NIS 2, adottate le linee guida ACN sulla gestione degli incidenti di sicurezza informatica
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato delle linee guida sul processo di gestione degli incidenti di sicurezza informatica, ovvero uno dei pilastri del Dlgs. 138/2024 (c.d. decreto NIS), per supportare i soggetti coinvolti nel loro percorso di adeguamento agli obblighi previsti dal decreto.

La gestione degli incidenti è essenziale per garantire la continuità delle attività e dei servizi, la protezione delle informazioni e la resilienza delle organizzazioni: gli incidenti di sicurezza possono infatti determinare impatti significativi in termini operativi, finanziari o reputazionali per gli enti.
La gestione degli incidenti è infatti ricompresa tra le misure in materia di gestione dei rischi che i soggetti NIS essenziali e importanti devono adottare in base all’art. 24 del decreto; si ricorda inoltre che, ai sensi dell’art. 25, i soggetti NIS devono notificare al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi.
Le modalità e le specifiche di base per l’adempimento di tali obblighi sono state stabilite con la determinazione ACN n. 379907/2025 sugli obblighi di base, alla quale gli enti sono tenuti a conformarsi nei termini ivi previsti:
- 18 mesi dalla ricezione, da parte del soggetto NIS della comunicazione di inserimento nell’elenco dei soggetti NIS, per l’adozione delle misure di sicurezza di base
- 9 mesi dall’analoga ricezione, per l’adempimento dell’obbligo di notifica degli incidenti significativi di base
Nelle linee guida, in particolare, viene suggerito un modello per il processo di gestione degli incidenti e viene descritta la relazione tra le fasi del processo e le misure di sicurezza di base.
Le Linee Guida comprendono due appendici:
- appendice A: introduzione alle specifiche di base per una migliore comprensione del documento
- appendice B: elenco delle misure di sicurezza della disciplina NIS rilevanti nelle varie fasi e sotto-fasi del processo di gestione degli incidenti.
ACN, a supporto dei soggetti NIS, ha altresì pubblicato una “guida alla lettura“, con cui sono fornite indicazioni per agevolare la comprensione e l’interpretazione delle specifiche di base degli allegati tecnici della determinazione ACN citata.
Fonte: Agenzia per la Cybersicurezza Nazionale






