NIS2: ACN pubblica le misure di base per la sicurezza delle infrastrutture critiche

Il contesto normativo e l’importanza della determinazione

Il decreto NIS2, che recepisce la direttiva europea 2022/2555, ha ampliato significativamente il perimetro di applicazione rispetto alla precedente normativa, includendo nuovi settori e introducendo una distinzione tra soggetti “essenziali” e “importanti”.

Con questa determinazione, l’ACN fornisce finalmente chiarezza sulle misure concrete che questi soggetti dovranno adottare per garantire la sicurezza dei propri sistemi informativi.

La determinazione è stata sviluppata seguendo un processo di consultazione approfondito, che ha coinvolto le Autorità di settore e le associazioni di categoria attraverso il Tavolo per l’attuazione della disciplina NIS.

Il documento si basa sul “Framework Nazionale per la Cybersecurity e la Data Protection” (edizione 2025), realizzato dal Centro di ricerca CIS della Sapienza, dal Cybersecurity National Lab del CINI e dall’ACN stessa.

Gli allegati tecnici: il cuore della determinazione

Il documento si compone di quattro allegati tecnici che costituiscono il vero e proprio manuale operativo per le organizzazioni:

1. Allegato 1: Misure di sicurezza di base per i soggetti importanti.
2. Allegato 2: Misure di sicurezza di base per i soggetti essenziali.
3. Allegato 3: Specifiche per gli incidenti significativi di base per i soggetti importanti.
4. Allegato 4: Specifiche per gli incidenti significativi di base per i soggetti essenziali

Le misure sono organizzate secondo una struttura gerarchica di funzioni, categorie, sottocategorie e requisiti, in perfetta aderenza con l’approccio del Framework Nazionale, facilitando così l’integrazione nei modelli di governance già esistenti.

Tempistiche di implementazione e obblighi differenziati

La determinazione stabilisce con chiarezza le tempistiche per l’adeguamento, bilanciando l’esigenza di innalzare rapidamente il livello di sicurezza con la necessità di dare alle organizzazioni il tempo necessario per implementare correttamente le misure richieste:

• 18 mesi dalla comunicazione di inserimento nell’elenco dei soggetti NIS per l’adozione delle misure di sicurezza
• 9 mesi per attivare i meccanismi di notifica degli incidenti significativi

Questa differenziazione temporale è significativa: mentre le organizzazioni avranno un anno e mezzo per mettere a punto tutte le misure di sicurezza, dovranno essere in grado di notificare gli incidenti significativi in tempi più rapidi, riconoscendo l’importanza della condivisione tempestiva delle informazioni sugli attacchi per l’ecosistema di cybersicurezza nazionale.

Focus sui sistemi di nomi di dominio

Un’attenzione particolare è riservata ai gestori di registri dei nomi di dominio di primo livello e ai fornitori di servizi di registrazione dei nomi di dominio.

Per questi soggetti, la determinazione prevede specifici obblighi in materia di sicurezza, stabilità e resilienza del DNS, riconoscendo il ruolo cruciale di questa infrastruttura per il funzionamento di Internet.

Entro 18 mesi dalla notifica di inserimento nell’elenco dei soggetti NIS, questi operatori dovranno:

1. Adeguarsi alle previsioni dell’articolo 29 del decreto NIS.
2. Adottare e pubblicare politiche e procedure specifiche.
3. Implementare misure di sicurezza informatica coerenti con le specifiche dell’allegato

Regimi transitori per garantire la continuità

Uno degli aspetti più delicati della transizione al nuovo regime è la gestione del passaggio dalle normative precedenti (NIS1, Perimetro di Sicurezza Nazionale Cibernetica, obblighi specifici per gli operatori di telecomunicazioni) al decreto NIS2.

La determinazione affronta questo aspetto con disposizioni transitorie specifiche per diverse categorie di soggetti.

Operatori già sottoposti alla NIS1

Per gli ex operatori di servizi essenziali (OSE), la determinazione prevede:

1. Il mantenimento delle misure tecniche e organizzative già adottate ai sensi del D.Lgs. 65/2018.
2. L’obbligo di notifica degli incidenti significativi secondo l’allegato 3 o 4, a seconda della nuova classificazione.

Soggetti PSNC-NIS

Per i soggetti che rientrano sia nel Perimetro di Sicurezza Nazionale Cibernetica sia nel regime NIS2:

1. Gli obblighi di notifica degli incidenti significativi si applicano solo ai sistemi informativi e di rete non inclusi nel PSNC.
2. Il termine per l’adempimento decorre dalla data di entrata in vigore della determinazione.

Operatori di telecomunicazioni

Per gli operatori telco, la determinazione include:

1. Il mantenimento delle misure di sicurezza già adottate ai sensi del decreto ministeriale del 12 dicembre 2018.
2. Una dettagliata scala di gravità per la classificazione degli incidenti significativi, basata su durata e percentuale di utenti coinvolti.

Implicazioni pratiche per le organizzazioni

Per i soggetti che rientrano nell’ambito di applicazione del decreto NIS2, la pubblicazione di questa determinazione segna l’inizio di un percorso di adeguamento che richiederà un approccio strutturato:

1. Verifica della classificazione: Determinare se l’organizzazione è classificata come soggetto “essenziale” o “importante”
2. Analisi del gap: Confrontare le misure di sicurezza attualmente in essere con quelle richieste dall’allegato pertinente
3. Roadmap di implementazione: Sviluppare un piano di adeguamento che rispetti le tempistiche previste
4. Revisione dei protocolli di notifica: Aggiornare le procedure interne per garantire la tempestiva segnalazione degli incidenti significativi
5. Adeguamento della governance: Assicurare il coinvolgimento degli organi di amministrazione e direttivi, come esplicitamente richiesto dalla determinazione

Il ruolo cruciale degli organi direttivi

Un elemento da sottolineare è il focus posto dalla determinazione sul coinvolgimento degli organi di amministrazione e direttivi.

Questo aspetto riflette la crescente consapevolezza che la cyber sicurezza non può più essere considerata una questione meramente tecnica, ma deve essere integrata nella governance aziendale al più alto livello.

Verso un ecosistema digitale più resiliente

La determinazione dell’ACN rappresenta un tassello fondamentale nel puzzle della cyber sicurezza nazionale ed europea. Definendo con chiarezza le specifiche tecniche di base per l’adempimento agli obblighi del decreto NIS2, l’Agenzia ha fornito alle organizzazioni una bussola per orientarsi nel complesso panorama normativo.

L’approccio adottato, che bilancia rigore e gradualità nell’implementazione, e che tiene conto delle specificità dei diversi settori e delle diverse dimensioni dei soggetti, dimostra la volontà di costruire un sistema di cyber sicurezza efficace ma anche sostenibile per le organizzazioni.

La sfida ora passa alle aziende e alle pubbliche amministrazioni, che dovranno tradurre queste specifiche in misure concrete per proteggere sistemi e servizi essenziali per la nostra economia digitale.

Gli investimenti in cyber sicurezza non sono più rinviabili: la determinazione dell’ACN lo rende chiaro, offrendo al contempo una roadmap concreta per il percorso di adeguamento.