L’Agenzia per la cybersicurezza nazionale approfondisce il percorso di adeguamento alla direttiva Nis in materia di cybersecurity: le misure di sicurezza, gli obblighi di notifica degli incidenti e gli obblighi a carico degli organi di amministrazione e direttivi.
L' Agenzia per la cybersicurezza nazionale, nell'ottica di supportare e accompagnare le imprese e le pubbliche amministrazioni nel percorso di adeguamento alla direttiva europea Nis 2, ha pubblicato delle linee guida sulle specifiche di base . Il documento in esame è prezioso perché indica ai soggetti essenziali e importanti che hanno ricevuto la comunicazione di inserimento nell'elenco nazionale dei soggetti Nis, come interpretare e applicare le specifiche di base previste dalla Determinazione di ACN n. 164179 del 14 aprile 2025. : ossia le misure di sicurezza da adottare previste nell'Allegato I (per i soggetti essenziali) e nell'Allegato II (per i soggetti importanti) e le tipologie di incidenti significativi da notificare a Csirt previste dall'Allegati III (per i soggetti essenziali) e dall'allegato IV per i soggetti importanti. Le linee guida, redatte con un apprezzabile approccio divulgativo, richiamano l'attenzione degli operatori sulle caratteristiche peculiari delle misure di sicurezza e rappresentano un utile riferimento per i soggetti NIS , chiamati a garantire la conformità agli articoli 23 (obblighi a carico degli organi di amministrazione e direttivi, articolo 24 (misure di gestione dei rischi) e 25 (obblighi di notifica degli indicenti) del decreto di attuazione della Nis ( D.Lgs. 4 settembre 2024, n. 138 ). Il documento contiene, oltre all'introduzione, due capitoli relativi rispettivamente a: misure di sicurezza di base: fornisce un quadro generale delle misure di sicurezza e della loro struttura, presenta l'approccio basato sul rischio secondo il quale sono state sviluppate le misure, esamina le tipologie di requisiti delle misure ed elenca le principali evidenze documentali richieste incidenti significativi di base: contiene un quadro generale degli incidenti significativi e della loro struttura e illustra i concetti di evidenza dell'incidente e di abuso dei privilegi concessi. Le linee guida sottolineano come le misure siano state sviluppate in accordo al Framework nazionale in materia di cybersecurity e siano organizzate in funzioni, categorie, sottocategorie e requisiti . Nello specifico, ogni misura è costituita da un codice identificativo, una descrizione e uno o più requisiti: il codice identificativo e la descrizione fanno riferimento alle sottocategorie del Framework nazionale, i requisiti indicano ciò che è richiesto ai fini dell'implementazione della misura. Nel complesso sono state definite 37 misure di sicurezza con 87 requisiti per i soggetti importanti e 43 misure di sicurezza con 116 requisiti per i soggetti essenziali . Sono stati definiti requisiti e misure di sicurezza aggiuntivi per i soggetti essenziali rispetto ai soggetti importanti, in considerazione di quanto indicato dall'articolo 31 del decreto NIS che prevede nello stabilire gli obblighi di tener conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico. Le linee guida specificano l' ambito di applicazione : le misure di sicurezza si applicano ai sistemi informativi e di rete che i soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi Viene poi approfondita la definizione di sistemi informativi e di rete rilevanti – ai sensi dell'articolo 1 della determina 164179/2025, indicati come i sistemi informativi e di rete la cui compromissione comporterebbe un impatto significativo sulla riservatezza, integrità e disponibilità delle attività e dei servizi per i quali il soggetto rientra nell'ambito di applicazione del decreto NIS. Al fine di facilitare la comprensione agli operatori, la guida riporta un esempio: per effetto di tale clausola, la verifica periodica mediante test di ripristino dell'utilizzabilità dei backup effettuati (misura prevista dal requisito 4 della misura PR.DS-11) potrà essere limitata ai soli sistemi informativi e di rete rilevanti. Le linee guida ci ricordano che, ai fini dell' individuazione dei sistemi informativi e di rete rilevanti , in accordo alla definizione presente nella determina, il soggetto: identifica le attività e i servizi per i quali rientra nell'ambito di applicazione del decreto (attività e servizi NIS); valuta l'impatto di una compromissione dei sistemi informativi e di rete, in termini di riservatezza, integrità e disponibilità, sulle attività e sui servizi NIS; individua quei sistemi informativi e di rete per i quali la valutazione di cui al punto 2 determina un impatto significativo. Si osserva, inoltre, che ai fini della valutazione dell'impatto, non è richiesto l'uso di una specifica metodologia , ogni soggetto potrà pertanto utilizzare quella maggiormente adatta al proprio contesto. Il documento approfondisce il profilo della tipologia dei requisiti : i requisiti indicano cosa deve fare un soggetto per essere conforme alle misure di sicurezza e possono essere distinti in due tipologie: requisiti organizzativi riguardano principalmente la gestione, l'organizzazione, la documentazione e il controllo di processi I requisiti organizzativi sono, ad esempio, quelli che richiedono l'adozione e l'approvazione di politiche o