Novità NIS-2: misure di sicurezza e scadenza del 31 maggio

Col termine della prima fase attuativa del D.Lgs. 138/2024, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha raggiunto la definizione degli obblighi di base che le oltre 20.000 organizzazioni soggette al nuovo quadro normativo dovranno applicare. Con la Determinazione n. 164179 del 14 aprile 2025, firmata dal Direttore Generale Bruno Frattasi, sono state infatti stabilite le specifiche tecniche di base per il recepimento dei requisiti di governance, di adozione di misure per la sicurezza informatica, per la notifica di incidente e in materia di gestione dei sistemi di nomi di dominio.

Tali specifiche sono direttamente riferite al Framework Nazionale per la Cybersecurity e la Data Protection – Edizione 2025 (v2.1). Questo, è a sua volta ispirato al NIST Cybersecurity Framework (CSF) 2.0, che è stato tradotto e integrato con alcuni criteri specifici riguardanti il GDPR e le norme privacy europee. Il riferimento è particolarmente rilevante poiché il Framework, di per sé, non costituisce una norma (come la ISO/IEC 27001), ma presenta linee guida e metodologie progettate per essere utilizzate da organizzazioni di qualsiasi tipo e dimensione.

Gli allegati alla Determinazione 164179

Per facilitare la comprensione e l’applicazione delle nuove disposizioni in materia di cybersicurezza, la Determinazione 164179 dell’Agenzia per la Cybersicurezza Nazionale si completa con quattro allegati tecnici, fondamentali per guidare soggetti essenziali e importanti nell’adempimento degli obblighi previsti dal decreto NIS. Questi allegati rappresentano strumenti operativi utili a tradurre le prescrizioni normative in azioni concrete, e sono corredati da modelli Excel pensati per supportare in modo pratico la predisposizione delle misure richieste. È quindi essenziale prenderne visione con attenzione, e utilizzarli come riferimento per verificare la conformità alle misure di sicurezza minime e per la gestione degli incidenti significativi.

Gli allegati possono essere consultati integralmente ai seguenti link:

• Allegato 1: misure di sicurezza di base per i soggetti importanti – supportato da un file excel dedicato (Modalità e specifiche di base NIS soggetti importanti)
• Allegato 2: misure di sicurezza di base per i soggetti essenziali – anch’esso supportato da un file excel dedicato (Modalità e specifiche di base NIS soggetti essenziali)
• Allegato 3: modalità di notifica degli incidenti significativi di base per i soggetti importanti – contenente 3 fattispecie
• Allegato 4: modalità di notifica degli incidenti significativi di base per i soggetti essenziali – contenente 4 fattispecie

Le misure di sicurezza

Gli Excel a supporto degli Allegato 1 e 2 forniscono dei quadri completi delle misure di sicurezza informatica che i soggetti NIS importanti ed essenziali dovranno implementare. Può essere certamente utile comprendere la struttura dei documenti, che, come si anticipava, sfruttano l’approccio del Framework Nazionale per la Cybersecurity e Data Protection e organizzano le misure di base seguendo la suddivisione nelle 6 funzioni chiave:

• GV: Governance – introdotta nell’ultima versione del framework, per dare maggiore enfasi all’importanza della governance (aspetto centrale anche per gli adempimenti NIS 2)
• ID: Identificazione
• PR: Protezione
• DE: Rilevamento
• RS: Risposta
• RC: Recupero

Complessivamente, le macro-funzioni riflettono le azioni da applicare in una strategia di sicurezza completa, che tenga conto di ogni fase di prevenzione e gestione degli incidenti: prima, durante e dopo il loro verificarsi.

Ogni funzione è poi suddivisa in categorie e sottocategorie, andando a definire controlli specifici. Si noti che, a differenza di quanto previsto dal FNCDP (che fornisce delle linee guida generali, di supporto, non vincolanti né prescrittive – perché da adattare al contesto), gli allegati proposti dall’ACN per le esigenze della NIS-2 riportano anche requisiti specifici.

Esempio – Misura PR.AT-01 formazione del personale e consapevolezza
Il Framework suggerisce di sensibilizzare il personale promuovendo conoscenze e competenze idonee a svolgere compiti generali tenendo conto dei rischi di cybersecurity.
Le modalità per soddisfare questo requisito potrebbero essere varie.
Tuttavia, l’ACN ha stabilito come necessario:
– documentare un piano di formazione, comprendente anche le modalità di verifica,
– l’approvazione formale del piano da parte degli organi direttivi,
– un registro del personale formato, con riferimenti a contenuti e verifiche svolte.

Le fattispecie di incidenti significativi

Gli allegati 3 e 4 definiscono invece quattro casi che aiutano i soggetti NIS a valutare quando un incidente informatico debba essere considerato “significativo” e quindi notificato all’ACN.

