Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

normativa

La necessaria revisione periodica delle misure di sicurezza di base per la conformità alla NIS 2

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

La natura ciclica della sicurezza NIS 2 non è un insieme di documenti, ma un sistema vivo, destinato a evolvere nel tempo. Ecco come la revisione periodica delle procedure è lo strumento attraverso cui si esercita un vero comando, coerente con la governance del rischio e con la visione sistemica del decreto NIS

Pubblicato il 23 dic 2025
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

Rivoluzione NIS 2: come gli obblighi cogenti trasformano la responsabilità 231 da flessibile a semi-oggettiva; NIS 2 come sicurezza misurabile: per riconoscere un incidente significativo occorre prima stabilire che cosa sia “normale”; La necessaria revisione periodica delle misure di sicurezza di base per la conformità alla NIS 2
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

La Determinazione ACN 164179 del 14 aprile 2025 (con le specifiche tecniche per attuare il decreto NIS 2, stabilendo misure di sicurezza e requisiti per la notifica di incidenti) introduce un principio che alcune organizzazioni continuano a trascurare.

La sicurezza NIS 2 non è un insieme di documenti, ma un sistema vivo, destinato a evolvere nel tempo.

Le misure previste impongono un ciclo continuo di revisione delle politiche, dei ruoli, delle responsabilità e delle procedure.

È una logica che obbliga le organizzazioni a superare il modello statico della compliance per abbracciare un approccio dinamico, fondato su feedback, analisi, incidenti e mutamenti del contesto.

Questo terzo capitolo della tetralogia dedicata al tema, esplora la natura ciclica della sicurezza NIS 2. Ecco come la revisione periodica delle procedure è lo strumento attraverso cui si esercita un vero comando, coerente con la governance del rischio e con la visione sistemica del D.lgs. 138/2024.

C’è il decreto NIS 2, ma cosa devono fare adesso le aziende? La guida implementativa

Il ciclo di revisione per un sistema davvero resiliente

Si pensa spesso alla conformità come a una fotografia cioè a un documento predisposto, approvato, conservato come ad esempio una politica, una procedura, un organigramma.

La NIS 2 rompe questa logica perché il legislatore unionale non si accontenta più di sapere cosa c’è sulla carta ma vuole vedere come quel sistema:

  • evolve;
  • si aggiorna;
  • reagisce a eventi dirompenti;
  • affronta nuove minacce, nuove normative e nuove configurazioni organizzative.

La Determinazione ACN esprime questo concetto con chiarezza sorprendente: molte misure NIS 2 devono essere riviste periodicamente, in modo programmato e, soprattutto, ogni volta che accadono eventi rilevanti, come incidenti, variazioni normative o cambiamenti strutturali.

Entriamo dentro questa logica, per capire perché il ciclo di revisione è la differenza tra un sistema formale e un sistema realmente resiliente.

La sicurezza come ciclo: il principio cardine della Determinazione ACN

La Determinazione ACN introduce un principio operativo che rappresenta l’essenza della NIS 2: la sicurezza è un processo ciclico e iterativo.

Quindi, non basta definire un ruolo o una politica; bisogna rivederli.

La revisione periodica è prevista per due tipi di eventi:

  • scadenze temporali fisse (ogni anno o ogni due anni);
  • eventi che alterano l’equilibrio del sistema, come: incidenti significativi; variazioni normative; cambiamenti organizzativi; mutamenti dell’esposizione alle minacce.

Questa impostazione crea un sistema che funziona, apprende e si adatta. È la fine del modello statico della compliance e l’inizio di una governance basata sulla responsabilità reale.

Rivedere ruoli e responsabilità per garantire comando e coerenza

Un “requisito operativo” definito dall’ACN per implementare la sub-categoria GV.RR-02 del FNCDP v.2.1 stabilisce che: “I ruoli, le responsabilità e i correlati poteri in materia di cyber security per promuovere l’accountability, la valutazione delle prestazioni e il miglioramento continuo sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi”.

Dalla lettura del requisito, tre elementi emergono con forza:

  • periodicità obbligatoria ogni due anni: il sistema di responsabilità non può fossilizzarsi;
  • revisione post-incidente: ogni evento significativo può rivelare limiti, mancanze, sovrapposizioni, lacune di comando;
  • aggiornamento come atto di responsabilità organizzativa: chi guida deve garantire che la catena di comando sia chiara, attuale, coerente.

