NIS 2: ACN pubblica le linee guida sulla gestione degli incidenti di sicurezza informatica

L’Agenzia per la Cybersicurezza Nazionale ha adottato le nuove linee guida sul processo di gestione degli incidenti di sicurezza informatica, uno degli elementi centrali del Dlgs. 138/2024, noto come decreto NIS.

L’iniziativa è rivolta a supportare i soggetti coinvolti nel percorso di adeguamento agli obblighi previsti dalla normativa.

La gestione degli incidenti rappresenta infatti un aspetto fondamentale per garantire la continuità delle attività e dei servizi, la protezione delle informazioni e la resilienza delle organizzazioni. Eventi di sicurezza informatica possono avere conseguenze rilevanti sul piano operativo, finanziario e reputazionale per gli enti coinvolti.

Il decreto NIS prevede esplicitamente la gestione degli incidenti tra le misure di gestione del rischio che i soggetti NIS essenziali e importanti sono tenuti ad adottare, come stabilito dall’articolo 24. Inoltre, l’articolo 25 impone l’obbligo di notificare al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei servizi.

Le modalità operative e le specifiche di base per l’adempimento di tali obblighi sono state definite dalla determinazione ACN n. 379907/2025, che disciplina gli obblighi di base ai quali i soggetti NIS devono conformarsi nei tempi previsti. In particolare:

• entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, è richiesta l’adozione delle misure di sicurezza di base;
• entro 9 mesi dalla medesima comunicazione, deve essere adempiuto l’obbligo di notifica degli incidenti significativi di base.

Le linee guida propongono un modello per il processo di gestione degli incidenti e illustrano il collegamento tra le diverse fasi del processo e le misure di sicurezza di base previste dalla normativa.

Il documento è completato da due appendici: l’appendice A fornisce un’introduzione alle specifiche di base, con l’obiettivo di agevolare la comprensione del testo; l’appendice B riporta invece l’elenco delle misure di sicurezza NIS rilevanti nelle varie fasi e sotto-fasi del processo di gestione degli incidenti.

A supporto dei soggetti NIS, l’ACN ha infine pubblicato anche una “guida alla lettura”, pensata per facilitare la comprensione e l’interpretazione delle specifiche di base contenute negli allegati tecnici della determinazione citata.