NIS 2, avviata la Seconda Fase - Gli Obblighi di Base Stabiliti dall'ACN per la Cybersicurezza
Pubblicato il 09/06/2025
NIS 2, avviata la Seconda Fase - Gli Obblighi di Base Stabiliti dall'ACN per la Cybersicurezza
L'Agenzia per la cybersicurezza nazionale (ACN) ha recentemente pubblicato la determinazione n. 164179 del 14 aprile 2025, introducendo una serie di misure minime obbligatorie per i soggetti essenziali e importanti nell'ambito della prima fase di implementazione della Direttiva NIS2. Questo documento rappresenta un passo fondamentale verso il rafforzamento della sicurezza informatica nazionale, delineando una struttura percorso e graduale per le organizzazioni coinvolte.
Struttura e contenuti della Determinazione ACN
La determinazione dell'ACN si articola in quattro allegati tecnici che si riscontrano con precisione gli obblighi di sicurezza informatica per le diverse categorie di soggetti. Il documento pubblica 37 misure per i soggetti classificati come "importanti" e 43 per quelli "essenziali", che si traducono rispettivamente in 87 e 116 requisiti operativi specifici.
L'impianto metodologico si basa sul Framework nazionale per la cybersecurity e la protezione dei dati, già adottato in altri contesti normativi come la Legge n. 90/2024, il Piano Strategico Nazionale per la Cybersicurezza (PSNC) e il Regolamento cloud per la Pubblica Amministrazione. Questa scelta garantisce coerenza nell'approccio alla sicurezza informatica a livello nazionale.
Le tempistiche di attuazione sono chiaramente definite nel documento: entro 9 mesi dalla comunicazione di inserimento nell'elenco dei soggetti NIS scatta l'obbligo di notifica degli incidenti significativi, mentre l'adozione integrale delle misure di sicurezza di base deve avvenire entro 18 mesi. Queste cadenze rappresentano solo la fase iniziale di un percorso più ampio.
L'ACN ha infatti previsto una seconda fase implementativa, attesa per aprile 2026, in cui verranno introdotte misure di sicurezza specifiche e a lungo termine, calibrate in base alla categorizzazione dei servizi e dei sistemi gestiti dai soggetti NIS, nonché al settore merceologico di appartenenza.
I Dieci Ambiti Fondamentali della Sicurezza Informatica
Il nucleo tecnico della Direttiva NIS 2 si fonda su dieci ambiti essenziali per la sicurezza informatica, come previsto dall'articolo 24, comma 2 del D.lgs. 138/2024. Le misure stabilite dall'ACN rispecchiano questi ambiti e sono organizzate secondo un codice identificativo, una descrizione sintetica e requisiti dettagliati che ne specificano gli obiettivi operativi.
Attualmente, gli obblighi di base presentano differenze tra "soggetti importanti" e "soggetti essenziali". In linea con il principio di proporzionalità, i soggetti essenziali – considerati più critici per la sicurezza nazionale – dovranno attuare alcuni requisiti aggiuntivi rispetto a quelli già previsti per i soggetti importanti.
I requisiti di sicurezza si suddividono nelle due macro-categorie:
- Specifiche amministrative: riguardano la progettazione strategica e la governance del programma di sicurezza informatica, come l'adozione di policy, la redazione di piani e procedure, e la documentazione operativa.
- Specifiche tecniche: attengono all'implementazione concreta delle misure di sicurezza, come l'aggiornamento dei software, la cifratura dei dati e l'autenticazione multifattoriale.
Gli ambiti coperti dalle misure includono la gestione del rischio, la gestione della supply chain, la gestione degli asset, la gestione delle risorse umane, la gestione delle debolezza, la continuità operativa e disaster recovery (compresa la gestione dei backup), la gestione degli accessi (inclusa l'autenticazione multifattoriale), la sicurezza fisica e la gestione degli incidenti.
L'Approccio Basato sul Rischio: Le Clausole di Flessibilità
Un elemento distintivo della Direttiva NIS 2, recepita in Italia dal D.lgs. 138/2024, è l'adozione di un approccio basato sul rischio nell'applicazione delle misure di sicurezza. Questo approccio riconosce che non tutti i sistemi informativi di rete hanno la stessa criticità o esposizione al rischio.
