Le linee guida NIS: misure di sicurezza e specifiche di base dell’Agenzia per la Cybersicurezza Nazionale

Nel settembre 2025 l’Agenzia per la Cybersicurezza Nazionale ha pubblicato le “Linee Guida NIS Specifiche di base Guida alla lettura” , un documento pensato per accompagnare i soggetti pubblici e privati nell’applicazione del Decreto Legislativo 4 settembre 2024, n. 138, con cui l’Italia ha recepito la Direttiva (UE) 2022/2555 (NIS2).

Gli obblighi previsti dal decreto NIS - Il decreto disciplina in modo puntuale i doveri dei soggetti NIS in tre ambiti fondamentali. L’art. 23 stabilisce le responsabilità degli organi di amministrazione e di direzione; l’art. 24 impone l’adozione di misure tecniche, operative e organizzative adeguate alla gestione dei rischi informatici; l’art. 25 definisce infine le modalità di notifica degli incidenti significativi al CSIRT Italia, la struttura nazionale di risposta agli incidenti informatici.

Per dare concreta attuazione a tali obblighi, l’ACN ha emanato la Determinazione n. 164179 del 14 aprile 2025, che definisce le specifiche di base. Queste comprendono le misure di sicurezza per i soggetti importanti e per quelli essenziali, nonché l’elenco degli incidenti significativi che devono essere notificati. Per fare ciò è stato necessario procedere attraverso un articolato processo di consultazione coordinato da ACN con autorità ed associazioni di categoria.

Finalità e struttura della Guida

La Guida ha lo scopo di facilitare la comprensione e l’interpretazione delle specifiche di base. Essa chiarisce la logica con cui sono state elaborate le misure, illustra i principi dell’approccio basato sul rischio e spiega il significato dei termini e dei concetti utilizzati. Il documento si rivolge ai soggetti NIS, essenziali e importanti, che hanno ricevuto la comunicazione ufficiale di inserimento nell’elenco nazionale. Il documento si articola in due sezioni principali:

• misure di sicurezza di base
• incidenti significativi di base

Completano il documento quattro appendici di approfondimento.

Le misure di sicurezza di base

Le misure di sicurezza individuate dall’ACN rappresentano il livello minimo di protezione che i soggetti NIS devono garantire. Esse sono state sviluppate in coerenza con il Framework Nazionale per la Cybersecurity e la Data Protection, versione 2025, e sono organizzate secondo le sue funzioni e categorie.

Per i soggetti importanti sono state definite 37 misure articolate in 87 requisiti, mentre per i soggetti essenziali le misure salgono a 43, con 116 requisiti complessivi. Questa differenziazione risponde al principio di proporzionalità: le organizzazioni considerate essenziali devono infatti implementare misure aggiuntive, commisurate al grado di rischio, alla dimensione e al potenziale impatto sui sistemi informativi e di rete utilizzati dai soggetti NIS nello svolgimento delle loro attività o nella fornitura dei servizi.

La loro adozione è ispirata a un approccio basato sul rischio, che consente di graduare gli interventi in funzione della criticità dei sistemi e delle risultanze della valutazione del rischio.

Tale approccio è reso operativo attraverso una serie di clausole che permettono, ad esempio:

• di limitare l’applicazione delle misure ai soli sistemi informativi e di rete rilevanti
• di modulare l’attuazione in base agli esiti della valutazione del rischio
• di prevedere deroghe motivate per ragioni normative o tecniche documentate.

Per le forniture che possono avere un impatto sulla sicurezza dei sistemi, i soggetti devono inoltre estendere i controlli e le misure anche alla propria catena di fornitura.

Le misure comprendono sia requisiti organizzativi, come la definizione di ruoli, politiche e procedure, sia tecnologici, che riguardano l’adozione di strumenti e soluzioni tecniche. Poiché si tratta di requisiti di base, prevalgono quelli di natura organizzativa, che costituiscono il fondamento di un sistema di gestione della sicurezza efficace. Per dimostrare l’attuazione delle misure, i soggetti devono disporre di una serie di evidenze documentali, come elenchi e inventari, piani di gestione dei rischi, continuità operativa, formazione, risposta agli incidenti e vulnerabilità. Sono inoltre richieste politiche di sicurezza, procedure operative e registri che traccino le attività svolte. I principali documenti strategici – tra cui il piano di gestione delle vulnerabilità, il piano di continuità operativa e il piano di gestione degli incidenti – devono essere approvati dagli organi di amministrazione e direzione.

Questo contenuto è sicuramente uno di quelli più rilevanti del documento. È ora disponibile ora una indicazione operativa e pratica immediatamente utilizzabile dalle singole organizzazioni che si possono trovare disorientate di fronte alle misure di da mettere in atto come indicato nel succitato framework.

Per proseguire la lettura dell'articolo di Monica Perego - Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - questo è il link