Le linee guida NIS: misure di sicurezza e specifiche di base dell’Agenzia per la Cybersicurezza Nazionale
Nel settembre 2025 l’Agenzia per la Cybersicurezza Nazionale ha pubblicato le “Linee Guida NIS Specifiche di base Guida alla lettura” , un documento pensato per accompagnare i soggetti pubblici e privati nell’applicazione del Decreto Legislativo 4 settembre 2024, n. 138, con cui l’Italia ha recepito la Direttiva (UE) 2022/2555 (NIS2).
Gli obblighi previsti dal decreto NIS - Il decreto disciplina in modo puntuale i doveri dei soggetti NIS in tre ambiti fondamentali. L’art. 23 stabilisce le responsabilità degli organi di amministrazione e di direzione; l’art. 24 impone l’adozione di misure tecniche, operative e organizzative adeguate alla gestione dei rischi informatici; l’art. 25 definisce infine le modalità di notifica degli incidenti significativi al CSIRT Italia, la struttura nazionale di risposta agli incidenti informatici.
Per dare concreta attuazione a tali obblighi, l’ACN ha emanato la Determinazione n. 164179 del 14 aprile 2025, che definisce le specifiche di base. Queste comprendono le misure di sicurezza per i soggetti importanti e per quelli essenziali, nonché l’elenco degli incidenti significativi che devono essere notificati. Per fare ciò è stato necessario procedere attraverso un articolato processo di consultazione coordinato da ACN con autorità ed associazioni di categoria.
Finalità e struttura della Guida - La Guida ha lo scopo di facilitare la comprensione e l’interpretazione delle specifiche di base. Essa chiarisce la logica con cui sono state elaborate le misure, illustra i principi dell’approccio basato sul rischio e spiega il significato dei termini e dei concetti utilizzati. Il documento si rivolge ai soggetti NIS, essenziali e importanti, che hanno ricevuto la comunicazione ufficiale di inserimento nell’elenco nazionale. Il documento si articola in due sezioni principali:
- misure di sicurezza di base;
- incidenti significativi di base.
Completa il documento quattro appendici di approfondimento.
Le misure di sicurezza di base - Le misure di sicurezza individuate dall’ACN rappresentano il livello minimo di protezione che i soggetti NIS devono garantire. Esse sono state sviluppate in coerenza con il Framework Nazionale per la Cybersecurity e la Data Protection, versione 2025, e sono organizzate secondo le sue funzioni e categorie.
Per i soggetti importanti sono state definite 37 misure articolate in 87 requisiti, mentre per i soggetti essenziali le misure salgono a 43, con 116 requisiti complessivi. Questa differenziazione risponde al principio di proporzionalità: le organizzazioni considerate essenziali devono infatti implementare misure aggiuntive, commisurate al grado di rischio, alla dimensione e al potenziale impatto sui sistemi informativi e di rete utilizzati dai soggetti NIS nello svolgimento delle loro attività o nella fornitura dei servizi.
(Nella foto: l'Ing. Monica Perego, docente al Corso "Direttiva NIS2: la gestione operativa degli incidenti ICT")
La loro adozione è ispirata a un approccio basato sul rischio, che consente di graduare gli interventi in funzione della criticità dei sistemi e delle risultanze della valutazione del rischio.
Tale approccio è reso operativo attraverso una serie di clausole che permettono, ad esempio:
- di limitare l’applicazione delle misure ai soli sistemi informativi e di rete rilevanti;
- di modulare l’attuazione in base agli esiti della valutazione del rischio;
- di prevedere deroghe motivate per ragioni normative o tecniche documentate.
Inoltre, per le forniture che possono avere un impatto sulla sicurezza dei sistemi, i soggetti devono estendere i controlli e le misure anche alla propria catena di fornitura.
Le misure comprendono sia requisiti organizzativi, come la definizione di ruoli, politiche e procedure, sia tecnologici, che riguardano l’adozione di strumenti e soluzioni tecniche. Poiché si tratta di requisiti di base, prevalgono quelli di natura organizzativa, che costituiscono il fondamento di un sistema di gestione della sicurezza efficace.
Per dimostrare l’attuazione delle misure, i soggetti devono disporre di una serie di evidenze documentali, come elenchi e inventari, piani di gestione dei rischi, continuità operativa, formazione, risposta agli incidenti e vulnerabilità. Sono inoltre richieste politiche di sicurezza, procedure operative e registri che traccino le attività svolte. I principali documenti strategici – tra cui il piano di gestione delle vulnerabilità, il piano di continuità operativa e il piano di gestione degli incidenti – devono essere approvati dagli organi di amministrazione e direzione.
Questo contenuto è sicuramente uno di quelli più rilevanti del documento. È ora disponibile ora una indicazione operativa e pratica immediatamente utilizzabile dalle singole organizzazioni che si possono trovare disorientate di fronte alle misure di da mettere in atto come indicato nel succitato framework.
Gli incidenti significativi di base - La seconda parte della Guida è dedicata agli incidenti informatici che, se significativi, devono essere notificati al CSIRT Italia. Anche in questo caso, le tipologie di incidenti variano a seconda della categoria di soggetto. Per i soggetti importanti sono previste tre tipologie: perdita di riservatezza dei dati, perdita di integrità e violazione dei livelli di servizio (SLA). I soggetti essenziali, oltre a queste, devono segnalare anche gli episodi di accesso non autorizzato o di abuso dei privilegi concessi. Proprio sul tema degli SLA si possono aprire interessanti considerazioni sulla necessità di ogni singola organizzazione di contrattualizzarli sia con i clienti che con i fornitori. Una ulteriore opportunità di miglioramento tangibile connessa alla implementazione della NIS 2.
Le evidenze possono emergere da segnalazioni interne, da comunicazioni del CSIRT o da sistemi di monitoraggio e rilevamento.
Particolare attenzione è dedicata al concetto di abuso dei privilegi concessi, che ricomprende l’uso improprio di credenziali legittime da parte di utenti o amministratori, anche se tecnicamente autorizzati, qualora l’accesso avvenga in violazione delle politiche interne o per finalità non funzionali al servizio.
Le appendici - Le quattro appendici completano la Guida fornendo ulteriori strumenti di supporto. La prima mette in relazione le misure di sicurezza con gli elementi dell’art. 24 del decreto NIS, la seconda elenca i requisiti che includono clausole basate sul rischio, la terza specifica i documenti che richiedono approvazione da parte degli organi direttivi e la quarta contiene un glossario dei termini tecnici più rilevanti. Anche in questo caso l’elenco dei documenti che devono approvare gi organi di direzione contribuisce a fare chiarezza ed orienta le organizzazioni.
Conclusioni - La Guida rappresenta un tassello fondamentale nel percorso di attuazione della Direttiva NIS2 in Italia. Proprio per questo sarebbe stato utile avere disponibili tali informazioni con maggiore anticipo, considerando quante realtà si sono mosse per tempo (e non poche) nel cercare di dipanare la matassa delle misure tecniche ed organizzative da prendere in carico e di fare luce sulla documentazione da predisporre.
La NIS 2 non rappresenta quindi solo o esclusivamente un potenziamento delle misure tecniche, non prevede necessariamente rilevanti esborsi economici sul fronte tecnologico. L’applicazione corretta e consapevole richiede, tramite un approccio basato sul rischio, che vengano progettate, implementate e valutate misure che possiedono entrambe le componenti.
