Direttiva NIS 2: ACN pubblica gli adempimenti in materia di gestione del rischio

Come è noto, la crescente digitalizzazione della società e dell’economia ha reso la cybersicurezza una priorità fondamentale per la salvaguardia degli interessi nazionali e la resilienza dei servizi essenziali. In questo contesto, l’Unione Europea ha adottato la direttiva (UE) 2022/2555, nota come direttiva NIS 2, con l’obiettivo di armonizzare le normative nazionali in materia di cybersicurezza e rafforzare la resilienza dei soggetti critici e importanti. L’Italia ha recepito tale direttiva attraverso il Decreto Legislativo 4 settembre 2024, n. 138 (di seguito, decreto NIS). Questo decreto introduce una serie di obblighi per i soggetti pubblici e privati identificati come essenziali o importanti per la fornitura di servizi cruciali.
Valicato il termine del 28 febbraio, data ultima per la registrazione sul portale, l’Agenzia per la cybersicurezza nazionale (ACN) ha comunicato negli scorsi giorni alle organizzazioni che si sono registrate l’ingresso nel perimetro dei soggetti essenziali ed importanti oppure l’esclusione.
Con Determinazione n. 164179 del 10 aprile 2025 (di seguito, Determinazione ACN) si entra nel vivo degli adempimenti da porre in essere. Vediamo quali sono quelli dedicati ai soggetti importanti. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon

1. Definizione e identificazione dei soggetti importanti

Il decreto NIS definisce i soggetti essenziali come quelli appartenenti ai settori altamente critici di cui all’Allegato I che superano determinati massimali dimensionali per le medie imprese, alcune pubbliche amministrazioni centrali e altri soggetti individuati come tali dall’Autorità nazionale competente NIS (ACN) in ragione della loro particolare criticità. I soggetti importanti, invece, sono definiti come tutti i soggetti rientranti nell’ambito di applicazione del decreto (Allegati I, II, III e IV) che non sono considerati essenziali. L’Allegato II del decreto NIS descrive i settori ritenuti critici, i relativi sottosettori e le tipologie di soggetti. L’applicazione del decreto ai soggetti degli Allegati I e II è subordinata al superamento dei massimali per le piccole imprese definiti dalla raccomandazione 2003/361/CE. Tuttavia, alcune categorie di soggetti, come i fornitori di reti pubbliche di comunicazione elettronica, i prestatori di servizi fiduciari e le pubbliche amministrazioni centrali, sono soggette al decreto indipendentemente dalle loro dimensioni.
La Determinazione ACN nr. 136117 del 10 aprile 2025 recante “termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimento di designazione dei rappresentanti NIS sul territorio nazionale”, specifica le modalità e i procedimenti di utilizzo e accesso a tale piattaforma, nonché le ulteriori informazioni che i soggetti devono fornire.
In particolare agli artt. 4 e ss. vengono chiarite le modalità di designazione del punto di contatto e del sostituto punto di contatto, il processo per il censimento degli utenti per accedere al Portale ACN, il procedimento per l’associazione degli utenti al soggetto per conto del quale accedono ai Servizi NIS, il procedimento per la registrazione, tramite il Servizio NIS/Registrazione e il processo per l’aggiornamento annuale delle informazioni, tramite il Servizio NIS/Aggiornamento annuale. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon

2. Obblighi generali di gestione del rischio per la sicurezza informatica

Il Capo IV del decreto NIS stabilisce gli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente, applicabili sia ai soggetti essenziali che a quelli importanti. L’articolo 24 del decreto impone a tali soggetti di adottare misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi per la sicurezza dei sistemi informativi e di rete utilizzati nella fornitura dei loro servizi e per prevenire e ridurre al minimo l’impatto degli incidenti. Tali misure devono tenere conto dello stato dell’arte, nonché dei pertinenti standard europei e internazionali e delle linee guida elaborate dall’ACN e dalle Autorità di settore NIS. Gli organi di amministrazione e direttivi dei soggetti importanti hanno la responsabilità di approvare le modalità di implementazione di tali misure e di sovrintendere alla loro attuazione. La Determinazione ACN n. 164179/2025, all’articolo 3, specifica che i soggetti comunicano con l’Autorità nazionale competente NIS tramite il Portale ACN per tutti gli adempimenti previsti dal decreto NIS. L’articolo 6 della medesima Determinazione ribadisce la responsabilità degli organi di amministrazione e direttivi e delle persone fisiche in caso di violazioni.
Ulteriori indicazioni utili sui tipi di misure di sicurezza attese, strutturate in coerenza con gli ambiti di cui all’articolo 8, comma 1, della Legge 90/2024 sono da ravvisarsi nelle Linee guida di Enisa sul rafforzamento della resilienza. Tali ambiti includono lo sviluppo di politiche e procedure di sicurezza delle informazioni, la produzione e l’aggiornamento di sistemi di analisi preventiva e di rilevamento, un piano per la gestione del rischio informatico e un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni.