È una misura che riflette logiche tipiche degli ambienti militari: un’organizzazione che non rivede la propria catena di comando dopo un incidente è un’organizzazione che non apprende.

Revisioni annuali delle politiche e aggiornamento immediato in caso di mutamenti critici

Un “requisito operativo” definito dall’ACN per implementare la sub-categoria GV.PO-02 del FNCDP v.2.1 è ancora più ambizioso perché stabilisce che la politica generale di gestione del rischio di cyber security e le correlate politiche specifiche di sicurezza informatica (di cui alla sub- categoria GV.PO-01) devono essere:

  • riviste almeno ogni anno;
  • aggiornate in caso di: evoluzioni normative sulla sicurezza informatica; incidenti significativi; variazioni organizzative; mutamenti dell’esposizione alle minacce e ai relativi rischi.

Il Framework Nazionale per la Cybersecurity e la Data Protection – Edizione 2025 (FNCDP v2.1) è lo strumento indicato da ACN per adeguarsi alle misure di sicurezza prescritte dalla NIS 2 e dal decreto legislativo 4 settembre 2024, n.138 con cui l’Italia ha recepito direttiva europea.

Dalla lettura di questo requisito emerge un concetto chiave: la politica di sicurezza non è un documento ma una scelta strategica, un atto di indirizzo che riflette:

  • il livello di rischio accettabile;
  • le priorità aziendali;
  • il modello operativo;
  • il grado di maturità interna.

Rivederla ogni anno significa ripensare il modo in cui l’organizzazione vede sé stessa e il mondo che la circonda.

Il valore dello scadenzario NIS: programmare, tracciare, dimostrare

Per gestire revisioni annuali, biennali e “post-evento”, serve uno strumento semplice ma essenziale. Uno scadenzario NIS, aggiornato e tracciabile, che permetta di:

  • pianificare revisioni obbligatorie;
  • tracciare aggiornamenti straordinari;
  • dimostrare alle Autorità la continuità del processo;
  • coordinare responsabilità tra CISO, DPO, ODV, funzioni di controllo interno, organi sociali.

Questo scadenzario diventa uno dei pilastri del sistema di gestione NIS 2. Non è un calendario ma un registro della maturità.

Dalla staticità alla vitalità: la revisione come cultura organizzativa

Il ciclo di revisione imposto dalla Determinazione dell’ACN non è un mero insieme di scadenze ma un modo di pensare: un modello di organizzazione che non si accontenta di definire ma pretende di migliorare.

Le organizzazioni che abbracciano questo approccio diventano più agili, più consapevoli e più capaci di affrontare crisi improvvise.

Quelle che, invece, lo ignorano rimangono ferme e incapaci di rispondere a minacce che evolvono molto rapidamente.

La sicurezza della NIS2

La Determinazione ACN del 14/04/2025 insegna una verità semplice ma trasformativa: la sicurezza è una disciplina viva e quindi, ogni politica, procedura, catena di responsabilità deve essere rivista con costanza e rigore.

Solo così è possibile creare un sistema capace di apprendere dagli incidenti, adattarsi ai cambiamenti e restare ancorato al contesto reale.

Con questo terzo capitolo, la tetralogia ha ricostruito il ciclo completo della consapevolezza perché progressivamente abbiamo:

  • identificato ciò che deve essere protetto (art. 24 decreto NIS);
  • imparato a classificare ciò che conta davvero (art. 30 decreto NIS);
  • compreso come mantenere vivo il sistema (Determinazione ACN del 14/04/2025).

Nel prossimo capitolo riuniremo queste tre dimensioni in una visione unitaria: come integrare IT, OT e governance per costruire una postura NIS 2 realmente resiliente, capace di sostenere l’organizzazione nel tempo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • ispezioni nis2; Classificare ciò che conta: come mappare attività e servizi per la conformità alla NIS 2

  • guida alla normativa

    Ispezioni NIS2: come funzionano e quali responsabilità ricadono sulle organizzazioni

    12 Gen 2026

    di Mattia Lanzarone

    Condividi
  • GDPR e NIS 2; Dalla teoria alla tabella: correlare BIA, SL e incidenti significativi nel Monis

  • La sicurezza misurabile

    Gestire gli incidenti significativi: la matrice operativa per la conformità NIS 2

    02 Dic 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
0
Lascia un commento, la tua opinione conta.x