecnologiche su cui si dovrebbe basare il piano di risposta incidenti, al primo termine di scadenza, sono ancora in fase di progettazione, dovendo essere dimostrabili solo da ottobre 2026 in poi.

Dunque, l’approccio prudente e realistico, adottato anche nel nostro precedente articolo sul tema, consiglia di considerare l’obbligo di notifica vigente da gennaio 2026 come già di per sé implicante scelte di governance e quindi anche un livello minimo di misure già operative per rilevare e contrastare una minaccia. E ciò anche se il percorso di adeguamento complessivo non potrà ancora dirsi del tutto completato.

Allegati e “specifiche di base”: pochi scossoni, più pulizia tecnica

Sugli Allegati, contenenti le Misure di sicurezza di base, il segnale complessivo è di sostanziale continuità rispetto alla versione precedente che avevamo già analizzato nel nostro precedente articolo.

Non emergono nuove categorie di obblighi, ma piuttosto un maggior coordinamento redazionale, codici delle misure più precisi e migliorie lessicali per rendere le misure di sicurezza più allineate al lessico settoriale e, anche, alla terminologia della Tassonomia ACN.

In parallelo, l’ACN ha reso disponibili chiarimenti sintetici sulle principali modifiche alle specifiche di base, proprio per accompagnare il passaggio a regime.

Gli affinamenti più interessanti, tra quelli riassunti ed esplicitati da ACN stessa nella propria FAQ DSB.1 sono i seguenti:

• la misura sul trattamento dei rischi chiarisce che il piano riguarda il trattamento dei rischi per la sicurezza informatica;
• la verifica dei backup e l’installazione degli aggiornamenti di sicurezza vengono espressamente agganciate e guidate dagli esiti della valutazione dei rischi;
• la disciplina sulla gestione delle “crisi” perimetra il concetto alle sole crisi informatiche, limitando interpretazioni troppo estensive;
• la sistematica delle misure di base richiede di inserire nell’organigramma della sicurezza informatica anche il Referente CSIRT e il suo sostituto;
• le policy, le valutazioni e le decisioni adottate per l’adeguamento alla NIS-2 vanno condivise solo con le funzioni competenti, applicando in modo rigoroso il principio del “need to know” ed evitando “over sharing”;
• infine, la descrizione degli incidenti significativi chiarisce che la perdita di riservatezza, integrità o disponibilità (o la violazione dei livelli di servizio) rilevante per la NIS-2 riguarda soltanto i dati digitali, precisazione utile per mantenere il focus su ciò che rileva davvero.

Linee Guida NIS sul processo di gestione degli incidenti: ACN chiude il 2025 col botto

Il 31.12.2025 l’ACN pubblica le Linee Guida sulla “Definizione del processo di gestione degli incidenti di sicurezza”.

Il valore aggiunto, per chi sta costruendo o rifinendo un Incident Response Plan, è il collegamento esplicito con le misure di sicurezza di base appena aggiornate e rifinite dalla Determinazione citata nel paragrafo precedente.

Vediamo ora quali sono i passaggi e i contenuti più interessanti rispetto a quanto affrontato nei nostri precedenti articoli richiamati sopra, i quali però già riprendevano e anticipavano proprio il quadro che ACN a fine 2025 ha formalizzato e portato a regime.

Preparazione

La preparazione richiede inventario e classificazione della criticità degli asset, analisi preventiva delle potenziali minacce pertinenti e calate sul settore e, infine, la predisposizione di canali comunicativi alternativi, che funzionino anche quando i canali ordinari non funzionano. Se questo, la risposta diventa improvvisazione.

Rilevamento

Le Linee Guida distinguono tra un approccio reattivo, basato su allarmi e segnalazioni, e uno proattivo, vale a dire la ricerca attiva – nei log e in altre fonti – di indicatori di compromissione noti.

Ancora più raffinato e maturo è l’approccio che punta a identificare anomalie mediante analisi statistiche, machine learning e big data: pur potendo rilevare anche minacce sconosciute, è però più impegnativo da modellare e progettare, e ha maggiori rischi di falsi positivi.

ACN richiama inoltre l’esigenza di criteri oggettivi e soglie per qualificare gli eventi ‘rilevanti per la sicurezza’ come ‘incidenti di sicurezza’, per arrivare poi alla dichiarazione di “significatività” con un minimo di standardizzazione, perseguendo sempre una gestione attenta, matura e consapevole dei log e la capacità di ricostruire una timeline.

