Sono state pubblicate nel mese di aprile 2025 tre importanti determinazioni da parte dell’ACN (Agenzia per la Cybersicurezza Nazionale), che avranno un impatto concreto su enti pubblici, aziende strategiche e operatori di servizi critici rientranti nel perimetro NIS2

Determinazione n. 136117/2025 – Gestione della piattaforma NIS (ACN Determinazione NIS2 n. 136117)

Essa riguarda l’accesso e l’uso della piattaforma digitale NIS, i.e. il sistema centrale con cui i soggetti notificati devono interagire con l’ACN. Tra le novità principali:

La determinazione stabilisce:

• Obbligo di designare un punto di contatto e un sostituto, entrambi con competenze solide in sicurezza e organizzazione. Si tratta di figure preparate che monitorano e coordinano le comunicazioni con l’ACN.
• Mantenere aggiornati i dati critici, quali: indirizzi IP, domini, Stati UE serviti, responsabili interni.
• Trasmettere l’elenco aggiornato degli accordi di condivisione informativa in formato strutturato.

La finestra di aggiornamento è tra il 15 aprile e il 31 maggio di ogni anno, con scadenze specifiche per soggetti fuori dall’UE e per la nomina del rappresentante in Italia.

Determinazione n. 136118/2025 – Accordi volontari di condivisione delle informazioni (ACN Determinazione NIS2 n. 136118)

Essa introduce la possibilità di sottoscrivere accordi volontari tra soggetti per condividere informazioni sulla sicurezza informatica, quali: indicatori di compromissione, vulnerabilità o buone pratiche.

Tale determinazione stabilisce che:

• I soggetti devono notificare gli accordi sottoscritti, le eventuali modifiche o cessazioni, entro 14 giorni.
• Tra il 15 aprile e il 31 maggio di ogni anno i soggetti devono confermare l’elenco degli accordi attivi.
• Gli accordi già in essere prima dell’entrata in vigore devono essere notificati entro il 31 maggio 2026.

Determinazione n. 164179/2025 – Misure di sicurezza e notifica incidenti (ACN Determinazione NIS2 n. 164179)

Essa riguarda le misure minime di sicurezza e i criteri per la notifica di incidenti significativi ed include:

• Prescrizioni organizzative e tecniche per la gestione del rischio cyber.
• Livelli di maturità ispirati al Framework Nazionale per la Cybersecurity.
• Criteri oggettivi per la classificazione degli incidenti e per decidere se necessario notificare.

La delibera è costituita da n. 4 allegati disponibili sul sito dell’ACN (La normativa – ACN). E precisamente:

• Allegato 1 – Misure di sicurezza di base per i soggetti importanti (Allegato 1)
  
• Allegato 2 – Misure di sicurezza di base per i soggetti essenziali(Allegato 2)
  
• Allegato 3 – Specifiche per gli incidenti significativi di base per i soggetti importanti (Allegato 3)
  
• Allegato 4 – Specifiche per gli incidenti significativi di base per i soggetti essenziali (Allegato 4)

Le organizzazioni rientranti nel perimetro avranno 18 mesi per adottare le misure di sicurezza di base, basandosi sul “Framework Nazionale per la Cybersecurity 2025”, sviluppato con il supporto di Sapienza e CINI.

Inoltre, entro 9 mesi sarà necessario aver recepito gli obblighi di notifica. Per gli operatori telco, sono considerati significativi gli incidenti che comportano interruzioni superiori a un’ora e interessano oltre il 15% degli utenti, con soglie crescenti in base alla durata e all’impatto complessivo.

Ancora, sono previste regole transitorie per soggetti già identificati come Operatori Servizi Essenziali (OSE), operatori telco e sistemi del Perimetro di sicurezza

È doveroso evidenziare che, successivamente alle determinazioni di aprile, ACN ha altresì pubblicato una check -list riferita alle misure di sicurezza. Di fatto, si tratta di un framework excel basato sul Framework Nazionale per la Cybersecurity e Data Protection edizione 2025 (Cybersecurity framework ) che mira a supportare le organizzazioni nel eseguire i controlli delle misure di sicurezza per i soggetti essenziali (modalita-e-specifiche-di-base-nis-soggetti-essenziali check list  ) ed importanti (modalita-e-specifiche-di-base-nis-soggetti-importanti -check list ) 

Che cosa fare ora?

Le organizzazioni che rientrano nel perimetro della NIS2 devono pianificare immediatamente le attività necessarie per garantire la conformità secondo le determinazioni pubblicate.

Si tratta di prendere consapevolezza che la direttiva europea NIS2 rappresenta un passo importante nella gestione del rischio cyber, spostando l’attenzione da un semplice esercizio di compliance a un vero e proprio framework operativo. Ciò significa che le aziende devono adottare un approccio più strategico e integrato alla cybersecurity. Ovvero non più un costo, bensì a una leva strategica per la resilienza, aiutando così a proteggere meglio il business.

Inoltre, è doveroso ricordare che NIS2 introduce responsabilità penali per i vertici aziendali, con sanzioni che possono arrivare fino a 2 anni di reclusione, sottolineando quanto sia importante per i leader assumersi la responsabilità della cybersecurity.

Ancora, la direttiva mira ad allineare la cybersecurity alla continuità del business, considerando che, secondo un recente comunicato di Enisa dello scorso novembre 2024 “SME Cybersecurity” (ENISA comunicato nov2024 – SMEs cybersecurity) il 90% delle PMI europee intervistate ha dichiarato che i problemi di sicurezza informatica avrebbero avuto gravi ripercussioni sulla propria attività entro una settimana dal verificarsi del problema, mentre il 57%, con ogni probabilità, riteneva che sarebbero fallite o avrebbero cessato l’attività. Ciò evidenzia quanto sia cruciale adottare misure di cybersecurity efficaci per garantire la sopravvivenza e la crescita delle imprese, soprattutto se rientrano nel perimetro della direttiva.

Conclusione

Alea iacta est! Gli adempimenti richiesti non sono più una scelta discrezionale di responsabilità delle funzioni IT, ma si configurano come obblighi formali, documentabili e certificabili, strettamente connessi alla governance aziendale. La definizione di un punto di contatto, l’identificazione delle soglie di impatto, gli aggiornamenti periodici e gli obblighi di notifica – inclusi quelli legati agli accordi informativi – rappresentano elementi chiave di un sistema integrato, concepito per costruire un ecosistema digitale resiliente, in grado di prevenire, rilevare e rispondere con efficacia agli attacchi informatici.

Cybsec-news.it vi invita alla seconda edizione della CYBSEC EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.