Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

aggiornamenti

Il nuovo Framework nazionale per la cybersecurity è la linea guida per la compliance NIS2

Home Norme e adeguamenti
Indirizzo copiato

La versione 2025 del Framework Nazionale per la Cybersecurity e la Data Protection e la determinazione dell’ACN rappresentano due passi fondamentali che definiscono con chiarezza le specifiche tecniche di base per l’adempimento agli obblighi del decreto NIS2, che le organizzazioni in perimetro dovranno adottare obbligatoriamente nei prossimi mesi. Ecco cosa cambia nel FNCDP v2.1

Pubblicato il 16 apr 2025
Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Direttivo CLUSIT

La Direttiva NIS 2 guadagna la versione 2.1 del framework nazionale per la cyber security e la Data protection

In questi giorni è stata pubblicata la versione 2.1 del Framework Nazionale per la Cybersecurity e la Data Protection – Edizione 2025 (FNCDP v2.1).

Si tratta di una pubblicazione molto importante anche per la Direttiva NIS 2, perché questo framework diventa lo strumento indicato da ACN (Agenzia per la Cybersicurezza Nazionale) per l’adeguamento alle misure di sicurezza prescritte dalla NIS 2 e dal decreto legislativo 4 settembre 2024, n.138 con il quale l’Italia ha recepito direttiva europea.

Ecco cosa cambia nel FNCDP v2.1.

NIS2: ACN pubblica le misure di base per la sicurezza delle infrastrutture critiche

Cosa cambia nel FNCDP v2.1

La nuova versione del FNCDP v2.1 è sostanzialmente la traduzione in italiano del NIST CSF v2.0, con alcune differenze che andremo ad evidenziare.

Mantiene lo stesso approccio pragmatico della precedente versione, salvo che le Functions sono passate da cinque a sei e sono le seguenti:

  • Govern (GV) (governare);
  • Identify (ID) (identificare);
  • Protect (PR) (proteggere);
  • Detect (DE) (indagare);
  • Respond (RS) (reagire);
  • Recover (RC) (riparare).

Ogni funzione prende il nome da un verbo che ne riassume il contenuto ed è suddivisa in categorie.

Le sottocategorie

Le sottocategorie dividono ulteriormente ogni categoria in risultati più specifici delle attività tecniche e gestionali e rappresentano – in sostanza – i singoli controlli da verificare ed eventualmente implementare dall’organizzazione.

Le funzioni organizzano le attività di base della cyber security al loro livello più alto e strutturano la gestione del rischio di cyber security in modo sequenziale, secondo una scansione temporale rispetto all’incidente informatico, con un “prima” (Identify e Protect), un “durante (Detect) ed un “dopo” (Respond e Recover).

Cybersecurity framework core
La figura sopra è tratta dal NIST CSF 2.0.

La struttura del FNCDP v2.1 è molto simile, salvo che nella Function Identify (ID) è stata aggiunta la Category Data Management (DP-ID.DM) che contiene cinque Subcategory che sono riferite alla privacy e richiamano le norme del GDPR (che ovviamente non esiste nella versione del NIST.

Quindi nel FNCDP v2.1 le Category sono in totale 23 all’interno delle quali le Subcategory sono 114, così suddivise:

  • Govern (GV) (governare): 32 Subcategory;
  • Identify (ID) (identificare): 28 Subcategory;
  • Protect (PR) (proteggere): 22 Subcategory;
  • Detect (DE) (indagare): 10 Subcategory;
  • Respond (RS) (reagire): 14 Subcategory;
  • Recover (RC) (riparare): 8 Subcategory.

Come si utilizza il file Excel del FNCDP v2.1

Il file è molto semplice nella sua struttura: è composto di quattro colonne:

  • Function: n.6;
  • Category: n.23;
  • Subcategory: n.114. Rappresentano i controlli che dovranno essere eseguiti per verificare il livello di sicurezza dell’organizzazione;
  • Informative References: in questa colonna per ogni riga di Subcategory sono elencati i documenti a cui fare riferimento per avere maggiori informazioni sui controlli da verificare.

