L'Agenzia per la Cybersicurezza Nazionale (ACN) ha rilasciato la determinazione numero 164179, tracciando il sentiero tecnico per dare corpo al decreto NIS2.
Questa norma stabilisce obblighi e specifiche misure di sicurezza e di notifica degli incidenti per soggetti pubblici e privati considerati essenziali o importanti per la cybersicurezza nazionale, con l’obiettivo di mitigare rischi e incidenti informatici.
Con la sua entrata in vigore fissata per il 30 aprile 2025, la determinazione introduce scadenze modulate in base alla classificazione dei soggetti, distinguendo tra operatori essenziali e importanti, e prevede fasi di adattamento per specifici settori.
Specifiche NIS2: gli allegati tecnici
L'efficacia del documento risiede nei suoi quattro allegati tecnici, elementi costitutivi di un dettagliato manuale operativo destinato alle organizzazioni.
- Allegato 1: Misure di sicurezza di base per i soggetti importanti
- Allegato 2: Misure di sicurezza di base per i soggetti essenziali
- Allegato 3: Specifiche per gli incidenti significativi di base per i soggetti importanti
- Allegato 4: Specifiche per gli incidenti significativi di base per i soggetti essenziali.
Determinazione ACN: i 6 punti principali
La determinazione n. 164179 dell'Agenzia per la Cybersicurezza Nazionale (ACN) formalizza le specifiche tecniche attuative del decreto NIS2. L'analisi del documento evidenzia sei punti principali che definiscono i requisiti di sicurezza e le procedure di notifica degli incidenti.
1. Definizioni e ambiti di applicazione
La Determinazione definisce chiaramente i soggetti coinvolti: enti essenziali (es. operatori di servizi critici) e importanti (es. grandi operatori telco), oltre a gestori di registri di nomi di dominio. Include anche categorie specifiche come operatori di servizi essenziali (OSE) e soggetti PSNC-NIS, con focus su sistemi informatici e reti rilevanti la cui compromissione potrebbe avere impatti significativi.
2. Misure di sicurezza di base
Vengono adottate specifiche misure di sicurezza di base per la gestione dei rischi informatici, organizzate in allegati tecnici (1 per i soggetti importanti, 2 per quelli essenziali). Gli organi di amministrazione hanno 18 mesi dalla notifica di inserimento nell’elenco NIS per implementarle, basandosi sul “Framework Nazionale per la Cybersecurity 2025”, sviluppato con il supporto di Sapienza e CINI.
3. Gestione degli incidenti significativi
Per gli incidenti informatici rilevanti, le specifiche sono dettagliate negli allegati 3 (soggetti importanti) e 4 (essenziali), con un termine di 9 mesi per l’adempimento dell’obbligo di notifica. Per gli operatori telco, si considerano incidenti significativi casi come interruzioni superiori a un’ora con oltre il 15% degli utenti colpiti, scalando con durata e percentuale.
4. Sicurezza dei nomi di dominio
Gestori di registri e fornitori di servizi di registrazione devono adeguarsi entro 18 mesi alle norme dell’articolo 29 del decreto NIS, adottando politiche pubbliche di sicurezza approvate dai loro organi direttivi, in linea con le specifiche di base.
5. Regime transitorio
Per garantire continuità, gli operatori di servizi essenziali (OSE) e telco possono mantenere le misure preesistenti (rispettivamente dai decreti 2018, n. 65, e 2018 del Ministro dello Sviluppo Economico), integrandole con le nuove norme. La notifica degli incidenti segue gli allegati 3 e 4, con scadenze dalla data di entrata in vigore.
6. Aspetti procedurali e finanziari
La Determinazione è stata condivisa con le autorità di settore e associazioni durante il Tavolo NIS (ultima riunione il 10 aprile 2025) e sarà pubblicata sui siti istituzionali e nella Gazzetta Ufficiale. Non comporta nuovi oneri per la finanza pubblica, rispettando il decreto NIS.
Questa Determinazione segna un passo avanti nella protezione del Paese da cyberminacce, bilanciando esigenze di sicurezza e gradualità di adeguamento. Per dettagli, consulta i documenti ufficiali dell’ACN a partire dal 30 aprile 2025.
Cybersecurity: una visione strategica, non solo tecnica
Con la Determinazione del 14 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) introduce il principio per cui la sicurezza informatica non è più materia da delegare a figure tecniche. I vertici aziendali sono ora direttamente responsabili dell’adozione e supervisione delle misure di protezione digitale.
L’articolo 2, in attuazione del D.lgs. 138/2024, stabilisce l’obbligo giuridico personale dei vertici nella definizione dell’architettura di governance della sicurezza, con particolare enfasi sulla misura GV.RR-02, che impone un coinvolgimento attivo e consapevole nel governo della cybersecurity.
Le aziende devono quindi dotarsi di:
- Competenze specifiche in ambito cyber a livello manageriale
- Sistemi di controllo e monitoraggio efficaci
- Una governance integrata e documentata della sicurezza informatica.
Le aziende devono considerare la cybersicurezza elemento di visione strategica, di espressione della leadership aziendale e non un elemento esclusivamente tecnico.
Di Luca Bonora - CYBEROO Evangelist