Per questo motivo, la determinazione dell'ACN prevede quattro tipologie di "clausole di flessibilità" che consentono di modulare i requisiti in base alla rilevanza dei sistemi e ai risultati della valutazione del rischio:
- "Per almeno i sistemi informativi di rete rilevanti" : questa clausola permette all'organizzazione di limitare l'applicazione di specifici requisiti ai sistemi informativi di rete considerati rilevanti, ovvero quelli la cui compromissione comporterebbe un impatto significativo sulla confidenzialità, integrità e disponibilità delle attività e servizi per i quali il soggetto rientra nell'ambito di applicazione del decreto NIS.
- "In accordo agli esiti della valutazione del rischio" : subordina l'applicazione o la modalità di applicazione del requisito agli esiti di una valutazione del rischio interna, consentendo alle organizzazioni di requisiti tecnici modulari come la frequenza di aggiornamento delle credenziali o la configurazione dell'autenticazione multifattoriale in base al profilo di rischio delle utenze.
- "Fatte salve motivate e documentate ragioni normative o tecniche" : consente, in casi specifici, di non applicare un requisito a condizione che esistano ragioni tecniche o normative motivate e documentate, come nel caso di dispositivi medici o impianti industriali soggetti a limitazioni normative.
- "Forniture con potenziali impatti sulla sicurezza" : indica che alcune misure si applicano limitatamente alle forniture che possono avere impatti significativi sulla sicurezza dei sistemi, indipendentemente dalla tipologia della fornitura.
Confronto con il Regolamento UE 2690/2024
Per i soggetti che rientrano sia nell'ambito di applicazione della Direttiva NIS 2 che nel Regolamento UE 2024/2690 (entrato in vigore il 17 ottobre 2024), è necessario conformarsi a entrambe le normative. Il Regolamento, direttamente applicabile in tutti gli Stati membri, introduce misure più stringenti rispetto a quelle "di base" previste dalla determinazione ACN.
Tuttavia, i due strumenti normativi condividono una traiettoria comune verso standard più elevati di cybersicurezza. Le misure dell'ACN rappresentano una base uniforme di partenza, propedeutica al raggiungimento delle soglie richieste dal Regolamento europeo.
Una differenza significativa riguarda la Business Impact Analysis (BIA): il Regolamento 2690 ne impone una redazione approfondita e metodica, mentre le misure dell'ACN, pur prevedendo una valutazione dei rischi e una revisione periodica dei piani di trattamento, non richiedono una BIA strutturata con lo stesso livello di dettaglio.
Sul piano tecnico, le due normative condividono molte aree d'intervento, ma con diversi livelli di profondità. Ad esempio, nella gestione di persistente, patch e vulnerabilità, il Regolamento 2690 impone processi sistematici di validazione e test prima dell'implementazione degli aggiornamenti, mentre le misure dell'ACN affrontano lo stesso tema senza richiedere un livello di formalizzazione così elevato.
Nel controllo degli accessi, il Regolamento è particolarmente severo, imponendo l'uso obbligatorio dell'autenticazione multifattoriale, la gestione specifica degli account privilegiati e la registrazione dettagliata di tutte le attività. Le misure dell'ACN si limitano a requisiti fondamentali come la separazione tra utenze amministrative e non, l'uso di credenziali individuali e revisioni periodiche degli accessi.
Anche nella gestione degli incidenti emergono differenze: il Regolamento 2690 definisce in modo preciso cosa si intende per "incidente significativo", includendo criteri quantitativi, mentre le misure dell'ACN offrono una classificazione più qualitativa e generale.
In conclusione, la determinazione dell'ACN rappresenta un primo passo fondamentale verso l'implementazione della Direttiva NIS 2 in Italia, stabilendo un insieme di obblighi di base che tutte le organizzazioni coinvolte dovranno rispettare. L'approccio graduale e basato sul rischio, insieme alle clausole di flessibilità, consente di adattare le misure alle specifiche esigenze e caratteristiche di ciascuna organizzazione, garantendo al contempo un livello minimo di sicurezza informatica a livello nazionale.