L’Agenzia per la cybersicurezza nazionale (ACN) con la determinazione n. 164179 del 14 aprile 2025 ha introdotto una serie di misure e adempimenti minimi – definiti come obblighi “di base” – da adottare dai soggetti essenziali e importanti in questa prima fase di attuazione della Direttiva NIS 2.
Indice degli argomenti
NIS 2: gli obblighi di base previsti da ACN
La determinazione è articolata in quattro allegati:
- allegato I: misure di sicurezza di base per i soggetti importanti;
- allegato II: misure di sicurezza di base per i soggetti essenziali;
- allegato III: criteri per la classificazione degli incidenti significativi da notificare da parte dei soggetti importanti al CSIRT Italia;
- allegato IV: criteri analoghi per i soggetti essenziali.
Nel dettaglio, si tratta di 37 misure per i soggetti importanti e 43 per quelli essenziali, declinate in 87 e 116 requisiti operativi rispettivamente. L’impianto tecnico di riferimento è il Framework nazionale per la cybersecurity e la data protection, già adottato anche in altri contesti normativi come la Legge n. 90/2024, il PSNC e il Regolamento cloud per la PA.
Scadenze
Le tempistiche di attuazione sono ben definite:
- entro 9 mesi dalla comunicazione di inserimento nell’elenco dei soggetti NIS: obbligo di notifica degli incidenti significativi;
- entro 18 mesi: adozione integrale delle misure di sicurezza di base.
Queste scadenze rappresentano la fase iniziale di un percorso graduale e strutturato.
ACN ha, infatti, previsto una seconda fase di implementazione, attesa per aprile 2026, in cui saranno introdotte misure di sicurezza specifiche, a lungo termine, calibrate in base alla categorizzazione dei servizi e dei sistemi gestiti dai soggetti NIS e anche rispetto al settore merceologico di appartenenza.
A guidare l’evoluzione sarà il principio di proporzionalità enunciato all’articolo 30 del decreto, che prevede una classificazione dei servizi sulla base della criticità, con misure sempre più stringenti in base al livello di impatto potenziale.
Ambiti di intervento degli obblighi di base NIS 2 di ACN
Il cuore tecnico della NIS 2 si fonda su dieci ambiti fondamentali per la sicurezza informatica, come previsto dall’articolo 24, comma 2 del D.lgs. 138/2024.
Le misure previste da ACN ricalcano i dieci ambiti dell’articolo e sono suddivise in codice identificativo, descrizione sintetica e requisiti dettagliati, che ne esplicitano gli obiettivi operativi.
Per il momento, gli obblighi di base sono differenziati tra “soggetti importanti” e “soggetti essenziali”. In linea con il principio di proporzionalità, i soggetti essenziali – più critici per la sicurezza nazionale – dovranno adottare alcuni requisiti aggiuntivi rispetto a quelli già previsti per i soggetti importanti.
I requisiti di sicurezza sono organizzati in due macro-tipologie:
- specifiche amministrative, che riguardano la progettazione strategica e la governance del programma di sicurezza informatica, come l’adozione di policy, la redazione di piani e procedure, e la documentazione operativa.
- specifiche tecniche, che attengono invece all’implementazione concreta delle misure di sicurezza: aggiornamento dei software, cifratura dei dati, autenticazione multifattoriale, solo per citarne alcune.
Gli obblighi toccano tutte le aree vitali della sicurezza informatica, delineando una difesa multilivello contro le minacce cyber.
Tra i principali ambiti troviamo: la gestione del rischio, la gestione della supply chain, la gestione degli asset, la gestione delle risorse umane, la gestione delle vulnerabilità, la continuità operativa e disaster recovery (compresa la tematica dei backup), la gestione degli accessi (compresa la MFA), la sicurezza fisica e la gestione degli incidenti.
Clausole di flessibilità: come funziona l’approccio basato sul rischio
Uno dei pilastri portanti della direttiva NIS 2, recepita in Italia dal D.lgs. 138/2024, è l’adozione di un approccio basato sul rischio nell’applicazione delle misure di sicurezza.
