09 Set Linee guida dell’ACN sulle specifiche di base della NIS 2
L’Agenzia per la Cybersicurezza nazionale (ACN) ha pubblicato le “Linee guida NIS – Specifiche di base – Guida alla lettura”, per supportare i soggetti NIS essenziali e importanti nella corretta applicazione delle misure di sicurezza contenute negli allegati tecnici alla Determina n. 164179/2025, adottata da ACN, la quale stabilisce le modalità e le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24 e 25 del D.lgs. 138/2024 (di seguito anche “decreto NIS”).
Si rammenta che gli articoli 23, 24 e 25 del decreto NIS disciplinano rispettivamente:
i. le responsabilità degli organi di amministrazione e direzione
ii. l’adozione di misure di gestione del rischio per la sicurezza informatica
iii. e la notifica di incidenti significativi.
Il documento ha quindi l’obiettivo facilitare la comprensione delle specifiche di base approvate con la Determina dell’ACN, traducendo i requisiti tecnici e organizzativi in un linguaggio più accessibile e operativo.
Il testo è strutturato in un’introduzione e due capitoli principali:
• Il primo illustra le misure di sicurezza di base, sviluppate secondo il Framework Nazionale per la Cybersecurity e la Data Protection e organizzate in funzioni, categorie e requisiti. Esse seguono un approccio risk-based, che consente di calibrare l’attuazione delle misure in base alla rilevanza dei sistemi informativi e agli esiti delle valutazioni del rischio, prevedendo clausole di flessibilità e la possibilità di motivare eventuali deroghe per vincoli tecnici o normativi. Viene inoltre fornito l’elenco delle evidenze documentali richieste (politiche, piani di risk management, business continuity e crisi, inventari, registri, procedure), alcune delle quali devono essere formalmente approvate dagli organi di governance.
• Il secondo capitolo è dedicato agli incidenti significativi di base, elencando tre categorie di incidenti per i soggetti importanti e quattro per gli essenziali (inclusi quelli con abuso di privilegi), e chiarendo che la notifica scatta dal momento in cui il soggetto ha “evidenza” dell’incidente, ossia elementi oggettivi che ne confermino l’avvenuto verificarsi.
A completamento, il documento contiene quattro appendici che riportano:
a) la mappatura tra le misure di sicurezza e gli elementi di cui all’art. 24, comma 2, del decreto NIS;
b) l’elenco dei requisiti soggetti a clausole relative all’approccio basato sul rischio;
c) l’elenco dei documenti da approvare a livello di organi di amministrazione e direzione;
d) un glossario con le definizioni dei principali termini tecnici utilizzati nelle Specifiche di base.
In sintesi, le Linee Guida si propongono come uno strumento pratico per accompagnare i soggetti NIS nel percorso di conformità normativa, fornendo un riferimento chiaro e sistematico per interpretare le specifiche tecniche, pianificare l’attuazione delle misure di sicurezza e garantire la tempestiva gestione e notifica degli incidenti.
