Con la Determinazione n. 164179 del 10 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito le specifiche tecniche di base per l’attuazione concreta degli obblighi previsti dalla Direttiva NIS2, recepita in Italia con il D.lgs. 138/2024. Il documento, pubblicato ufficialmente sul sito ACN e in Gazzetta Ufficiale, segna una tappa fondamentale nel percorso di rafforzamento della cybersecurity nazionale.

UN CAMBIO DI PARADIGMA: LA SICUREZZA COME DOVERE DI GOVERNANCE

La NIS2 impone a soggetti pubblici e privati, identificati come “essenziali” o “importanti”, obblighi stringenti in materia di sicurezza informatica. Non si tratta solo di misure tecniche, ma di un vero e proprio cambio di approccio culturale e organizzativo, che investe la governance aziendale.

Gli organi di amministrazione e direzione dei soggetti NIS sono ora giuridicamente responsabili dell’adozione delle misure di sicurezza previste dalla normativa. L’adeguamento alla NIS2 non è più una scelta, ma un obbligo preciso e sanzionabile.

IL CONTENUTO DELLA DETERMINAZIONE ACN N. 164179/2025: COSA PREVEDE

La Determinazione si compone di 10 articoli e introduce quattro allegati tecnici fondamentali, che disciplinano:

• le misure minime di sicurezza informatica da adottare;
• la gestione degli incidenti significativi;
• i termini di adeguamento per le aziende coinvolte;
• le modalità di notifica e le specificità per soggetti già regolati da precedenti normative (come OSE e operatori telco).

A chi si applica

Il documento si applica ai:

• Soggetti essenziali: grandi operatori in settori critici (energia, trasporti, sanità, finanza, ecc.);
• Soggetti importanti: realtà meno impattanti ma comunque strategiche per i servizi digitali, la continuità operativa e la sicurezza nazionale.

LE MISURE MINIME DI SICUREZZA: COSA BISOGNA IMPLEMENTARE

La Determinazione impone ai soggetti NIS l’adozione di misure organizzative e tecniche, ispirate al Framework Nazionale per la Cybersecurity e la Data Protection 2025. Le aziende devono agire su più livelli, con particolare focus su:

Governance della sicurezza

• Responsabilità diretta degli organi apicali: i vertici devono approvare e supervisionare le strategie di cybersecurity.
• Policy e procedure formalizzate: gestione del rischio, continuità operativa, risposta agli incidenti.

Gestione del rischio cyber

• Identificazione degli asset critici;
• Valutazione delle minacce e vulnerabilità;
• Stima della probabilità e impatto di eventi cyber;
• Trattamento dei rischi secondo priorità e costi/benefici.

Sicurezza della supply chain

• Valutazione formale dei fornitori critici;
• Clausole contrattuali sulla sicurezza;
• Controlli sui processi di sviluppo software esterni.

 Formazione e cultura della sicurezza

• Programmi di formazione periodica per tutto il personale, inclusi i dirigenti;
• Simulazioni e test di risposta agli incidenti;
• Documentazione delle attività formative ai fini probatori.

I dettagli completi sono descritti negli Allegati 1 e 2 della Determinazione, differenziati tra soggetti importanti ed essenziali.

INCIDENTI SIGNIFICATIVI: CRITERI E OBBLIGHI DI NOTIFICA

La Determinazione definisce per la prima volta i parametri che qualificano un “incidente significativo”. Tali parametri sono riportati negli Allegati 3 e 4 e includono:

• Durata dell’impatto (es. oltre 1h, 2h, 4h…);
• Percentuale di utenti coinvolti rispetto al totale nazionale;
• Effetti su servizi essenziali o continuità operativa.

Il termine massimo per adeguarsi all’obbligo di notifica è di 9 mesi dalla comunicazione di inserimento nell’elenco ACN.

È previsto un canale dedicato sulla piattaforma digitale dell’ACN per trasmettere la segnalazione, secondo le modalità definite anche dalla Determinazione n. 136117/2025.

SCADENZE OPERATIVE

COSA DEVONO FARE SUBITO LE AZIENDE PER ESSERE CONFORMI

Se la tua azienda ha ricevuto una PEC dall’ACN, è probabile che tu sia già stato inserito nell’elenco dei soggetti NIS. In tal caso:

1. Valuta il tuo profilo di rischio e identifica il tuo ruolo (soggetto essenziale o importante).
2. Scarica e studia gli allegati tecnici della Determinazione ACN.
3. Avvia un assessment interno con il supporto del DPO, del CISO e di un consulente privacy e sicurezza informatica.
4. Formalizza le misure richieste in documentazione aggiornata (policy, procedure, piani di continuità).
5. Predisponi la piattaforma e i processi di notifica degli incidenti.

CONCLUSIONI

Questa Determinazione dell’ACN rappresenta un punto di svolta per la sicurezza informatica aziendale in Italia. Le aziende coinvolte devono agire con tempestività e consapevolezza, adottando un approccio sistemico, documentato e sostenuto da un solido framework di compliance.

Partecipa al webinar gratuito del 20 maggio 2025 (ore 11.30 – 12.30) per un’analisi pratica delle misure operative e delle strategie da adottare. https://attendee.gotowebinar.com/register/932318137586652254?source=sitoCP