Un concetto che, sebbene ormai familiare nel mondo della cyber security, trova in questo contesto una declinazione particolarmente strutturata, pensata per adattarsi alla grande varietà di soggetti coinvolti – oltre 20.000 enti e aziende, tra essenziali e importanti.
Il punto di partenza è semplice: non tutti i sistemi informativi di rete sono uguali, né per criticità né per esposizione al rischio. Ecco perché, pur essendo le misure di sicurezza valide per l’intera organizzazione, il legislatore ha previsto una serie di “clausole di flessibilità”, che consentono di modulare i requisiti a seconda della rilevanza dei sistemi e dei risultati della valutazione del rischio.
Le clausole
Nelle misure di sicurezza “di base”, come definite dalla determinazione ACN 164179/2025, troviamo quattro tipologie principali di clausole che permettono questa modulazione:
- “per almeno i sistemi informativi di rete rilevanti”;
- “in accordo agli esiti della valutazione del rischio”;
- “fatte salve motivate e documentate ragioni normative o tecniche”;
- “forniture con potenziali impatti sulla sicurezza”.
“Per almeno i sistemi informativi di rete rilevanti”: questa clausola introduce un principio fondamentale, ossia, offre all’Organizzazione la facoltà di limitare l’ambito di applicazione per specifici requisiti ai sistemi informativi di rete rilevanti.
Come specificato dalla Faq Msb, i sistemi informativi di rete rilevanti sono quelli la cui compromissione comporterebbe un impatto significativo sulla confidenzialità, integrità e disponibilità delle attività e servizi per i quali il soggetto NIS rientra nell’ambito di applicazione del decreto NIS.
Il requisito GV.OC-04, per esempio, obbliga le organizzazioni a stilare un elenco di questi sistemi rilevanti. Sarà poi su questi sistemi che si applicheranno alcune delle misure più sofisticate, come previsto per 14 requisiti nei soggetti importanti e 19 nei soggetti essenziali.
In questo modo, il regolatore lascia spazio al soggetto stesso di selezionare i sistemi rilevanti e applicare determinati requisiti solo su quei sistemi.
Seconda clausola
La dicitura “In accordo agli esiti della valutazione del rischio” è ancora più flessibile e strategica.
L’uso di questa clausola subordina l’applicazione o la modalità di applicazione del requisito agli esiti di una valutazione del rischio interna.
Questo consente alle organizzazioni di modulare requisiti tecnici come la frequenza di aggiornamento delle credenziali o la configurazione dell’autenticazione multifattoriale (MFA), in base al profilo di rischio delle utenze (per esempio amministrative vs standard).
Questa clausola è presente in 6 requisiti per i soggetti importanti e in 9 per quelli essenziali, e rappresenta il vero strumento di personalizzazione delle misure, permettendo un bilanciamento più avanzato tra sicurezza e operatività, poiché i soggetti avranno la possibilità di adattare le modalità di attuazione di specifici requisiti sulla base degli esiti della valutazione del rischio.
La terza clausola
La clausola “Fatte salve motivate e documentate ragioni normative o tecniche” consente, in alcuni casi specifici, di non applicare un requisito, a patto che esistano ragioni tecniche o normative motivate e documentate.
È il caso, per esempio, di dispositivi medici o impianti industriali soggetti a limiti normativi che impediscono modifiche tecniche come la cifratura o l’installazione di software di sicurezza.
Ciò non significa che il rischio sia ignorato: il soggetto ha due strade davanti a sé: accettare il rischio in modo consapevole, tracciandone le motivazioni o adottare misure compensative, in grado di mitigare comunque l’impatto.
Questa clausola, presente in 8 requisiti per i soggetti importanti e 10 per quelli essenziali, è un riconoscimento della complessità tecnica e normativa he molte realtà si trovano ad affrontare.
Quarta clausola
Con la dicitura “Forniture con potenziali impatti sulla sicurezza”, si intende che alcune misure si applicano limitatamente alle forniture che possono avere impatti significativi sulla sicurezza dei sistemi.
