L’ACN, Agenzia per la Cybersicurezza Nazionale, ha adottato lo scorso 18 dicembre una nuova determinazione contenente alcune linee guida per aiutare le aziende soggette alla NIS 2 a tradurre gli obblighi normativi in pratiche concrete di protezione digitale. In particolare, la determinazione, che si applica dal 15 gennaio 2026 e sostituisce la precedente (14 aprile 2025), contiene le specifiche di base per l’adempimento di alcuni obblighi di base attraverso quattro allegati che hanno come oggetto le Misure di sicurezza di base, distinte rispettivamente per Soggetti Importanti (Allegato 1) e Soggetti Essenziali (Allegato 2), e gli Incidenti significativi di base, anche qui per Soggetti Importanti (Allegato 3) e Soggetti Essenziali (Allegato 4).
Un importante punto richiamato dalla nuova determinazione riguarda quindi il coinvolgimento degli organi di amministrazione e direttivi, ovvero CDA e vertici aziendali, nella catena di responsabilità e di approvazione delle policy e delle misure di protezione. Ciò comporta chiare indicazioni volte alla piena integrazione della cybersecurity nella governance aziendale: la protezione informatica oggi costituisce infatti un elemento essenziale nella gestione di un’organizzazione, che non può più essere ritenuto un onere secondario da demandare ai reparti IT. La cybersecurity aziendale deve essere presa in considerazione pienamente dalla dirigenza, in coerenza con il principio di responsabilità personale diretta degli organi di amministrazione introdotto dalla direttiva NIS2. Questo principio di accountability dei vertici aziendali richiede infatti che il management approvi le misure di sicurezza, assicuri le risorse necessarie e partecipi a percorsi di formazione specifica.
Un ulteriore chiarimento fondamentale del testo riguarda un concetto operativo spesso fonte di ambiguità nella definizione del perimetro e nella classificazione dei sistemi informativi e di rete rilevanti. Tali sistemi sono infatti definiti come quelli la cui compromissione può avere un impatto significativo sulla riservatezza, integrità e disponibilità delle attività o dei servizi che determinano l’inclusione del soggetto nell’ambito di applicazione della NIS2. Ciò implica la necessità di includere nella valutazione del rischio cyber tutti gli asset critici in azienda, non limitandosi ai tradizionali strumenti IT, ma anche sistemi operativi industriali OT, servizi cloud e software di terze parti.
La determinazione è quindi molto chiara su termini e scadenze, che decorrono dalla data di ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS: 18 mesi per adottare le misure di sicurezza di base (Allegati 1 e 2), 9 mesi per adempiere all’obbligo di notifica degli incidenti significativi di base (Allegati 3 e 4). In termini pratici, questo dice quindi in modo chiaro alle aziende che, seppure abbiano tempo un anno e mezzo per implementare il proprio impianto di misure di protezione di base, il sistema di notifica degli incidenti deve essere messo a punto e funzionare prima del completamento dell’impianto di misure di sicurezza informatica.
La valutazione dei rischi resta quindi il documento base per implementare una roadmap chiara e sostenibile per gestire le vulnerabilità, garantire la sicurezza delle forniture e la risposta efficace agli incidenti. Il cyber risk assessment deve quindi essere concepito non come un documento da produrre ‘una tantum’, ma come un processo continuo che va aggiornato almeno annualmente, o comunque ogni volta che si verifichino cambiamenti significativi che possono impattare la postura di sicurezza dell’azienda: ad esempio a seguito dell’introduzione di nuove tecnologie, ingresso in nuovi mercati o fusioni aziendali.
E’ infine utile rivedere quali sono le misure di sicurezza minime indicate dalla NIS 2:
1. policy di gestione dei rischi approvate dal vertice;
2. gestione degli incidenti con procedure testate;
3. business continuity e disaster recovery (con recovery time objectives documentati);
4. sicurezza della supply chain (valutazione cyber dei fornitori);
5. sicurezza nell’acquisizione, sviluppo e manutenzione di sistemi;
6. policy e procedure per valutare l’efficacia delle misure;
7. pratiche di igiene informatica e formazione (awareness ricorrente, simulazioni di phishing);
8. crittografia e cifratura dove applicabile;
9. sicurezza delle risorse umane (background check, clausole contrattuali);
10. controllo degli accessi (gestione identità, MFA, principio del privilegio minimo);
11. gestione degli asset (inventario aggiornato, classification);
12. autenticazione multi-fattore robusta;
13. comunicazioni sicure (VPN, crittografia end-to-end);
14. segmentazione della rete.
Sul fronte notifiche, la Direttiva impone invece l’obbligo di notifica per gli incidenti ‘significativi’, che sono da ritenersi tali se:
1. causano interruzione grave dei servizi erogati;
2. comportano perdite economiche rilevanti;
3. colpiscono un numero elevato di utenti;
4. hanno impatto su altri Stati membri;
5. generano ampia copertura mediatica.