Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

nuova determinazione

ACN aggiorna le “specifiche di base” NIS2: cosa devono fare i soggetti interessati

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Nella sesta riunione del Tavolo per l’attuazione della disciplina NIS è stata adottata la determinazione 379907/2025 che apporta alcuni affinamenti alla precedente determina sulle specifiche di base per adempiere ad alcuni obblighi chiave della NIS2. Sarà applicabile dal 15 gennaio 2026. Che c’è da sapere

Pubblicato il 30 dic 2025
Sandro Sana

Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0

Specifiche di base NIS2

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato una nuova determinazione del Direttore Generale che, in fase di prima applicazione del decreto NIS (D.lgs. 138/2024), stabilisce modalità e specifiche di base per adempiere ad alcuni obblighi chiave: quelli che chiamano in causa direttamente organi di amministrazione e direttivi, la gestione dei rischi cyber, la notifica degli incidenti significativi e – per un perimetro specifico – la sicurezza dei sistemi di nomi di dominio.

La Determinazione sostituisce la precedente (14 aprile 2025) e si applica dal 15 gennaio 2026.

DetACN_Obblighi_2511.v3_signedDownload

Perché questa determinazione conta

Nel recepimento NIS2, la teoria è finita: ACN, tramite l’Autorità nazionale competente NIS, sta mettendo a terra il “come” minimo atteso. La determinazione nasce proprio con questo obiettivo: rendere operazionali (e verificabili) gli obblighi del decreto NIS, con criteri proporzionati al rischio e alle dimensioni dei soggetti, e con una scansione temporale esplicita.

Il punto politico–organizzativo è chiaro: non è un tema solo “IT”. La Determinazione richiama, definisce e aggancia gli organi di amministrazione e direttivi (quindi CDA/vertici, ove presenti) nella catena di responsabilità e approvazione.

Tradotto: se l’azienda pensa di delegare tutto “alla funzione cyber” senza governance, sta leggendo l’atto al contrario.

Cosa contiene: allegati tecnici e doppio binario “importanti” vs “essenziali”

La Determinazione adotta, in prima applicazione, specifiche di base attraverso quattro allegati che diventano parte integrante dell’impianto:

  • Misure di sicurezza di base (collegate agli obblighi sugli organi direttivi e sulla gestione del rischio):
    • per soggetti importanti: Allegato 1
    • per soggetti essenziali: Allegato 2
  • Incidenti significativi di base (collegati all’obbligo di notifica):
    • per soggetti importanti: Allegato 3
    • per soggetti essenziali: Allegato 4

Nel testo viene inoltre chiarito un concetto operativo che spesso genera ambiguità interna: i “sistemi informativi e di rete rilevanti” sono quelli la cui compromissione può produrre un impatto significativo su riservatezza, integrità e disponibilità delle attività/servizi che fanno rientrare il soggetto nel perimetro NIS. È un invito esplicito a fare (bene) perimetrazione e classificazione, non a “mettere tutto dentro” per paura.

Le scadenze: il cronometro parte dalla comunicazione di inserimento

Qui la Determinazione è molto netta e, per molti, anche scomoda: i termini decorrono dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS.

  • 18 mesi per adottare le misure di sicurezza di base (Allegati 1 e 2).
  • 9 mesi per adempiere all’obbligo di notifica degli incidenti significativi di base (Allegati 3 e 4).

Il messaggio è semplice: puoi anche metterci un anno e mezzo per completare l’impianto minimo di misure, ma la macchina della notifica la devi far funzionare prima. E se non hai tassonomia incidenti, criteri di severità, runbook, ruoli, reperibilità, escalation e prove di comunicazione… quei 9 mesi diventano un test di sopravvivenza, non un progetto.

Focus “nomi di dominio”: obblighi specifici per registry e registrar

La Determinazione dedica un articolo specifico alla sicurezza, stabilità e resilienza dei sistemi di nomi di dominio per:

  • gestori di registri dei nomi di dominio di primo livello, e
  • fornitori di servizi di registrazione dei nomi di dominio.

