La NIS2 è ufficialmente entrata in vigore e tutte le aziende e organizzazioni coinvolte sono ormai attive sulle azioni necessarie alla compliance.
Ma non è finita qui. Infatti, se da un lato sono scaduti i termini per la ricezione della Direttiva e sono state pubblicate le liste di inclusione, dall’altro si continua a lavorare per rendere la Direttiva e le sue misure sempre più chiare, allo scopo di rafforzare la cybersecurity in UE.
NIS2: obblighi di base e misure di sicurezza
La determinazione ACN 164179 definisce gli obblighi di base per i soggetti che rientrano nel perimetro della Direttiva NIS2, specificando le misure di sicurezza tecniche e organizzative che devono adottare. Questi obblighi sono dettagliati in allegati specifici per i soggetti importanti e i soggetti essenziali.
Le specifiche di base relative alle misure di sicurezza informatica (art. 24 del decreto NIS) sono state esaminate dal Tavolo per l'attuazione della disciplina NIS il 10 aprile 2025. L'adozione di queste misure è prevista entro ottobre 2026 e il termine per l'adozione è fissato in diciotto mesi dalla ricezione della comunicazione di inclusione nell'elenco dei soggetti NIS.
Le misure sono differenziate per le due categorie di soggetti (vedi https://www.acn.gov.it/portale/nis/modalita-specifiche-base):
-
I soggetti importanti devono implementare 37 misure, declinate in 87 requisiti. Queste sono dettagliate nell'Allegato 1.
-
I soggetti essenziali devono adottare ulteriori 6 misure e 29 requisiti rispetto ai soggetti importanti, per un totale di 43 misure e 116 requisiti. Queste sono dettagliate nell'Allegato 2.
Le misure di sicurezza per soggetti essenziali e importanti: cosa devi sapere
Queste misure di sicurezza di base si basano sul Framework Nazionale per la Cybersecurity e la Data Protection versione 2.1, che è allineato con il Cybersecurity Framework del NIST versione 2.0 e prevedono un approccio è fortemente orientato alla gestione del rischio.
Le misure sono strutturate secondo le funzioni del Framework:
-
Governo (GOVERN)
-
Identificazione (IDENTIFY)
-
Protezione (PROTECT)
-
Rilevamento (DETECT)
-
Risposta (RESPOND)
-
Ripristino (RECOVER)
All'interno di queste funzioni, le misure si articolano in categorie e sottocategorie specifiche, che coprono vari ambiti (trattati approfonditamente qui).
Le misure o i requisiti specifici che si applicano ai soggetti essenziali, in aggiunta a quelli previsti per i soggetti importanti, sono le seguenti:
-
Affidabilità delle risorse umane. I soggetti essenziali devono definire a livello contrattuale gli obblighi in materia di sicurezza informatica, che permangono dopo la cessazione o la modifica del rapporto di lavoro dei dipendenti. Questo si aggiunge ai requisiti sulla valutazione di affidabilità e competenza del personale autorizzato e degli amministratori di sistema già previsti per i soggetti importanti.
-
Gestione dei rischi nella catena di approvvigionamento. Oltre a definire requisiti di sicurezza basati sulla valutazione del rischio come per i soggetti importanti, i soggetti essenziali devono considerare, nella definizione di tali requisiti per le forniture, una lista dettagliata di ambiti specifici, tra cui l'affidabilità dei fornitori, la sicurezza fisica, la gestione delle vulnerabilità, lo sviluppo sicuro, la manutenzione, la dismissione e la gestione dei subappalti.
-
Ruoli e responsabilità nella catena di approvvigionamento. L'elenco del personale con ruoli e responsabilità specifiche in materia di sicurezza deve includere anche l'eventuale personale di terze parti a cui sono assegnati tali ruoli.
-
Identificazione dei miglioramenti. Il piano di adeguamento basato sulle valutazioni deve seguire passaggi aggiuntivi nella sua definizione, attuazione, documentazione e approvazione.
-
Identificazione delle vulnerabilità. I soggetti essenziali devono eseguire periodicamente, e comunque prima della messa in esercizio, attività di identificazione delle vulnerabilità che includano almeno vulnerability assessment e/o penetration test, documentando i risultati in relazioni specifiche.
-
Valutazione del rischio. La valutazione del rischio deve essere condotta considerando almeno le minacce interne ed esterne, le vulnerabilità non risolte e gli impatti conseguenti ad eventuali incidenti. Questo definisce specifici elementi minimi da includere nella valutazione.
-
Gestione e divulgazione delle vulnerabilità. Oltre a monitorare i canali istituzionali (CSIRT, CERT, ISAC), i soggetti essenziali devono anche monitorare i canali dei fornitori del software ritenuto critico, per ottenere informazioni sulle vulnerabilità.
-
Formazione per ruoli specializzati: Viene introdotta una misura specifica che richiede una formazione dedicata al personale con ruoli che richiedono capacità e competenze specialistiche in sicurezza, come gli amministratori di sistema. Questa formazione deve coprire istruzioni per la configurazione/funzionamento sicuri, informazioni sulle minacce note e sul comportamento da tenere in caso di eventi di sicurezza.