Per esempio, tra le 4. Informative References sono richiamate:

  • CCMv4.0: le Implementation Guidelines della CSA (Cloud Security Alliance);
  • CRI Profile v2.0: documento del The Cyber Risk Institute (CRI);
  • NIST SP 800-53 Rev 5.1.1;
  • NIST SP 800-221A;
  • ISO/IEC 29100:2011;
  • ISO/IEC 29151:2017;
  • ISO/IEC 27018:2014,
  • CIS Controls v8.0;
  • GDPR eccetera.

Consultando queste referenze sarà possibile comprendere meglio e con un maggiro livello di dettaglio come mettere in pratica in controlli indicati nel Framework.

La storia del Framework Nazionale per la Cybersecurity e la Data Protection

Il FNCDP italiano deriva direttamente dal NIST Cybersecurity Framework (CSF) del 12 febbraio 2014 con nome di “Framework for Improving Critical Infrastructure Cybersecurity” versione 1.0.

Da questo Framework derivò la prima versione italiana, pubblicata con il nome di “2015 Italian Cyber Security Report”, Versione 1.0 del febbraio 2016. La pubblicazione era a cura della Università Sapienza di Roma e del Laboratorio Nazionale CINI di Cyber Security, sotto la guida del Professor Roberto Baldoni.

Nel 2018 il NIST Cybersecurity Framework (CSF) si aggiornò alla versione 1.1 e da questo documento è stato ricavato il Framework Nazionale per la Cybersecurity e la Data Protection versione 2.0, pubblicato a febbraio 2019, sempre a cura della Università Sapienza di Roma e del CINI.

Il Framework Nazionale per la Cybersecurity e la Data Protection è stato adottato come strumento di controllo per le organizzazioni italiane sottoposte alla Direttiva (UE) 2016/1148 (la prima NIS), recepita dall’Italia con il D.Lgs. n.65 del 18 maggio 2018.

Il passo successivo nel 2024

Il passo successivo è avvenuto il 26 febbraio 2024 quando NIST ha pubblicato in forma ufficiale il Cybersecurity Framework (CSF) versione 2.0.
Il titolo è stato cambiato in “Cybersecurity Framework 2.0” dall’originale “Framework for Improving Critical Infrastructure Cybersecurity”, confermando che il Cybersecurity Framework 2.0 è stato progettato per aiutare le organizzazioni di tutte le dimensioni e di tutti i settori.

Una delle modifiche più significative del CSF v2.0 è nelle Functions, che sono diventate 6: oltre alle 5 già presenti nel CSF 1.1, è stata aggiunta una nuova funzione Govern (GV) per enfatizzare l’importanza della governance della gestione del rischio di cybersecurity (vedere figura sotto).

Questa nuova funzione è così descritta: “La strategia, le aspettative e la politica di gestione del rischio di cyber security dell’organizzazione sono stabilite, comunicate e monitorate”.

Da notare che la funzione Govern è al centro della ruota perché informa il modo in cui un’organizzazione implementerà le altre cinque funzioni.

La Direttiva NIS 2

L’importanza della Governance nella cybersecurity è sottolineata in modo molto forte anche nella Direttiva NIS 2: è citata in molti Considerando della NIS 2 ed è espressamente trattata nell’Articolo 20 – Governance.

A distanza di oltre un anno dalla pubblicazione del NIST CSF e con la Direttiva NIS 2 ormai in vigore, qualche giorno fa è stata la volta della pubblicazione della versione 2.1 del FNCDP.

Per il momento è disponibile solo il file in formato Excel “FNCDP_-Edizione_2025_v2.1_Core.xlsx” scaricabile dal sito.

Come riporta il sito il Framework Nazionale per la Cybersecurity e la Data Protection, oggi si propone con in una nuova versione che allinea il suo core a quello del NIST CSF.

Esso è – come per il precedente – frutto di una collaborazione tra il Centro di Ricerca CIS di Sapienza Università di Roma ed il Laboratorio Nazionale di Cybersecurity del CINI, ma questa volta anche l’Agenzia per la Cybersicurezza Nazionale ha collaborato a questa nuova versione del Framework Nazionale.

Il Framework è uno strumento di supporto alle organizzazioni

Si sottolinea anche che questo Framework è uno strumento di supporto alle organizzazioni e non può in alcun modo essere considerato uno strumento per il rispetto dei regolamenti vigenti.

Inoltre, per le organizzazioni che già implementano misure coerenti con le normative vigenti, il Framework può rappresentare un utile strumento per guidare le necessarie attività di continuo monitoraggio.

