Nei primi giorni di settembre, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha compiuto un passo decisivo per l’implementazione della direttiva NIS2 in Italia. Con la pubblicazione della “Guida alla lettura” relativa alle Specifiche di base, collegate alla precedente Determinazione n. 164179/2025, le aziende hanno ora un quadro più chiaro delle misure minime di sicurezza da adottare e delle modalità di notifica degli incidenti. Questo nuovo tassello accelera la corsa all’adeguamento, ponendo una responsabilità diretta e ineludibile sui vertici aziendali e fissando scadenze ormai prossime.
L’architettura delle misure: tra framework nazionale e standard internazionali
Le misure di sicurezza sono sviluppate in accordo al Framework nazionale per la Cybersecurity e la Data Protection (edizione 2025) e sono organizzate in funzioni, categorie, sottocategorie e requisiti. Questa struttura non è casuale: rappresenta un ponte tra la tradizione italiana di eccellenza nella cybersecurity e le migliori pratiche internazionali.
Il Framework, frutto di una collaborazione tra il Centro di Ricerca CIS di Sapienza Università di Roma ed il Laboratorio Nazionale di Cybersecurity del CINI, con il supporto dell’Agenzia per la Cybersicurezza Nazionale, allinea il suo core a quello del NIST CSF. È un esempio perfetto di come l’Italia stia costruendo la propria strada verso la resilienza digitale, attingendo dal meglio delle esperienze globali ma adattandole al nostro contesto specifico.
Le scadenze che segnano il ritmo del cambiamento
Il calendario della NIS2 è serrato e non ammette distrazioni!
Scadenze già passate ma fondamentali
- La prima registrazione dei soggetti NIS si è svolta dal 1° dicembre 2024 al 28 febbraio 2025.
- 30 aprile 2025: entrata in vigore ufficiale della Determina ACN 164179.
I prossimi appuntamenti cruciali
- Gennaio 2026: i soggetti importanti sono tenuti a notificare al CSIRT Italia gli incidenti significativi riportati nell’allegato 3 della determinazione ACN 164179.
- Ottobre 2026: entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS, i soggetti importanti sono tenuti ad adottare le misure di sicurezza riportate nell’allegato 1 della determinazione.
La rivoluzione della responsabilità: quando il board diventa garante
Qui arriviamo al cuore pulsante del cambiamento. La Direttiva NIS2 e il D.Lgs. 138/2024 impongono ai vertici aziendali una responsabilità diretta nella sicurezza informatica, con obblighi di diligenza e garanzia. La delega non esonera dalla vigilanza.
Pensate a cosa significa: non si può più delegare e dimenticare. L’Autorità nazionale competente NIS può disporre nei confronti degli organi di amministrazione l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto. È una responsabilità personale che può comportare conseguenze dirette sulla carriera dei manager.
L’ecosistema dei soggetti coinvolti: una rete di oltre 20.000 organizzazioni
Nel corso della riunione del 10 aprile è stato esaminato l’elenco dei soggetti NIS in cui sono individuate oltre 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali, sulla base delle informazioni condivise da oltre 30.000 realtà. Questi numeri raccontano la portata sistemica della trasformazione in atto.
I settori coinvolti sono numerosi e critici:
- 18 settori, di cui 11 altamente critici e 7 critici;
- dalla sanità ai trasporti, dall’energia alle telecomunicazioni, ogni tessera del mosaico nazionale deve trovare il suo posto nel nuovo quadro di sicurezza.
Cosa fare ora: tre azioni immediate e non procrastinabili
1. Confrontare e mappare
Il primo passo è un assessment onesto e dettagliato. L’analisi deve essere formalizzata, aggiornata periodicamente e integrata nei processi decisionali. Non si tratta di un esercizio burocratico, ma di capire dove siamo e dove dobbiamo arrivare.
Le organizzazioni devono:
- scaricare gli allegati della Determinazione ACN 164179/2025
- confrontare le proprie misure attuali con quelle richieste
- identificare i gap critici e definire le priorità di intervento
2. Formalizzare ruoli e responsabilità
La misura ID.AM-6 richiede la definizione di una struttura organizzativa per la cybersecurity, con l’individuazione di una struttura dedicata e la nomina di un referente per la cybersicurezza. Ma non basta nominare: serve costruire una catena di comando chiara dove ogni anello sa esattamente cosa deve fare.
Il punto di contatto NIS, figura centrale in questo nuovo assetto, deve essere designato e formato. Questa figura deve riferire direttamente al vertice aziendale e agli organi di amministrazione, facilitando il flusso di informazioni e coordinando le attività di cybersecurity.
3. Inserire NIS2 nel vendor risk management
La catena di fornitura diventa parte integrante della sicurezza. I soggetti NIS dovranno notificare gli accordi di condivisione delle informazioni sulla sicurezza informatica sottoscritti su base volontaria. Ogni fornitore, ogni partner, ogni anello della catena del valore deve essere valutato e monitorato.
Le sfide nascoste e le opportunità inattese
Dietro l’apparente rigidità normativa si nascondono opportunità straordinarie. Le organizzazioni che sapranno leggere queste linee guida non come vincoli ma come stimoli all’innovazione, scopriranno che la NIS2 può diventare un acceleratore di trasformazione digitale.
Pensiamo alla formazione: deve garantire che una formazione allargata e periodica in materia raggiunga anche tutta la platea dei dipendenti. Non è solo un obbligo, è l’occasione per creare una cultura della sicurezza diffusa, dove ogni collaboratore diventa sentinella attiva della resilienza aziendale.
