Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

normativa

La necessaria revisione periodica delle misure di sicurezza di base per la conformità alla NIS 2

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

La natura ciclica della sicurezza NIS 2 non è un insieme di documenti, ma un sistema vivo, destinato a evolvere nel tempo. Ecco come la revisione periodica delle procedure è lo strumento attraverso cui si esercita un vero comando, coerente con la governance del rischio e con la visione sistemica del decreto NIS

Pubblicato il 23 dic 2025
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

Rivoluzione NIS 2: come gli obblighi cogenti trasformano la responsabilità 231 da flessibile a semi-oggettiva; NIS 2 come sicurezza misurabile: per riconoscere un incidente significativo occorre prima stabilire che cosa sia “normale”; La necessaria revisione periodica delle misure di sicurezza di base per la conformità alla NIS 2

La Determinazione ACN 164179 del 14 aprile 2025 (con le specifiche tecniche per attuare il decreto NIS 2, stabilendo misure di sicurezza e requisiti per la notifica di incidenti) introduce un principio che alcune organizzazioni continuano a trascurare.

La sicurezza NIS 2 non è un insieme di documenti, ma un sistema vivo, destinato a evolvere nel tempo.

Le misure previste impongono un ciclo continuo di revisione delle politiche, dei ruoli, delle responsabilità e delle procedure.

È una logica che obbliga le organizzazioni a superare il modello statico della compliance per abbracciare un approccio dinamico, fondato su feedback, analisi, incidenti e mutamenti del contesto.

Questo terzo capitolo della tetralogia dedicata al tema, esplora la natura ciclica della sicurezza NIS 2. Ecco come la revisione periodica delle procedure è lo strumento attraverso cui si esercita un vero comando, coerente con la governance del rischio e con la visione sistemica del D.lgs. 138/2024.

C’è il decreto NIS 2, ma cosa devono fare adesso le aziende? La guida implementativa

Il ciclo di revisione per un sistema davvero resiliente

Si pensa spesso alla conformità come a una fotografia cioè a un documento predisposto, approvato, conservato come ad esempio una politica, una procedura, un organigramma.

La NIS 2 rompe questa logica perché il legislatore unionale non si accontenta più di sapere cosa c’è sulla carta ma vuole vedere come quel sistema:

  • evolve;
  • si aggiorna;
  • reagisce a eventi dirompenti;
  • affronta nuove minacce, nuove normative e nuove configurazioni organizzative.

La Determinazione ACN esprime questo concetto con chiarezza sorprendente: molte misure NIS 2 devono essere riviste periodicamente, in modo programmato e, soprattutto, ogni volta che accadono eventi rilevanti, come incidenti, variazioni normative o cambiamenti strutturali.

Entriamo dentro questa logica, per capire perché il ciclo di revisione è la differenza tra un sistema formale e un sistema realmente resiliente.

La sicurezza come ciclo: il principio cardine della Determinazione ACN

La Determinazione ACN introduce un principio operativo che rappresenta l’essenza della NIS 2: la sicurezza è un processo ciclico e iterativo.

Quindi, non basta definire un ruolo o una politica; bisogna rivederli.

La revisione periodica è prevista per due tipi di eventi:

  • scadenze temporali fisse (ogni anno o ogni due anni);
  • eventi che alterano l’equilibrio del sistema, come: incidenti significativi; variazioni normative; cambiamenti organizzativi; mutamenti dell’esposizione alle minacce.

Questa impostazione crea un sistema che funziona, apprende e si adatta. È la fine del modello statico della compliance e l’inizio di una governance basata sulla responsabilità reale.

Rivedere ruoli e responsabilità per garantire comando e coerenza

Un “requisito operativo” definito dall’ACN per implementare la sub-categoria GV.RR-02 del FNCDP v.2.1 stabilisce che: “I ruoli, le responsabilità e i correlati poteri in materia di cyber security per promuovere l’accountability, la valutazione delle prestazioni e il miglioramento continuo sono riesaminati e, se opportuno, aggiornati periodicamente e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi”.

Dalla lettura del requisito, tre elementi emergono con forza:

  • periodicità obbligatoria ogni due anni: il sistema di responsabilità non può fossilizzarsi;
  • revisione post-incidente: ogni evento significativo può rivelare limiti, mancanze, sovrapposizioni, lacune di comando;
  • aggiornamento come atto di responsabilità organizzativa: chi guida deve garantire che la catena di comando sia chiara, attuale, coerente.

È una misura che riflette logiche tipiche degli ambienti militari: un’organizzazione che non rivede la propria catena di comando dopo un incidente è un’organizzazione che non apprende.