Anche qui: 18 mesi per adeguarsi e, soprattutto, per adottare e rendere pubbliche politiche e procedure previste dall’art. 29 del decreto NIS; politiche e procedure che devono essere approvate dagli organi di amministrazione e direttivi. Inoltre, viene richiamata l’adozione di politiche coerenti con le specifiche dell’Allegato 1.

Regime transitorio: cosa succede a OSE “storici” e Telco

Per gli operatori di servizi essenziali (OSE) identificati prima dell’entrata in vigore del decreto NIS, la Determinazione prevede un regime transitorio: sui sistemi informativi e di rete OSE, va assicurato il mantenimento delle misure tecniche e organizzative già adottate ai sensi del D.Lgs. 65/2018, per quanto compatibile.

Per gli operatori telco, analogamente, si mantiene (sui sistemi telco rilevanti) quanto già adottato ai sensi del quadro precedente. Ma c’è un passaggio operativo molto concreto: ai fini della notifica, nella definizione del livello di servizio atteso, gli operatori telco devono considerare come “incidenti significativi di base” almeno alcuni casi minimi legati a durata e percentuale utenti colpiti (da >1 ora con >15% utenti nazionali, fino a >8 ore con >1%).

Cosa dovrebbero fare adesso i soggetti NIS

Dal 15 gennaio 2026 la Determinazione entra in applicazione. Ma aspettare quella data per partire è il classico modo per scoprire, a giochi fatti, che “mancava solo un dettaglio” (spoiler: di solito è il processo, non il tool).

Se dovessi riassumere l’azione minima sensata, lato management, è questa: portare in CDA/alta direzione una delibera di programma che copra perimetro, responsabilità, budget e priorità; e in parallelo avviare subito la parte incidenti, perché i 9 mesi non perdonano.

Il resto (misure, hardening, governance estesa) si costruisce nei 18 mesi, ma deve avere una roadmap credibile e tracciabile.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Sandro Sana
Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, lavora nel settore dell’Information Technology dal 1990. Nel corso della sua carriera ha collaborato con realtà molto diverse, dalle piccole imprese agli enti pubblici, fino a grandi aziende nazionali e internazionali. Dal 2003 affianca alle competenze tecnologiche un interesse attivo per la comunicazione, il public speaking e la formazione. A partire dal 2014 si dedica con particolare attenzione alla sicurezza informatica, con un focus sull’innovazione, la ricerca e l’evoluzione delle minacce digitali. È certificato CEH – Certified Ethical Hacker, CIH – Certified Incident Handler e CISSP – Certified Information Systems Security Professional. È stato relatore agli eventi SMAU 2017 e 2018, e docente per SMAU Academy e ITS. È membro del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce allo sviluppo di strategie per la formazione, la ricerca applicata e il trasferimento tecnologico nel campo della cyber security. Divulgatore ed editorialista, promuove la cultura della sicurezza digitale con particolare attenzione agli aspetti sociali, economici e normativi della trasformazione digitale. Si occupa di sensibilizzare imprese e istituzioni su rischi, responsabilità e opportunità connesse alla cybersicurezza.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Direttiva NIS 2 in sanità

  • settore sanitario

    Direttiva NIS 2, una leva normativa per rendere sicuri i dispositivi medicali

    23 Apr 2025

    di Michele Liberti e Michele Onorato

    Condividi
  • Ransomware ESXi, falso password manager KeePass sotto attacco: come proteggersi

  • L'ANALISI TECNICA

    INC ransomware ha l'Italia nel mirino: ecco le contromisure per difendersi

    17 Apr 2025

    di Dario Fadda

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • La nuova architettura della governance digitale secondo l’ACN: chi guida l’organizzazione risponde in prima persona

  • L'evento

    Governance aziendale: così la determina NIS2 di ACN ridisegna la responsabilità cyber dei vertici

    16 Apr 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
0
Lascia un commento, la tua opinione conta.x