-
Sicurezza dei backup. È richiesto di assicurare la riservatezza e l’integrità delle informazioni contenute nei backup (tramite protezione fisica o cifratura) e di verificare periodicamente l'utilizzabilità dei backup mediante test di ripristino.
-
Manutenzione software. La mancata implementazione degli aggiornamenti rilasciati dal produttore deve essere documentata e motivata, salvo ragioni normative o tecniche.
-
Resilienza dell'infrastruttura tecnologica. In base alla valutazione del rischio, è richiesto l'utilizzo di sistemi di comunicazione di emergenza protetti.
-
Monitoraggio continuo. Per i sistemi rilevanti, sono richiesti specifici strumenti di analisi e filtraggio del traffico in ingresso (inclusa email). È inoltre richiesto il monitoraggio specifico di accessi remoti, attività perimetrali, eventi amministrativi, accessi riusciti e falliti, definendo parametri per rilevare accessi non autorizzati o abusi di privilegi.
-
Comunicazione sul ripristino dagli incidenti. Devono essere definite procedure per comunicare le attività di ripristino alle parti interne interessate, a seguito di un incidente.
-jpg.jpeg?width=5294&height=2978&name=Monitoring-Cybersecurity%20NIS2%20(1)-jpg.jpeg)
Notificare gli incidenti significativi: cosa cambia da gennaio 2026
Oltre alle misure di sicurezza, la determinazione definisce anche il tipo di incidenti significativi che i soggetti devono notificare. a partire da da gennaio 2026. Anche qui, le indicazioni sono più stringenti per i soggetti essenziali:
-
per i soggetti importanti, sono definite tre fattispecie nell'Allegato 3. Queste includono la perdita di riservatezza o integrità di dati digitali verso l'esterno e la violazione dei livelli di servizio attesi (SL);
-
per i soggetti essenziali, sono definite quattro fattispecie nell'Allegato 4. Le prime tre sono analoghe a quelle per i soggetti importanti, ma la prescrizione per i soggetti essenziali integra anche l'evidenza di accesso non autorizzato o con abuso dei privilegi concessi.
Viene poi ulteriormente specificato e rafforzato un discreto numero di adempimenti formali, come documentazione e censimenti, che possono introdurre attività onerose da parte dei soggetti essenziali e importanti; gli obblighi nei confronti dei fornitori risultano estesi a qualunque gestione di servizi ICT, anche solo infragruppo.
Un altro requisito prevede, inoltre, di elencare i componenti degli organi di amministrazione e direttivi come persone fisiche responsabili.
NIS2: quali sono gli aspetti ancora poco chiari
Oltre quanto esposto sopra, tra le recenti determinazioni emanate dall'ACN, figura la Determinazione 136118/2025. Questa determinazione affronta in modo specifico il tema degli accordi di condivisione volontaria delle informazioni sulla sicurezza informatica, un aspetto menzionato dall'articolo 17 del Decreto Legislativo 138/2024 e previsto dall'articolo 29 della Direttiva NIS2.
L'attività di scambio volontario di informazioni tra pari, tipicamente all'interno di Information Sharing & Analysis Centre (ISACs), è generalmente considerata molto utile per migliorare la capacità di affrontare le minacce.
Tuttavia, questo scambio volontario rischia di trasformarsi in un onere per i soggetti, anche a causa di una formulazione "curiosa" nell'articolo 17 del decreto, che sembra concedere ai soggetti la possibilità di scambiarsi informazioni pertinenti, possibilità che era già presente e quindi questa specificazione risulta del tutto inutile; questo, all’interno di comunità di soggetti essenziali e importanti sotto adeguate cautele di riservatezza. Questa dizione sembra, inoltre, portare nel perimetro normativo anche gli accordi con i fornitori, che prevedono lo scambio di informazioni sugli incidenti, impattando di fatto sui contratti con i fornitori stessi. Cosa abbastanza diversa da quanto espresso nella Direttiva, che parla sostanzialmente di una facilitazione nello scambio di informazioni.
La parte più rilevante per i soggetti essenziali e importanti si trova nel comma 4 dell'articolo 17, coerente con l'articolo 29, comma 4 della Direttiva NIS2, che impone a tali soggetti di notificare all'ACN la loro partecipazione agli accordi di condivisione.
La Determinazione 136118/2025 fornisce le indicazioni sulle modalità di tale notifica. Inoltre, i soggetti devono mantenere aggiornati gli elenchi di tali accordi, notificando tempestivamente qualsiasi modifica (inclusa la sottoscrizione di nuovi accordi, la risoluzione, le variazioni del testo o dei partecipanti), e comunque entro quattordici giorni dalla data della modifica.
Questo requisito di aggiornamento rapido porterà presumibilmente i soggetti a includere accordi di scambio informazioni sugli incidenti tra di essi, e con i fornitori, solo dove strettamente necessario.
In conclusione, se da un lato le novità di queste ultime settimane hanno apportato molti chiarimenti, permangono dubbi e aree in cui è lecito prevedere che si avranno nuovi sviluppi e affinamenti dell’apparato normativo.
