Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la riflessione

NIS 2 e gestione incidenti: correre all’ultimo minuto significa non essere pronti

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

In varie aziende e PA l’avvicinarsi di gennaio 2026, periodo di avvio dell’obbligo di notifica degli incidenti di sicurezza all’ACN, ha prodotto una corsa affannosa alla redazione di procedure “di facciata”: documenti formalmente corretti, ma lontani dalla logica operativa della NIS 2. Invece, serve meno carta e più capacità reale di governo dell’incidente

Pubblicato il 21 gen 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

NIS 2 e gestione incidenti

Nell’era del GDPR e della NIS 2, la capacità operativa non corrisponde all’adempimento documentale. Un assioma che dovrebbe essere ormai consolidato nella cultura aziendale di imprese private e PA.

Invece, nelle ultime settimane molte organizzazioni, pubbliche e private, si sono accorte improvvisamente che dal mese di gennaio 2026è scattato l’obbligo di notificare gli incidenti di sicurezza all’ACN. Da lì, la reazione istintiva: produrre in fretta una procedura di incident management, spesso assemblata:

  1. recuperando template già pronti;
  2. adattandoli superficialmente;
  3. archiviando il problema come “risolto”.

È proprio qui che si consuma l’equivoco più pericoloso della NIS 2: scambiare l’adempimento documentale con la capacità operativa.

Quando un incidente cyber smette di essere un problema tecnico e diventa di interesse pubblico

La falsa sicurezza dei documenti “last minute”

I documenti predisposti all’ultimo momento hanno un tratto comune: sono ordinati, ben scritti, ricchi di riferimenti normativi. Eppure tradiscono un limite strutturale perché raccontano come dovrebbe funzionare un sistema ma non dimostrano come funziona davvero quando l’incidente accade.

Ora, la NIS 2 non richiede l’esistenza di una procedura in astratto ma di gestire i rischi cyber connessi alla gestione degli incidenti di sicurezza. Questo può essere realizzato solo dotandosi della capacità di:

  1. riconoscere un incidente;
  2. valutarne l’impatto in termini di significatività;
  3. decidere rapidamente;
  4. coordinare ruoli e responsabilità;
  5. conservare evidenze e comunicare verso l’esterno in modo tempestivo e coerente.

Ovviamente, tutto questo non si improvvisa e non si costruisce in pochi giorni, ma necessita a monte di una pianificazione e di un sistema di valutazione e verifica, anche attraverso audit, del modello adottato.

NIS 2 e ISO 27001: piani diversi, finalità diverse

Una parte della confusione nasce dall’uso indistinto di standard internazionali come, ad esempio, la ISO/IEC 27001:2022.

La ISO/IEC 27001 è certamente uno standard solido e prezioso ma ha una funzione precisa: costruire un sistema di gestione della sicurezza delle informazioni; quindi: governance, ruoli, responsabilità, controllo e miglioramento continuo.

La NIS 2, invece, guarda prima di tutto alla capacità di risposta e quindi non prevede che l’organizzazione sia “ben certificata” ma che sia in grado di governare un evento critico quando si manifesta.

Usare documenti ISO come risposta diretta agli obblighi NIS 2 significa sovrapporre livelli che dovrebbero restare distinti e complementari.

Inoltre, le linee guida ACN pubblicate a dicembre 2025 introducono un insieme di variabili e criteri che esulano dal perimetro tipico della gestione degli incidenti così come delineato dalla ISO/IEC 27001:2022.

Questo comporta un disallineamento strutturale tra i due approcci.

Va poi chiarito un punto spesso frainteso: non tutti gli incidenti in cui può incorrere un’organizzazione soggetta alla NIS 2 sono oggetto di notifica ad ACN. Diversamente, tutti gli incidenti che incidono sulla sicurezza delle informazioni devono essere comunque gestiti in modo sistematico e documentato, nel rispetto del requisito 10 e dei controlli da 5.24 a 5.28 della ISO/IEC 27001:2022, indipendentemente dall’obbligo di notifica.

