L’Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato una nuova determinazione del Direttore Generale che, in fase di prima applicazione del decreto NIS (D.lgs. 138/2024), stabilisce modalità e specifiche di base per adempiere ad alcuni obblighi chiave: quelli che chiamano in causa direttamente organi di amministrazione e direttivi, la gestione dei rischi cyber, la notifica degli incidenti significativi e – per un perimetro specifico – la sicurezza dei sistemi di nomi di dominio.
La Determinazione sostituisce la precedente (14 aprile 2025) e si applica dal 15 gennaio 2026.
Indice degli argomenti
Perché questa determinazione conta
Nel recepimento NIS2, la teoria è finita: ACN, tramite l’Autorità nazionale competente NIS, sta mettendo a terra il “come” minimo atteso. La determinazione nasce proprio con questo obiettivo: rendere operazionali (e verificabili) gli obblighi del decreto NIS, con criteri proporzionati al rischio e alle dimensioni dei soggetti, e con una scansione temporale esplicita.
Il punto politico–organizzativo è chiaro: non è un tema solo “IT”. La Determinazione richiama, definisce e aggancia gli organi di amministrazione e direttivi (quindi CDA/vertici, ove presenti) nella catena di responsabilità e approvazione.
Tradotto: se l’azienda pensa di delegare tutto “alla funzione cyber” senza governance, sta leggendo l’atto al contrario.
Cosa contiene: allegati tecnici e doppio binario “importanti” vs “essenziali”
La Determinazione adotta, in prima applicazione, specifiche di base attraverso quattro allegati che diventano parte integrante dell’impianto:
- Misure di sicurezza di base (collegate agli obblighi sugli organi direttivi e sulla gestione del rischio):
- per soggetti importanti: Allegato 1
- per soggetti essenziali: Allegato 2
- Incidenti significativi di base (collegati all’obbligo di notifica):
- per soggetti importanti: Allegato 3
- per soggetti essenziali: Allegato 4
Nel testo viene inoltre chiarito un concetto operativo che spesso genera ambiguità interna: i “sistemi informativi e di rete rilevanti” sono quelli la cui compromissione può produrre un impatto significativo su riservatezza, integrità e disponibilità delle attività/servizi che fanno rientrare il soggetto nel perimetro NIS. È un invito esplicito a fare (bene) perimetrazione e classificazione, non a “mettere tutto dentro” per paura.
Le scadenze: il cronometro parte dalla comunicazione di inserimento
Qui la Determinazione è molto netta e, per molti, anche scomoda: i termini decorrono dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS.
- 18 mesi per adottare le misure di sicurezza di base (Allegati 1 e 2).
- 9 mesi per adempiere all’obbligo di notifica degli incidenti significativi di base (Allegati 3 e 4).
Il messaggio è semplice: puoi anche metterci un anno e mezzo per completare l’impianto minimo di misure, ma la macchina della notifica la devi far funzionare prima. E se non hai tassonomia incidenti, criteri di severità, runbook, ruoli, reperibilità, escalation e prove di comunicazione… quei 9 mesi diventano un test di sopravvivenza, non un progetto.
Focus “nomi di dominio”: obblighi specifici per registry e registrar
La Determinazione dedica un articolo specifico alla sicurezza, stabilità e resilienza dei sistemi di nomi di dominio per:
- gestori di registri dei nomi di dominio di primo livello, e
- fornitori di servizi di registrazione dei nomi di dominio.
Anche qui: 18 mesi per adeguarsi e, soprattutto, per adottare e rendere pubbliche politiche e procedure previste dall’art. 29 del decreto NIS; politiche e procedure che devono essere approvate dagli organi di amministrazione e direttivi. Inoltre, viene richiamata l’adozione di politiche coerenti con le specifiche dell’Allegato 1.
Regime transitorio: cosa succede a OSE “storici” e Telco
Per gli operatori di servizi essenziali (OSE) identificati prima dell’entrata in vigore del decreto NIS, la Determinazione prevede un regime transitorio: sui sistemi informativi e di rete OSE, va assicurato il mantenimento delle misure tecniche e organizzative già adottate ai sensi del D.Lgs. 65/2018, per quanto compatibile.