Per i soggetti importanti, si applicano le prime tre fattispecie, che si possono riassumere in: incidenti che determinano la violazione della riservatezza (con esfiltrazione di dati); la violazione dell’integrità (con impatto verso l’esterno); la compromissione della disponibilità e della continuità dei servizi. Per i soggetti essenziali, si aggiungerà poi anche la casistica della violazione di riservatezza o abuso di privilegi rilevato da azioni di monitoraggio interne.

Attenzione: la presenza di una sola di queste fattispecie può far scattare l’obbligo di notifica. È quindi fondamentale che le organizzazioni abbiano già una procedura interna per valutare e classificare tempestivamente gli incidenti.

Tempistiche di implementazione e obblighi specifici

Come già anticipato nei nostri primi approfondimenti, si riconferma la struttura del decreto che prevede un’implementazione graduale degli obblighi. L’ultima determinazione si integra con le finestre temporali già indicate per i diversi adempimenti. Pertanto, a partire dalla ricezione della comunicazione di inserimento nell’elenco nazionale dei soggetti NIS (ricevuta via PEC nell’ultimo mese, aprile 2025), ci sono:

• 18 mesi (scadenza: ottobre 2026) per l’adozione delle misure di sicurezza di base (Allegati 1 e 2)
• 9 mesi (scadenza: gennaio 2026) per l’attivazione dei meccanismi di notifica degli incidenti significativi (Allegati 3 e 4)

[Ved. anche NIS2: Primi passi per l’adeguamento delle aziende in Italia]

La scadenza del 31 maggio

Occorre innanzitutto precisare che la scadenza del 31 maggio, comunicata dall’Autorità tramite PEC tra gennaio e febbraio, si riferisce a un adempimento diverso, ovvero l’obbligo di registrazione ed elencazione delle imprese NIS presso l’Autorità. È, sostanzialmente, il secondo step dell’attività già avviata tra gennaio e febbraio con il caricamento dei primi dati sulla piattaforma ACN.

La fonte più utile, in questo caso, è la Determinazione 136117, che all’articolo 15 spiega il processo che ogni soggetto NIS deve seguire dal 15 aprile al 31 maggio (di ogni anno). La procedura comprenderà: verifica e conferma, da parte del punto di contatto (e, se nominati, il sostituto del punto di contatto e la “segreteria”) tramite accesso alla piattaforma ACN, dei propri dati anagrafici e delle deleghe ricevute. Gli utenti dovranno verificare anche la correttezza e l’aggiornamento di informazioni chiave dell’organizzazione, tra cui dati anagrafici e di contatto, elenco dei componenti degli organi di amministrazione e direttivi, elenco dei servizi NIS, indirizzo IP pubblico e nomi di dominio utilizzati; elenco degli accordi di condivisione delle informazioni (vale a dire, quelle intese volontarie tra soggetti NIS e loro fornitori, che servono a scambiare rilevazioni di attività di intelligence per una cooperazione sulla difesa informatica).

Infine, per i soggetti esteri, in questa fase andrà anche designato o confermato il Rappresentante NIS in Italia, caricandone i dati e la delega nel modulo elettronico.

Consigli pratici per i soggetti NIS

In questa fase, per i soggetti confermati dall’Autorità come soggetti NIS e che hanno ricevuto la famosa PEC, è quindi ormai chiara la necessità di stabilire una strategia di adeguamento strutturata.

Ecco qualche consiglio pratico per approcciare i primi aspetti operativi:

• Attivare un archivio NIS ben organizzato, in cui conservare copia delle comunicazioni ACN, decisioni relative agli adempimenti e altra documentazione inerente
• Prendere consapevolezza (anche e soprattutto ai livelli direttivi dell’impresa) delle implicazioni della propria classificazione come soggetto “essenziale” o “importante”
• Scaricare e analizzare le tabelle fornite dall’ACN per individuare velocemente le misure e i requisiti applicabili alla propria categoria
• Avviare una gap analysis, confrontando le misure di sicurezza già in essere con quelle prescritte, per organizzare un piano di adeguamento che rispetti le scadenze
• Revisionare le procedure di gestione degli incidenti, per includere i requisiti di notifica al CSIRT Italia nei casi previsti dagli allegati 3 e 4 della Determinazione
• Stabilire un metodo, come uno scadenziario monitorato, per verificare periodicamente l’avanzamento delle attività di adeguamento, e per introdurre e mettere a sistema degli efficaci processi di raccolta e aggiornamento delle informazioni.

Queste prime attività, che supporteranno l’approccio basato sul rischio, richiedono già un approccio metodico, competenze trasversali e un’attenta pianificazione.

Il nostro Studio affianca le organizzazioni nel percorso di adeguamento alla normativa NIS, offrendo supporto operativo, consulenza strategica e formazione dedicata. Contattaci per una valutazione personalizzata e per definire insieme un piano di conformità solido ed efficace.