Il criterio guida non è la tipologia della fornitura in sé, ma il suo potenziale impatto: può trattarsi di software, hardware o servizi gestiti che, se compromessi, inciderebbero sull’integrità o disponibilità dei sistemi di rete.
Questa clausola è inserita in 3 requisiti, comuni a soggetti essenziali e importanti, ed è cruciale per rafforzare la sicurezza lungo l’intera catena di fornitura.
La logica generale di queste clausole è chiara: la sicurezza informatica non può essere imposta in modo uniforme a realtà così diverse tra loro. Serve un meccanismo che permetta flessibilità e contestualizzazione, ma che allo stesso tempo richieda consapevolezza e tracciabilità.
Convergenze e differenze con il Regolamento Ue 2690/2024
Per i soggetti che rientrano sia nell’ambito di applicazione della Direttiva NIS 2 che nel Regolamento UE 2024/2690 (entrato in vigore il 17 ottobre 2024), la strada verso la conformità vede due normative diverse a cui aderire.
Questo Regolamento, direttamente applicabile in tutti gli Stati membri, introduce misure più stringenti rispetto alle misure di sicurezza “di base” previste dalla determinazione ACN n. 164179/2025.
Tuttavia, i due strumenti normativi delineano una traiettoria comune e sovrapponibile verso standard più elevati di cyber sicurezza.
Le misure ACN, applicabili a tutti i soggetti NIS – compresi quelli tenuti al rispetto del Regolamento 2690 – rappresentano una base uniforme di partenza. L’obiettivo non è sovrapporsi, ma creare una baseline condivisa, in grado di guidare anche i soggetti più esposti verso un sistema di controlli più maturo e strutturato.
In questo contesto, le specifiche tecniche contenute negli obblighi di base risultano propedeutiche al raggiungimento delle soglie richieste dal Regolamento europeo.
Business impact analysis (Bia): differenza tra i due strumenti normativi
Il Regolamento 2690 ne impone una redazione approfondita e metodica: ogni organizzazione deve definire i tempi massimi di inattività tollerabili e gli obiettivi di ripristino, partendo da un’analisi dettagliata dell’impatto sul business.
Le misure di ACN, pur prevedendo una valutazione dei rischi e una revisione periodica dei piani di trattamento (almeno biennale o in caso di incidenti rilevanti), non impongono una BIA strutturata.
Tuttavia, le misure di base delineate da Acn, richiedono di aver definito, attuato, aggiornato e documentato un piano di continuità operativa.
Aree condivise di intervento normativo
Sul piano tecnico, le due normative condividono molte aree d’intervento, ma con diversi livelli di profondità.
Per esempio, nella gestione di configurazioni, patch e vulnerabilità, il Regolamento 2690 impone processi sistematici di validazione e test prima dell’implementazione degli aggiornamenti.
Le misure ACN, pur affrontando lo stesso tema, non richiedono un livello di
formalizzazione così elevato. Nel controllo degli accessi, il Regolamento è particolarmente severo: impone l’uso obbligatorio dell’autenticazione multifattoriale, la gestione specifica degli account privilegiati e la registrazione dettagliata di tutte le attività.
Le misure ACN si fermano a requisiti fondamentali come la separazione tra utenze amministrative e non, l’uso di credenziali individuali e revisioni periodiche degli accessi, lasciando maggiore flessibilità sui dettagli operativi.
Altre divergenze
Anche la gestione degli incidenti evidenzia una divergenza: il Regolamento 2690 definisce in modo preciso cosa si intende per “incidente significativo”, includendo criteri quantitativi come perdite economiche, numero di utenti coinvolti, impatto su proprietà intellettuale o segreti commerciali.
Le misure ACN, invece, offrono una classificazione qualitativa e più generale, utile per la prima fase di implementazione ma meno puntuale.
Infine, un’altra differenza sostanziale si osserva nella segmentazione delle reti. Il Regolamento richiede che essa sia basata su un’analisi di rischio approfondita, valutando la criticità di ogni risorsa.
L’approccio ACN prevede la segmentazione come misura raccomandata, ma non ne impone l’applicazione sistematica con le stesse modalità prescrittive.