procedure, la definizione di processi o la redazione di documentazione; tecnologici : implicano l'adozione e l'utilizzo di strumenti tecnologici. I requisiti tecnologici sono, ad esempio, quelli che richiedono la cifratura dei dati, l'aggiornamento del software o l'impiego di modalità di autenticazione multifattoriale. In considerazione del fatto che si tratta di misure di sicurezza relative agli obblighi di base, i requisiti sono per la maggior parte di tipo organizzativo come, ad esempio, i requisiti della misura GV.RR-02 (definizione dell'organizzazione di sicurezza informatica e relativi ruoli e responsabilità) oppure della misura GV.PO-01 (adozione e documentazione di politiche di sicurezza informatica). Requisiti come, ad esempio, quelli della misura DE.CM-01 (monitoraggio di eventi potenzialmente avversi), sono invece di tipo tecnologico: richiesta di sistemi di rilevamento delle intrusioni e di strumenti di analisi e filtraggio del traffico in ingresso. Tra gli elementi più importanti delle linee guida spicca la parte sulle evidenze documentali : per attestare l'effettiva implementazione. Il soggetto, infatti, deve mantenere documentazione chiara e aggiornata. A seguire sono riportati i principali documenti richiesti (in corsivo quelli relativi ai soli soggetti essenziali) raggruppati per tipologie: elenchi : personale dell'organizzazione di sicurezza informatica , configurazioni di riferimento, sistemi ai quali è possibile accedere da remoto; • inventari: apparati fisici, servizi, sistemi e applicazioni software , flussi di rete , servizi erogati dai fornitori, fornitori; piani : gestione dei rischi, business continuity e disaster recovery, trattamento dei rischi, gestione delle vulnerabilità, adeguamento, valutazione dell'efficacia delle misure di gestione del rischio , formazione in materia di sicurezza informatica, risposta agli incidenti; politiche di sicurezza informatica : per almeno i requisiti riportati nella tabella 1 in appendice all'Allegato 1, per i soggetti importanti, e all'allegato 2, per i soggetti essenziali, della determina 164179/2025; procedure: in relazione agli specifici requisiti per i quali sono richieste; registri : esiti del riesame delle politiche, attività formazione dei dipendenti, manutenzioni effettuate. In base al proprio contesto, il soggetto può decidere come organizzare la propria documentazione la richiesta da una specifica misura, ad esempio raggruppando i contenuti in un unico documento o distribuendoli tra più documenti. In base al proprio contesto, il soggetto può decidere come organizzare la propria documentazione la richiesta da una specifica misura, ad esempio raggruppando i contenuti in un unico documento o distribuendoli tra più documenti. Il documento approfondisce, nella specifica Appendice C, il profilo dei documenti che devono essere approvati in ambito NIS dagli organi di amministrazione e dagli organi direttivi . I documenti ricomprendono: Organizzazione per la sicurezza informatica; politiche di sicurezza informatica; la valutazione del rischio posto alla sicurezza dei sistemi informativi e di rete, il p ano di trattamento del rischio; il Piano di gestione del rischio; il piano di gestione delle vulnerabilità; il piano di adeguamento; il piano di continuità operativa; il piano di ripristino in caso di disastro, il piano di gestione della crisi; il piano di formazione e il piano per la gestione degli incidenti di sicurezza informatica. Le linee guida approfondiscono infine il profilo della procedura di notifica degli incidenti significativi . Ai fini dell'adempimento dell'obbligo di notifica degli incidenti, risulta fondamentale che il soggetto abbia evidenza del verificarsi di una delle tipologie di incidente previste, ossia ne sia venuto a conoscenza. Con evidenza dell'incidente si intende, infatti, che il soggetto dispone di elementi oggettivi dai quali si evince che si è verificato un incidente di sicurezza informatica. L'evidenza di un incidente viene generalmente acquisita tramite: analisi di segnalazioni fatte da attori esterni al soggetto, come ad esempio quelle effettuate dal CSIRT Italia; analisi di segnalazioni fatte da attori interni al soggetto, come ad esempio quelle di un utente che riporta un malfunzionamento al servizio di help desk; analisi degli eventi di sicurezza rilevati dai sistemi di monitoraggio. Dal momento in cui le aziende acquisiscono evidenza oggettiva di un incidente, occorre attivarsi per inviare al CSIRT Italia entro 24 ore la prenotifica ed entro le 72 ore la notifica completa. Il documento in esame rappresenta un prezioso strumento per aiutare i soggetti essenziali e importanti a garantire la conformità alle disposizioni del decreto legislativo 4 settembre 2004, n. 138, che rappresenta un passo cruciale nella protezione del sistema produttivo nazionale e le pubbliche amministrazioni. Il documento in esame sarà pertanto uno strumento operativo per l'adeguamento Nis 2 e per le prime prossime scadenze: gennaio 2026 per gli adempimenti di base in materia di notifica di incidente; settembre 2026, per la completa implementazione delle misure di sicurezza di base e per l'adozione di modelli di categorizzazione delle attività e dei servizi che saranno definiti da ACN e a seguire da ottobre 2026, l'implementazione degli obblighi a lungo termine.