top of page
  • Youtube
  • LinkedIn
  • Facebook

NIS 2

La Direttiva (UE) 2022/2555 (NIS 2) alza il livello minimo di cybersicurezza richiesto in tutta l’UE per proteggere servizi essenziali e settori critici, ampliando l’ambito rispetto alla NIS “storica” e rendendo più stringenti governance, misure tecniche/organizzative e obblighi di notifica. In Italia la NIS 2 è stata recepita con il D.Lgs. 4 settembre 2024, n. 138 (“decreto NIS”), che attribuisce all’ACN (Agenzia per la Cybersicurezza Nazionale) il ruolo centrale di autorità competente e definisce un percorso attuativo progressivo.

DOWNLOAD

Governance: la cybersicurezza diventa “materia da CDA”

Uno dei punti più rilevanti è che la NIS 2 porta la cybersicurezza nel perimetro della governance aziendale: gli organi di amministrazione e direttivi devono approvare le misure, supervisionare l’attuazione e possono essere chiamati a rispondere in caso di inadempimenti; inoltre è previsto l’obbligo di formazione per gli organi apicali. Il decreto NIS prevede anche un sistema sanzionatorio e poteri di vigilanza differenti tra soggetti essenziali e soggetti importanti.


Quali misure di sicurezza adottare (entro “ottobre 2026” in pratica)?

La regola del tempo: 18 mesi (non una data “uguale per tutti”)

Le misure di sicurezza di base vanno adottate entro 18 mesi dalla comunicazione di inserimento nell’elenco dei soggetti NIS; l’obbligo di notifica degli “incidenti significativi di base” decorre invece entro 9 mesi dalla stessa comunicazione. Per molte organizzazioni che hanno ricevuto la comunicazione nel 2025, i 18 mesi cadono indicativamente intorno a ottobre 2026 (ma la scadenza reale va calcolata sulla data della singola comunicazione).


Cosa devi implementare: “pacchetti” di controlli (Important vs Essential)

La Determinazione ACN 164179/2025 struttura le misure in allegati, distinguendo tra soggetti importanti (Allegato 1) e soggetti essenziali (Allegato 2). In modo semplice (ma tecnico), i blocchi principali coprono:

  • Organizzazione e ruoli di cybersecurity: definire una struttura formale, ruoli/responsabilità, punto di contatto e sostituto, con riesami periodici.

  • Politiche e gestione del rischio: policy documentate (risk management, asset, vulnerability, accessi, continuità, ecc.) approvate dal vertice e riesaminate.

  • Supply chain: gestione del rischio legato a fornitori e terze parti (requisiti, controlli, coordinamento).

  • Asset & identità: inventari, gestione identità/autenticazione e controllo accessi (logica “least privilege”).

  • Sicurezza dati e piattaforme: protezione dei dati, configurazioni sicure, gestione del ciclo di vita dei sistemi.

  • Monitoraggio e gestione incidenti: capacità di rilevare eventi, gestire e comunicare incidenti, ripristinare e migliorare.

Queste misure sono coerenti con quanto il decreto NIS richiede come misure di gestione del rischio, includendo incident handling, continuità operativa/DR, supply chain security, sicurezza acquisizione/sviluppo/manutenzione, ecc.


Incidenti “significativi di base”: quando scatta la notifica

Gli allegati ACN identificano come “incidenti significativi di base” (in sintesi) eventi in cui l’organizzazione ha evidenza di: perdita di riservatezza, perdita di integrità con impatto verso l’esterno, violazione dei livelli di servizio attesi, oppure accesso non autorizzato/abuso di privilegi su dati sotto controllo dell’organizzazione. Da qui discendono le procedure di notifica verso CSIRT Italia secondo i tempi previsti dal decreto e dalle specifiche.


Da dove iniziare?

Step 1 – Inquadramento e perimetro

Chiarisci se sei “soggetto NIS”, e se rientri come essenziale o importante; formalizza perimetro, servizi critici, sistemi rilevanti e responsabilità interne, allineandoti alla comunicazione ricevuta e agli obblighi del decreto NIS.

Step 2 – Governance e responsabilità

Nomina/struttura l’organizzazione di cybersecurity (ruoli, poteri, punto di contatto e sostituto), definisci il modello di supervisione del vertice e pianifica la formazione richiesta agli organi apicali.

Step 3 – Risk assessment e piano di trattamento

Esegui una valutazione dei rischi su servizi e asset rilevanti e costruisci un piano di trattamento che copra anche supply chain, continuità operativa, gestione vulnerabilità e sicurezza dei sistemi lungo il ciclo di vita.

Step 4 – Implementazione delle misure “ACN baseline”

Metti a terra le misure dell’Allegato 1 o 2 (policy, controlli tecnici e organizzativi, monitoraggio, risposta e recovery), creando evidenze verificabili (procedure, registri, audit trail) utili anche in caso di ispezione.

Step 5 – Incident management e readiness alla notifica

Disegna e prova il processo di gestione incidenti: criteri di classificazione (inclusi gli “incidenti significativi di base”), canali di escalation, comunicazioni interne/esterne, e test periodici (es. tabletop) per essere pronti entro i termini.

bottom of page