3. Obblighi specifici dettagliati nella determinazione ACN 164179/2025 e relativi allegati

La Determinazione ACN 164179/2025, dettaglia le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS, ovvero quelli relativi alle misure di cybersecurity e degli incidenti cyber significativi per i soggetti essenziali e per quelli importanti.
Il termine per l’adozione delle misure di sicurezza di base di cui agli allegati 1 e 2 è fissato in diciotto mesi dalla ricezione, da parte del soggetto NIS della comunicazione di inserimento nell’elenco dei soggetti NIS e quello per l’adempimento dell’obbligo di notifica degli incidenti significativi di base descritti negli allegati 3 e 4 è fissato in nove mesi dalla ricezione, da parte del soggetto NIS, della comunicazione di inserimento nell’elenco dei soggetti NIS.
L’Allegato 1 alla Determinazione ACN specifica le “Misure di sicurezza di base per i soggetti importanti”. Queste misure sono suddivise per ambiti e comprendono requisiti minimi attesi, descrizioni ed evidenze documentali richieste. Gli ambiti includono:

• gestione del rischio: Richiede l’implementazione di politiche e processi per la gestione del rischio informatico, l’identificazione, l’analisi e la valutazione dei rischi, nonché la definizione e la priorizzazione delle risposte al rischio. È necessario un piano per la gestione del rischio informatico. Il rischio residuo deve essere descritto e accettato dai vertici del soggetto.
• ruoli e responsabilità: Impone la definizione e la comunicazione dell’organizzazione di cybersecurity, inclusi ruoli e responsabilità per tutto il personale e le terze parti rilevanti, nonché l’istituzione della struttura di cui all’articolo 8 della Legge 90/2024 con l’assegnazione di ruoli e responsabilità per le attività ivi indicate. È richiesta la descrizione dell’organizzazione di cybersecurity e della struttura, nonché la nomina del referente per la cybersicurezza.
• affidabilità delle risorse umane: Richiede l’adozione di misure per garantire l’affidabilità del personale, come verifiche e formazione sulla sicurezza informatica.
• conformità e audit di sicurezza: Prevede la definizione e la documentazione di politiche e processi di cybersecurity, inclusi audit periodici per verificarne l’efficacia. È necessario un piano programmatico aggiornato per la sicurezza di dati, sistemi e infrastrutture.
• inventario degli asset: Richiede il censimento e la manutenzione di un inventario aggiornato di tutti i sistemi e gli apparati fisici in uso, con l’approvazione degli accessi alla rete. Deve esistere un elenco dei sistemi e degli apparati approvati.
• sicurezza della rete: Impone l’identificazione e l’approvazione dei flussi di dati e comunicazioni inerenti l’organizzazione, con la definizione di misure di sicurezza per proteggere la rete. È richiesto un elenco dei flussi informativi approvati.
• controllo degli accessi: Prevede l’implementazione di politiche e procedure per la gestione degli accessi, inclusa la gestione delle identità digitali, l’autenticazione e l’autorizzazione. È necessario un inventario delle utenze con privilegi e le procedure relative alla gestione dei diritti di accesso.
• sicurezza dei dati: Richiede l’adozione di politiche e procedure per la protezione dei dati in tutte le fasi del loro ciclo di vita, inclusi backup e ripristino. Sono richieste le politiche e le procedure relative alla memorizzazione e protezione dei dati e al backup.
• protezione dalle minacce informatiche: Impone l’implementazione di misure per prevenire, rilevare e rispondere alle minacce informatiche, inclusi software antimalware e sistemi di rilevamento delle intrusioni. Sono richieste le politiche e le procedure relative al monitoraggio degli eventi di sicurezza e al rilevamento del codice malevolo.
• gestione delle vulnerabilità: Richiede l’implementazione di processi per l’identificazione, la valutazione e la mitigazione delle vulnerabilità, inclusa la gestione delle informazioni sulle vulnerabilità provenienti da fonti interne ed esterne, come il CSIRT Italia. È necessario un piano aggiornato delle attività volte a identificare le vulnerabilità e le procedure per la gestione delle informazioni sulle vulnerabilità.
• risposta agli incidenti: Impone la definizione e l’implementazione di un piano di risposta agli incidenti, incluse procedure per la segnalazione e la gestione degli incidenti, nonché per la comunicazione interna ed esterna. È richiesto un piano di risposta agli incidenti.
• continuità operativa e ripristino: Prevede la definizione e l’implementazione di piani per garantire la continuità operativa e il ripristino dei servizi in caso di incidenti. È richiesto un piano di ripristino dagli incidenti.
• consapevolezza e formazione: Richiede l’implementazione di programmi di formazione e sensibilizzazione sulla cybersicurezza per tutto il personale. È richiesto un documento che indichi i contenuti della formazione fornita agli utenti e un registro degli utenti formati.