NIS 2 e gestione incidenti: la logica ACN e il NIST CSF 2.0

L’impostazione seguita dall’Agenzia per la Cybersicurezza Nazionale è chiara e coerente. Le linee guida, seppur arrivate forse un po’ tardi, si muovono lungo la traiettoria del NIST Cybersecurity Framework 2.0.

Il FNCDP 2.1 ne è una traduzione nazionale evidente: non è un modello di certificazione ma una guida operativa che serve a capire se, davanti a un incidente reale, l’organizzazione sa:

  1. cosa fare;
  2. chi decide;
  3. chi comunica;
  4. chi conserva le prove;
  5. chi risponde delle scelte compiute.

Il rischio delle semplificazioni consulenziali

In vari e organizzazioni questo equivoco è amplificato da un’abitudine diffusa: applicare template standardizzati, come se fossero una soluzione universale.

È una scorciatoia comprensibile ma davvero pericolosa.

È probabile, anzi è certo che ACN, in fase ispettiva, non chiederà l’esibizione di documenti “belli” né riferimenti normativi ridondanti ma andrà a cercare:

  1. coerenza operativa;
  2. capacità di dimostrare le decisioni prese;
  3. tracciabilità delle azioni;
  4. governo consapevole dell’incidente.

Quando la procedura è pensata solo per “esserci”, il rischio è quello di mancare completamente l’obiettivo della NIS 2.

Occorre, infine, tenere presente che la scadenza fissata dall’ACN non implica, sul piano formale, l’obbligo di predisporre una procedura dedicata.

Tuttavia, la complessità del processo di notifica è tale che, in assenza di una procedura strutturata e specifica, risulta estremamente difficile – se non impraticabile – effettuare una notifica corretta e tempestiva in caso di incidente significativo, considerata la quantità e la natura delle variabili che devono essere valutate.

Gestione incidenti: il vero cambio di passo richiesto dalla NIS 2

La NIS 2 impone un vero cambio di mentalità, perché sposta l’attenzione dal presidio meramente formale alla prontezza operativa.

Non è più sufficiente affermare che un incidente verrà gestito: diventa necessario dimostrare, in modo concreto e verificabile, che l’organizzazione è realmente in grado di farlo, nel momento in cui l’evento si manifesta.

In questa prospettiva, l’integrazione corretta non riguarda solo la gestione degli incidenti in senso stretto, ma più in generale l’intero sistema di sicurezza delle informazioni. Così:

  1. la ISO/IEC 27001 fornisce l’architettura organizzativa e le regole del sistema di gestione;
  2. il NIST CSF 2.0 accompagna e orienta i processi operativi, rendendo leggibile la capacità di prevenire, rilevare, rispondere e ripristinare;
  3. l’ACN, infine, valuta se questo impianto regge nella realtà, quando l’incidente accade davvero, e non quando l’organizzazione ha il tempo e la comodità di prepararsi.

Conclusioni

Ridursi all’ultimo momento per “mettersi a posto” con la gestione degli incidenti è un segnale chiaro: non si è pronti.

La notifica all’ACN non è un adempimento burocratico ma l’atto finale di una catena di decisioni, azioni e responsabilità che deve esistere prima dell’incidente.

La NIS 2 non richiede più carta ma maturità organizzativa.

Chi continuerà a rispondere con documenti standardizzati forse potrebbe anche superare una scadenza ma rischia di fallire alla prima crisi reale.

In conclusione, non è nei template che oggi si misura la vera compliance.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Il paradosso dell'articolo 17 della Nis 2: quando il "volontario" diventa obbligatorio

  • guida alla normativa

    Prossime scadenze NIS2: quali sfide dovranno affrontare le organizzazioni

    03 Mar 2025

    di Federica Maria Rita Livelli

    Condividi
  • Contratti di lavoro e privacy

  • privacy

    I contratti di lavoro devono essere disapplicati se violano il GDPR: la sentenza CGUE

    21 Gen 2025

    di Chiara Ponti

    Condividi
  • Contestualizzazione del FNCDP 2.1, un metodo per essere conformi alla NIS2: occorre partire dal NIST CSF 2.0

  • L'ANALISI

    NIS 2: da ENISA la guida tecnica per applicare correttamente le misure di sicurezza

    30 Giu 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
0
Lascia un commento, la tua opinione conta.x