Segnalazione e notifica

Qui la notifica viene trattata come parte integrante del piano di risposta incidenti. Non solo un adempimento legale, ma una fase che deve essere prevista, esercitata e alimentata da template, verbali e modelli (per sapere quali dati investigare e quali informazioni dare ai superiori), da flussi decisionali chiari, con tempestiva informazione verso i livelli apicali quando l’incidente è significativo, per permette al top management di prendere decisioni critiche (come ad es. il blocco di sistemi di produzione) in modo informato e tempestivo.

Investigazione e contenimento

L’investigazione (per comprendere causa, estensione e impatto dell’incidente, nonché la sequenza degli eventi, la c.d. ‘cyber kill chain‘) e il contenimento (che deve prevedere chi può ordinare misure drastiche ed immediati, e chi le esegue) sono fasi che, come anche le altre, non devono per forza essere in sequenza lineare, ma possono essere iterative. Qualora, soprattutto in attacchi particolarmente complessi, al termine del contenimento, emergano ulteriori evidenze di compromissione, si rende necessario un ritorno alla fase di investigazione.

Eradicazione

L’eradicazione è la rimozione completa della presenza dell’attaccante, comprese persistenze e accessi residui (c.d. back door). ACN suggerisce in particolare, elementi come l’aggiornamento della timeline dell’attacco man mano che si scoprono nuovi dettagli (per migliorare e aggiornare reportistica interna e notifiche esterne), il monitoraggio delle reazioni dell’attaccante durante la bonifica e l’esecuzione di ulteriori scansioni per verificare che non rimangano malware nascosti.

Risoluzione e ripristino

Il ripristino richiede verifiche di integrità, gradualità nel rimettere online i sistemi, monitoraggio continuo (per individuare eventuali porte lasciate aperte o ricadute) e, soprattutto, documentazione completa delle azioni intraprese e delle loro motivazioni.

Miglioramento continuo

Il miglioramento continuo non è opzionale: le Linee Guida lo trattano come chiusura necessaria del ciclo. Dopo ogni incidente o esercitazione, è necessario convocare una riunione di lesson learned con tutti gli stakeholder coinvolti, prodromica anche alla relazione finale (o mensile) di chiusura da inviare al CSIRT entro 30 giorni dalla notifica completa (o mensilmente, ex art.25 co.5 lett.d ed e del D.Lgs. 138/2024).

È poi molto importante, per chiudere il cerchio e riagganciarsi alla fase di preparazione, sviluppare playbook (o Procedure Operative Standard – SOP) per gli scenari più probabili e impattanti.

Appendice B: la checklist che collega fasi e misure

L’Appendice B è particolarmente utile perché filtra in un’unica tabella, per ciascuna fase e sottofase, le misure di sicurezza di base rilevanti ai fini della gestione degli incidenti.

È uno strumento pratico per la gap analysis e l’implementazione degli Incident Response Plan, il cui obbligo di notifica, come detto, è già in vigore.

Come si diceva sopra, dunque, anche in ottica d’individuazione delle priorità, seppure i soggetti NIS-2 non siano ancora tenuti a dimostrare l’adeguata implementazione delle misure di sicurezza di base di cui agli Allegati 1 e 2, questa Appendice identifica le misure rilevanti per gli obblighi di notifica già vigenti.

Perciò le organizzazioni in perimetro NIS-2 non possono non compiere decisioni strategiche e di governance sulle misure di cui all’Appendice B delle ultime Linee Guida NIS dell’ACN, per raggiungere quel livello minimo di misure già operative per rilevare e contrastare una minaccia, come si diceva appunto sopra.

In conclusione

Letti insieme, i provvedimenti ACN di fine 2025 descrivono un passaggio fisiologico da una fase transitoria, ad regime il più ordinario possibile, superando alcune ambiguità in favore di una maggiore stabilità.

L’obbiettivo in questa fase non dovrebbe essere di ‘rincorrere una totale conformità a tutti gli ultimi aggiornamenti‘, quanto piuttosto quello di raggiungere un prudenziale e cautelativo livello minimo di misure tecniche e di tool operativi per la sicurezza e resilienza informatica, partendo da quanto necessario per il piano di gestione e risposta agli incidenti cyber.

Per poi passare a mappare, descrivere e formalizzare, soprattutto dal punto di vista organizzativo ruoli, flussi decisionali, modelli, template e tempistiche (o livelli di servizio attesi) verificabili mettendo a sistema e portando a regime l’impianto di governance della NIS-2, proprio come sta facendo ACN.

Il nostro Studio è dunque a disposizione per supportare soggetti NIS-2, importanti ed essenziali, nel progettare processi di compliance alla NIS-2 che siano sostenibili e che definiscano ruoli e responsabilità, rivedendo assieme policy, piani aziendali e contratti ICT, e strutturando un piano di gestione e risposta incidenti che sia coerente con operatività, continuità e valutazione dei rischi cyber dell’azienda.