Per gli operatori telco, analogamente, si mantiene (sui sistemi telco rilevanti) quanto già adottato ai sensi del quadro precedente. Ma c’è un passaggio operativo molto concreto: ai fini della notifica, nella definizione del livello di servizio atteso, gli operatori telco devono considerare come “incidenti significativi di base” almeno alcuni casi minimi legati a durata e percentuale utenti colpiti (da >1 ora con >15% utenti nazionali, fino a >8 ore con >1%).
Cosa dovrebbero fare adesso i soggetti NIS
Dal 15 gennaio 2026 la Determinazione entra in applicazione. Ma aspettare quella data per partire è il classico modo per scoprire, a giochi fatti, che “mancava solo un dettaglio” (spoiler: di solito è il processo, non il tool).
Se dovessi riassumere l’azione minima sensata, lato management, è questa: portare in CDA/alta direzione una delibera di programma che copra perimetro, responsabilità, budget e priorità; e in parallelo avviare subito la parte incidenti, perché i 9 mesi non perdonano.
Il resto (misure, hardening, governance estesa) si costruisce nei 18 mesi, ma deve avere una roadmap credibile e tracciabile.
Buongiorno,
mi permetto di esprimere alcune considerazioni in un’ottica costruttiva. Gli obiettivi e le finalità della NIS sono pienamente condivisibili, soprattutto per chi ambisce a sviluppare una solida IT governance; altrettanto corretto è il principio secondo cui la cybersecurity non debba essere considerata un tema esclusivamente IT.
Per i responsabili IT la NIS potrebbe rappresentare un’opportunità per ottenere risorse e attenzioni da sempre richieste ma raramente concesse; tuttavia, ipotizzare che le pubbliche amministrazioni possano colmare in 18 mesi gap accumulati in anni appare poco realistico, soprattutto alla luce di budget estremamente limitati e spesso da pianificare con largo anticipo, procedure di acquisto inefficienti e non armonizzate, nonché della cronica carenza di figure professionali adeguate, difficilmente reperibili sul mercato e spesso economicamente insostenibili. L’eventuale esternalizzazione, inoltre, verrebbe percepita unicamente come un ulteriore incremento dei costi.
In sintesi, obiettivi e finalità sono corretti e condivisibili, ma i finanziamenti risultano accessibili solo a una parte delle PA e le tempistiche appaiono, di fatto, irrealizzabili. Anche il quadro normativo presenta criticità: i requisiti previsti per le figure da nominare risultano talmente generici da sembrare quasi formali, più che sostanziali.
Ancora una volta si pianifica senza un reale confronto con la realtà: non si può pretendere che organizzazioni strutturalmente arretrate compiano un salto tecnologico di questa portata in soli 18 mesi.
Sono convinto che la NIS 2 porterà benefici, almeno alla mia organizzazione, ma certamente non nei tempi attualmente previsti; evitiamo poi lo spauracchio delle sanzioni che rappresenta un modo terroristico e personalmente poco efficace per imporre.
Aggiungo un invito ad ACN, come istituzione e non come personale (visto le notizie che circolano sono più burocrati che esperti del campo), di smettere di teorizzare sui massimi sistemi della cybersecurity e di fare i conti con la realtà.
Concludo come da inizio: obiettivi e fini condivi, tempistiche e modus operanti inadeguati.
Gianluigi, hai ragione su budget, gare, competenze: sono i tre “boss finali” della PA.
Detto questo, la NIS2 non è (solo) “mettere tecnologia”: è mettere ordine.
In 18 mesi non recuperi 10 anni di arretrato, ma puoi fare 5 cose concrete che cambiano tutto:
Il successo non sarà “siamo compliant al 100%”, ma “abbiamo un impianto che regge audit e incidenti, e stiamo migliorando”.
ACN, su questo, deve spingere su praticità e fattibilità: concordo. Però aspettare la norma “perfetta” non ci ha mai reso più sicuri.