Revisioni annuali delle politiche e aggiornamento immediato in caso di mutamenti critici

Un “requisito operativo” definito dall’ACN per implementare la sub-categoria GV.PO-02 del FNCDP v.2.1 è ancora più ambizioso perché stabilisce che la politica generale di gestione del rischio di cyber security e le correlate politiche specifiche di sicurezza informatica (di cui alla sub- categoria GV.PO-01) devono essere:

  • riviste almeno ogni anno;
  • aggiornate in caso di: evoluzioni normative sulla sicurezza informatica; incidenti significativi; variazioni organizzative; mutamenti dell’esposizione alle minacce e ai relativi rischi.

Il Framework Nazionale per la Cybersecurity e la Data Protection – Edizione 2025 (FNCDP v2.1) è lo strumento indicato da ACN per adeguarsi alle misure di sicurezza prescritte dalla NIS 2 e dal decreto legislativo 4 settembre 2024, n.138 con cui l’Italia ha recepito direttiva europea.

Dalla lettura di questo requisito emerge un concetto chiave: la politica di sicurezza non è un documento ma una scelta strategica, un atto di indirizzo che riflette:

  • il livello di rischio accettabile;
  • le priorità aziendali;
  • il modello operativo;
  • il grado di maturità interna.

Rivederla ogni anno significa ripensare il modo in cui l’organizzazione vede sé stessa e il mondo che la circonda.

Il valore dello scadenzario NIS: programmare, tracciare, dimostrare

Per gestire revisioni annuali, biennali e “post-evento”, serve uno strumento semplice ma essenziale. Uno scadenzario NIS, aggiornato e tracciabile, che permetta di:

  • pianificare revisioni obbligatorie;
  • tracciare aggiornamenti straordinari;
  • dimostrare alle Autorità la continuità del processo;
  • coordinare responsabilità tra CISO, DPO, ODV, funzioni di controllo interno, organi sociali.

Questo scadenzario diventa uno dei pilastri del sistema di gestione NIS 2. Non è un calendario ma un registro della maturità.

Dalla staticità alla vitalità: la revisione come cultura organizzativa

Il ciclo di revisione imposto dalla Determinazione dell’ACN non è un mero insieme di scadenze ma un modo di pensare: un modello di organizzazione che non si accontenta di definire ma pretende di migliorare.

Le organizzazioni che abbracciano questo approccio diventano più agili, più consapevoli e più capaci di affrontare crisi improvvise.

Quelle che, invece, lo ignorano rimangono ferme e incapaci di rispondere a minacce che evolvono molto rapidamente.

La sicurezza della NIS2

La Determinazione ACN del 14/04/2025 insegna una verità semplice ma trasformativa: la sicurezza è una disciplina viva e quindi, ogni politica, procedura, catena di responsabilità deve essere rivista con costanza e rigore.

Solo così è possibile creare un sistema capace di apprendere dagli incidenti, adattarsi ai cambiamenti e restare ancorato al contesto reale.

Con questo terzo capitolo, la tetralogia ha ricostruito il ciclo completo della consapevolezza perché progressivamente abbiamo:

  • identificato ciò che deve essere protetto (art. 24 decreto NIS);
  • imparato a classificare ciò che conta davvero (art. 30 decreto NIS);
  • compreso come mantenere vivo il sistema (Determinazione ACN del 14/04/2025).

Nel prossimo capitolo riuniremo queste tre dimensioni in una visione unitaria: come integrare IT, OT e governance per costruire una postura NIS 2 realmente resiliente, capace di sostenere l’organizzazione nel tempo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • violazione Oracle Cloud cosa sappiamo

  • il caso

    Violazione dei dati di login SSO di Oracle Cloud: l'azienda smentisce, ecco cosa sappiamo

    24 Mar 2025

    di Dario Fadda

    Condividi
  • Modello Pay or consent: le implicazioni privacy delle sanzioni della Commissione Ue

  • Unione europea

    L'Enisa NIS360 ci dice a che punto siamo nella compliance NIS2

    10 Mar 2025

    di Federica Maria Rita Livelli

    Condividi
  • ispezioni nis2; Classificare ciò che conta: come mappare attività e servizi per la conformità alla NIS 2

  • guida alla normativa

    Ispezioni NIS2: come funzionano e quali responsabilità ricadono sulle organizzazioni

    12 Gen 2026

    di Mattia Lanzarone

    Condividi
  • GDPR e NIS 2; Dalla teoria alla tabella: correlare BIA, SL e incidenti significativi nel Monis

  • La sicurezza misurabile

    Gestire gli incidenti significativi: la matrice operativa per la conformità NIS 2

    02 Dic 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
0
Lascia un commento, la tua opinione conta.x