4. Obblighi di notifica di incidente

L’articolo 25 del decreto NIS stabilisce l’obbligo per i soggetti essenziali e importanti di notificare senza ingiustificato ritardo al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi. La notifica deve avvenire secondo modalità e termini specifici, con una pre-notifica entro 24 ore dalla consapevolezza dell’incidente e una notifica completa entro 72 ore.
 La Determinazione ACN 164179/2025, all’articolo 5, prevede che i soggetti PSNC-NIS (inclusi nel Perimetro di Sicurezza Nazionale Cibernetica e rientranti nell’ambito di applicazione del decreto NIS) notificano gli incidenti significativi di base di cui all’allegato 4, limitatamente ai sistemi informativi e di rete diversi da quelli PSNC. Analogamente, l’articolo 6 prevede obblighi di notifica per gli Operatori di Servizi Essenziali (OSE) ai sensi del D. Lgs. 65/2018 e l’articolo 7 per gli operatori telco ai sensi del D. Lgs. 259/2003, in transizione verso gli obblighi del decreto NIS. L’ACN ha predisposto una guida alla notifica degli incidenti disponibile sul proprio sito web.

5. Ulteriori obblighi ed aspetti correlati

Oltre agli obblighi di gestione del rischio e di notifica, i soggetti importanti potrebbero essere tenuti a rispettare ulteriori disposizioni. L’articolo 27 del decreto NIS prevede la possibilità per l’ACN di imporre l’utilizzo di categorie di prodotti, servizi e processi TIC certificati nell’ambito dei sistemi europei di certificazione della cybersicurezza. L’articolo 17 disciplina la condivisione volontaria di informazioni sulla sicurezza informatica tra soggetti essenziali e importanti, al fine di rafforzare la cooperazione e la consapevolezza situazionale. L’articolo 34 del decreto NIS attribuisce all’ACN la funzione di monitorare e valutare il rispetto degli obblighi e di svolgere attività di vigilanza, con la possibilità di adottare misure di esecuzione e irrogare sanzioni in caso di inadempimento. L’articolo 38 dettaglia le sanzioni amministrative pecuniarie applicabili in caso di violazione degli obblighi, distinguendo tra soggetti essenziali e importanti e tra violazioni relative alla gestione del rischio/notifica e altre violazioni.

6. Conclusioni

I soggetti importanti (così come quelli essenziali), sono tenuti ad osservare una serie di obblighi significativi volti a rafforzare la loro resilienza cibernetica. La Determinazione ACN n. 164179 del 10 aprile 2025, con il suo Allegato 1, dettaglia le misure di sicurezza di base che tali soggetti devono implementare, coprendo un ampio spettro di aspetti dalla gestione del rischio alla risposta agli incidenti. Unitamente agli obblighi di registrazione e notifica degli incidenti, queste disposizioni mirano a creare un ecosistema digitale più sicuro e resiliente.
È fondamentale che i soggetti importanti prendano piena consapevolezza di questi obblighi e intraprendano le azioni necessarie per la loro implementazione, tenendo conto delle specificità del proprio settore e delle proprie dimensioni. La mancata osservanza di tali obblighi può comportare l’applicazione di significative sanzioni amministrative. La continua evoluzione del panorama delle minacce informatiche rende imperativo un impegno costante verso il miglioramento della resilienza cibernetica, in stretta collaborazione con l’ACN e le altre Autorità competenti.

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!