Non è una norma (come, per esempio, è la ISO/IEC 27001) ma rappresenta piuttosto un insieme di linee guida di sicurezza.

Secondo una successiva Determinazione n. 164179 appena pubblicata da ACN, questo sia da considerare lo strumento consigliato da ACN per le aziende che dovranno fare l’adeguamento alla NIS 2.

La determina ACN con le specifiche di base per gli adempimenti NIS 2

Immediatamente dopo la pubblicazione del FNCDP v2.1, ACN ha pubblicato la Determinazione n. 164179, datata 14/04/2025, che definisce le specifiche di base per l’adempimento agli obblighi del decreto NIS relativi alle misure di cyber security e della gestione degli incidenti significativi.

Ciò non è causale, perché nella Determinazione si fa riferimento proprio al “Framework Nazionale per la Cybersecurity e la Data Protection”, edizione 2025 e si specifica la redazione è avvenuta in collaborazione con l’Agenzia per la cybersicurezza nazionale (ACN).

Tale framework – come ampiamente previsto – è indicato quale strumento di supporto per le organizzazioni pubbliche e private per definire le “misure di sicurezza di base”, per gli obblighi di cui agli articoli 23 e 24 del decreto NIS 2.

La Determinazione si completa con quattro allegati tecnici che costituiscono il vero e proprio manuale operativo per le organizzazioni:

  • Allegato 1: Misure di sicurezza di base per i soggetti importanti;
  • Allegato 2: Misure di sicurezza di base per i soggetti essenziali;
  • Allegato 3: Specifiche per gli incidenti significativi di base per i soggetti importanti;
  • Allegato 4: Specifiche per gli incidenti significativi di base per i soggetti essenziali.

Le misure sono organizzate secondo una struttura gerarchica di funzioni, categorie, sottocategorie e requisiti, in perfetta aderenza con l’approccio del Framework Nazionale, facilitando così l’integrazione nei modelli di governance già esistenti.

Infine, a completamento, porta la data 10 aprile 2025 anche la pubblicazione della Determinazione n.136117 che stabilisce “Termini, modalità e procedimenti di utilizzo e accesso al Portale ACN e, in particolare, ai Servizi NIS nonché le ulteriori informazioni che i soggetti NIS devono fornire all’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite dal decreto NIS, i termini, le modalità e i procedimenti di designazione dei rappresentanti NIS nell’Unione”.

La Determinazione n.136118 dell’Acn

Segnaliamo anche la Determinazione n.136118, pubblicata da ACN sempre con data 10 aprile 2025.

È un documento di appena tre pagine, che semplicemente “stabilisce le modalità con cui i soggetti NIS notificano all’Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione”.

In conclusione, il nuovo FNCDP v2.1 e la determinazione n. 164179 dell’ACN rappresentano due passi fondamentali – e strettamente correlati – che definiscono con chiarezza le specifiche tecniche di base per l’adempimento agli obblighi del decreto NIS2, che le organizzazioni in perimetro dovranno adottare obbligatoriamente nei prossimi mesi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Giorgio Sbaraglia
Consulente aziendale Cyber Security, membro del Comitato Direttivo CLUSIT
Ingegnere, ex azzurro di tiro con l’arco, dirigente d’azienda, consulente e formatore in cyber security, padre e marito. “Smanettone” fin dalla nascita (dei computer… non la sua!), si è da sempre appassionato ai temi della sicurezza informatica. Per questo ho trasformato la sua passione, che ha sempre coltivato, in una professione.
Seguimi su

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • AI-in-Armed-Forces

  • Openai, meta, Anthropic

    Accordi tra big tech dell'IA ed esercito USA: perché è svolta

    06 Dic 2024

    di Alessandro Longo e Marco Santarelli

    Condividi
  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Dpo e Ciso, un'alleanza necessaria: due funzioni, un’unica visione

  • GDPR

    Il DPO deve essere indipendente e autonomo: punto fermo ribadito dal Garante privacy

    03 Mar 2025

    di Rosario Palumbo

    Condividi
  • Digital Omnibus cyber security privacy

  • COMMISSIONE UE

    Cyber security e privacy al centro del pacchetto Digital Omnibus: al via la consultazione UE

    24 Set 2025

    di Chiara Ponti

    Condividi