Con la determinazione pubblicata il 24 aprile, l’Agenzia per la Cybersicurezza Nazionale (ACN) compie un passo decisivo nell’attuazione della direttiva NIS2 in Italia. Il provvedimento introduce il modello ufficiale per l’elencazione e la categorizzazione delle attività e dei servizi dei soggetti NIS, definendo criteri, modalità operative e livelli di impatto. Non si tratta di un adempimento formale: è la base su cui si costruirà l’intero sistema di gestione del rischio cyber per imprese e pubbliche amministrazioni a partire dal 2026. In tema, abbiamo organizzato il corso di formazione NIS 2: cosa fare entro il 2026 – Stato dell’arte, scadenze e checklist operativa per aziende e PA. Abbiamo anche pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
Indice
- 1. Un nuovo obbligo annuale: nasce il ciclo della compliance
- 2. Il modello ACN: dieci macro-aree per standardizzare
- 3. Impatto e rischio: quattro livelli per classificare
- 4. Flessibilità controllata: si può derogare, ma con prove
- 5. Non solo IT: obbligo esteso a tutte le attività
- 6. Integrazione con altre normative: meno duplicazioni
- Formazione per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Un nuovo obbligo annuale: nasce il ciclo della compliance
Uno degli elementi più rilevanti è l’introduzione di un obbligo periodico. Dal 1° maggio al 30 giugno di ogni anno, i soggetti essenziali e importanti dovranno aggiornare l’elenco delle proprie attività e dei servizi tramite la piattaforma digitale ACN.
Questo passaggio segna un cambio di paradigma: la compliance non è più statica ma diventa un processo continuo. Le organizzazioni dovranno dotarsi di procedure interne strutturate, capaci di mantenere aggiornato nel tempo un inventario che riflette l’evoluzione reale dei servizi erogati. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Il modello ACN: dieci macro-aree per standardizzare
Il cuore della determinazione è il modello di categorizzazione, articolato in dieci macro-aree che raggruppano attività e servizi omogenei. A ciascuna macro-area è associata una categoria di rilevanza predefinita.
L’obiettivo è duplice: da un lato garantire uniformità tra i soggetti NIS, dall’altro facilitare le attività di controllo e supervisione. Per le imprese, questo significa dover ricondurre i propri servizi a uno schema standard, con implicazioni importanti anche per la governance interna e la gestione degli asset.
3. Impatto e rischio: quattro livelli per classificare
Il modello introduce quattro categorie di rilevanza: impatto alto, medio, basso e minimo. Questa classificazione misura le conseguenze di una possibile compromissione di un servizio sulla capacità dell’organizzazione di operare correttamente.
Si tratta di una vera e propria metrica di rischio regolatoria. La classificazione non sarà neutra: influenzerà verosimilmente gli obblighi di sicurezza, le priorità di intervento e le modalità di gestione degli incidenti. Per questo motivo, la fase di valutazione richiederà competenze interdisciplinari, non solo tecniche.
4. Flessibilità controllata: si può derogare, ma con prove
Un aspetto particolarmente significativo è la possibilità per i soggetti NIS di modificare la categoria di rilevanza rispetto a quella pre-assegnata. Tuttavia, questa flessibilità è subordinata a un requisito stringente: la decisione deve essere motivata e documentata.
In altre parole, l’autonomia valutativa è bilanciata da un forte principio di accountability. Le organizzazioni dovranno dotarsi di metodologie formalizzate di risk assessment e conservare evidenze utili in caso di audit o verifiche da parte dell’autorità.
5. Non solo IT: obbligo esteso a tutte le attività
La determinazione chiarisce che devono essere censite tutte le attività e i servizi, sia interni sia esterni. Questo amplia significativamente il perimetro rispetto a una visione puramente tecnologica.
Il focus si sposta dai singoli asset IT ai servizi e ai processi di business. È un cambiamento coerente con l’impostazione della NIS2 e con altri framework europei, che pongono al centro la resilienza operativa complessiva dell’organizzazione.
6. Integrazione con altre normative: meno duplicazioni
Il provvedimento introduce anche meccanismi di coordinamento con altri ambiti regolatori. In particolare, le organizzazioni che hanno già classificato dati e servizi secondo il modello ACN per la PA potranno utilizzare quello schema in alternativa.
Inoltre, per le attività rientranti nel perimetro di sicurezza nazionale cibernetica, l’impatto è automaticamente considerato “alto”. Questo evita sovrapposizioni e rafforza la coerenza del sistema normativo.
Formazione per professionisti
NIS 2: cosa fare entro il 2026 – Stato dell’arte, scadenze e checklist operativa per aziende e PA
Secondo la comunicazione dell’ACN rilasciata in occasione dell’ottava riunione del Tavolo NIS (aprile 2026), l’elenco provvisorio dei soggetti NIS supera le 21.000 unità, di cui almeno 5.000 qualificati come essenziali.
Con le ultime determinazioni ACN, il framework della cybersecurity italiana è pienamente operativo e le organizzazioni sono chiamate a tradurre rapidamente gli obblighi in azioni concrete.
Questo webinar fornisce a tutte le organizzazioni e professionisti coinvolti una mappatura aggiornata dello “stato dell’arte”, con l’obiettivo di chiarire cosa fare entro il 2026 e come semplificare gli adempimenti.
Gli strumenti utili che mostreremo in questo webinar:
• La notifica unica: come integrare i flussi di segnalazione degli incidenti informatici verso diverse autorità con un unico processo.
• La mappatura degli adempimenti sovrapposti: per chi deve rispondere contemporaneamente a NIS 2, GDPR e Regolamento DORA.
• Gestione pratica della supply chain: come fare il censimento dei fornitori rilevanti e criteri per l’aggiornamento dei contratti (clausole cyber).
• Il portale ACN 2026: guida pratica all’uso dei Servizi NIS per il rinnovo dell’iscrizione e l’aggiornamento annuale delle attività.
• Checklist ispezioni: cosa preparare per farsi trovare pronti ai controlli dell’Agenzia (documentazione, log, processi di governance).
• Governance e modelli 231: revisione di deleghe, assetti organizzativi e modelli 231.
>>>Per info e descrizione<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento