NIS2: con le Linee Guida ACN la strada è finalmente chiara. Ecco cosa fare adesso.

Condividi:
NIS 2: con le Linee Guida ACN la strada è finalmente chiara. Ecco cosa fare adesso.

NIS 2: con le Linee Guida ACN la strada è finalmente chiara. Ecco cosa fare adesso.

La Direttiva NIS2 (UE) 2022/2555, recepita in Italia con il D.Lgs. 138/2024, è entrata nella sua fase operativa. Con la pubblicazione delle Linee Guida – Specifiche di base – Guida alla lettura (versione 2.0, dicembre 2025), l’Agenzia per la Cybersicurezza Nazionale (ACN) ha reso concrete le modalità applicative degli articoli 23, 24 e 25 del decreto.

NIS2: non è (più) solo un tema IT

Quando si parla di NIS2, molte organizzazioni pensano ancora a un adeguamento tecnico. Sbagliato.

L’articolo 23 del D.Lgs. 138/2024 disciplina espressamente gli obblighi in capo agli organi di amministrazione e direttivi. Questo significa tre cose concrete:

  • La sicurezza informatica non può essere delegata esclusivamente alla funzione IT.
  • Le decisioni strategiche in materia di cybersecurity devono essere formalizzate e approvate.
  • La documentazione adottata deve essere coerente con le misure effettivamente implementate.

La NIS2 sposta la cybersecurity dal livello operativo al livello di governance. Per un consiglio di amministrazione, adeguarsi significa dotarsi di un sistema formalizzato di gestione del rischio cyber — non acquistare una tecnologia, ma strutturare un modello decisionale, documentato e verificabile.

Le scadenze che il management non può ignorare

Le Linee Guida ACN ribadiscono due termini fondamentali, entrambi calcolati dalla ricezione della comunicazione ufficiale di inserimento nell’elenco dei soggetti NIS:

Obbligo Termine
Adozione delle misure di sicurezza di base 18 mesi
Adempimento dell’obbligo di notifica degli incidenti significativi 9 mesi

Dal 12 aprile 2025 l’ACN ha avviato le comunicazioni di inserimento nell’elenco. Da quella data decorrono i termini per ciascun soggetto.

La differenza tra i 18 e i 9 mesi non è casuale: la capacità di notificare un incidente significativo deve essere operativa prima del completamento dell’intero impianto di sicurezza. È una priorità di processo, non solo tecnica.

Cosa succede se non si rispettano le scadenze?

Le Linee Guida ACN hanno natura operativa e interpretativa: chiariscono le modalità applicative, non disciplinano il regime sanzionatorio.

Le sanzioni previste per il mancato adeguamento o la mancata notifica sono stabilite dal D.Lgs. 138/2024. In particolare, la mancata notifica di un incidente significativo costituisce violazione dell’articolo 25 del decreto. Per conoscere i dettagli sanzionatori è necessario fare riferimento al testo normativo.

Misure di sicurezza di base: un approccio fondato sul rischio

Le misure di sicurezza previste dagli Allegati 1 e 2 della determinazione ACN sono strutturate in coerenza con il Framework Nazionale per la Cybersecurity e organizzate per funzioni, categorie, sottocategorie e requisiti.

L’impianto è costruito esplicitamente su un approccio basato sul rischio. Le clausole presenti nelle specifiche di base lo confermano, ad esempio:

  • “per almeno i sistemi informativi e di rete rilevanti”
  • “in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05”
  • “fatte salve motivate e documentate ragioni normative o tecniche”
  • “forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete”

Implicazione pratica: senza una valutazione del rischio strutturata (misura ID.RA-05), non è possibile dimostrare la corretta applicazione delle misure. La valutazione del rischio non è un’attività propedeutica: è il pilastro su cui si regge l’intero impianto.

Soggetti essenziali e soggetti importanti: cosa cambia

Il D.Lgs. 138/2024 ha sostituito le categorie della Direttiva: Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) con due nuove categorie:

  • Soggetti essenziali
  • Soggetti importanti

Le Linee Guida ACN di dicembre 2025 non introducono questa classificazione, ma la declinano operativamente nelle specifiche di base. Le differenze non sono solo terminologiche, ma si traducono in obblighi quantitativamente e qualitativamente differenti:

Categoria Misure Requisiti
Soggetti importanti 37 87
Soggetti essenziali 43 116

Alcune misure sono previste esclusivamente per i soggetti essenziali; altre presentano requisiti aggiuntivi rispetto alla versione destinata ai soggetti importanti. La classificazione determina l’estensione concreta degli obblighi.

Incidenti significativi: quando scatta l’obbligo di notifica

Le Linee Guida distinguono le tipologie di incidenti significativi in base alla categoria del soggetto:

  • Soggetti importanti: 3 tipologie di incidenti
  • Soggetti essenziali: 4 tipologie di incidenti

Le tipologie comprendono eventi come:

  • perdita di riservatezza verso l’esterno
  • perdita di integrità con impatto verso l’esterno
  • violazione dei livelli di servizio attesi
  • accesso non autorizzato o con abuso dei privilegi concessi

Due termini da rispettare:

  • Pre-notifica: entro 24 ore dall’evidenza oggettiva dell’incidente
  • Notifica completa: entro 72 ore dall’evidenza oggettiva dell’incidente

Un dettaglio spesso trascurato: l’obbligo non riguarda solo gli attacchi intenzionali. Anche eventi accidentali che compromettano disponibilità, integrità o riservatezza dei sistemi rientrano nell’obbligo di notifica.

Appendice C: la cybersecurity diventa responsabilità formale del CDA

L’Appendice C delle Linee Guida elenca i documenti che devono essere approvati dagli organi di amministrazione e direttivi. Si tratta di un elenco che trasforma la cybersecurity in un sistema di governance formale:

  1. Organizzazione per la sicurezza informatica
  2. Politiche di sicurezza informatica
  3. Valutazione del rischio
  4. Piano di trattamento del rischio
  5. Piano di adeguamento
  6. Piano di continuità operativa
  7. Piano di ripristino in caso di disastro
  8. Piano di gestione delle crisi
  9. Piano di formazione
  10. Piano di gestione degli incidenti

Non si tratta di documenti da archiviare. Devono essere approvati, aggiornati e verificabili nel tempo dai massimi livelli decisionali dell’organizzazione.

Questo elenco ci è familiare. Da molto tempo.

Quando abbiamo analizzato l’Appendice C delle Linee Guida ACN, la prima reazione non è stata sorpresa. È stata riconoscimento.

Politiche di sicurezza, valutazione del rischio, piano di continuità operativa, disaster recovery, gestione degli incidenti, formazione: sono esattamente le aree su cui Alchimie Digitali lavora con i propri clienti da anni. Non perché abbiamo anticipato la NIS 2 — ma perché è sempre stata semplicemente informatica fatta bene.

Nel tempo, più di qualche cliente ci ha chiesto: “Ma voi quante cose fate?”. La risposta è che non si tratta di tante cose separate. Si tratta di un unico sistema in cui ogni pezzo è consequenziale al successivo e nessuno può esistere senza gli altri. Non puoi avere un piano di ripristino da disastro senza prima aver fatto una valutazione del rischio. Non puoi gestire un incidente se non hai definito le procedure prima che accada. Non puoi garantire la continuità operativa se non sai cosa devi proteggere e perché.

La NIS2  e in particolare l’Appendice C, ha fatto una cosa utile: ha messo per iscritto, in un documento normativo vincolante, quello che chi lavora seriamente nell’IT ha sempre considerato ovvio. Ha dato un nome di legge a una catena logica di attività che non nasce dalla compliance, ma dal buon senso applicato alla gestione dei sistemi informativi.

Il risultato pratico per i nostri clienti è che molti di loro sono già parzialmente coperti, o hanno una base solida da cui partire. Non perché si siano adeguati alla NIS2 in anticipo, ma perché hanno scelto un approccio alla gestione IT che non separava mai la tecnologia dalla continuità del business.

Per chi invece sta affrontando questi temi per la prima volta, la buona notizia è questa: i pezzi non vanno costruiti uno per uno in isolamento. Vanno progettati insieme, perché insieme funzionano.

Le evidenze documentali: dimostrare l’adeguamento

L’adeguamento NIS2 non è solo implementazione tecnica. È capacità di dimostrazione.

Tra le evidenze documentali richieste rientrano: elenchi, inventari, piani, politiche, procedure e registri. L’organizzazione può strutturarli secondo il proprio contesto, ma devono essere coerenti, disponibili e fruibili in caso di verifica.

Come strutturare un percorso di adeguamento NIS2 sostenibile

Un percorso coerente con le Linee Guida ACN prevede queste fasi in sequenza:

  1. Identificazione del perimetro NIS — capire se e in quale categoria si rientra
  2. Valutazione del rischio — costruire la base su cui si reggono tutte le misure (misura ID.RA-05)
  3. Piano di trattamento — definire priorità e azioni
  4. Formalizzazione dei documenti Appendice C — predisporre ciò che richiede approvazione del CDA
  5. Implementazione delle misure — tecniche e organizzative
  6. Definizione delle procedure di notifica — operative entro i 9 mesi
  7. Approvazione del management — indispensabile per i documenti previsti dall’Appendice C

Un audit iniziale consente di verificare il gap rispetto alle specifiche di base e definire una roadmap sostenibile.

Scopri il servizio di Audit NIS 2 di Alchimie Digitali

In uno scenario regolato, la differenza la fa il metodo

Le Linee Guida ACN di dicembre 2025 consolidano un modello di sicurezza strutturato, governato e verificabile. Adeguarsi alla NIS 2 non significa compilare checklist tecniche, ma costruire un sistema di gestione del rischio cyber formalizzato, coerente e sostenibile nel tempo.

Il primo passo è sapere dove si è.

Richiedi un Audit NIS 2 con Alchimie Digitali

FAQ

Da quando decorrono i 18 mesi per adeguarsi alla NIS 2?

I 18 mesi decorrono dalla ricezione della comunicazione ufficiale di inserimento nell’elenco dei soggetti NIS da parte dell’ACN. Le prime comunicazioni sono partite dal 12 aprile 2025. Il termine vale individualmente per ciascun soggetto dalla data della propria comunicazione.

Cosa succede se non notifico un incidente significativo entro i termini?

La mancata notifica entro le 72 ore (o la pre-notifica entro le 24 ore) dall’evidenza oggettiva dell’incidente costituisce violazione dell’articolo 25 del D.Lgs. 138/2024. Il regime sanzionatorio è disciplinato dal decreto, non dalle Linee Guida ACN, che hanno natura esclusivamente operativa.

È obbligatoria l'approvazione del CDA per i documenti NIS2?

Sì. L’Appendice C delle Linee Guida ACN prevede espressamente l’approvazione da parte degli organi di amministrazione e direttivi per una serie di documenti, tra cui politiche di sicurezza, valutazione del rischio, piano di continuità operativa e piano di gestione degli incidenti.

Le PMI sono escluse dagli obblighi NIS2?

No, non automaticamente. Le PMI possono rientrare nell’ambito applicativo della NIS 2 qualora soddisfino i criteri dimensionali o settoriali previsti dal D.Lgs. 138/2024. La classificazione dipende dal settore di attività e dalla soglia di fatturato/organico, non solo dalle dimensioni aziendali.

Qual è la differenza tra soggetti essenziali e soggetti importanti nella NIS 2?

I soggetti essenziali sono soggetti a 43 misure e 116 requisiti; i soggetti importanti a 37 misure e 87 requisiti. Alcune misure sono previste solo per i soggetti essenziali. Questa classificazione sostituisce la precedente distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) prevista dalla Direttiva NIS 1.

Cosa sono le Linee Guida ACN versione 2.0 di dicembre 2025?

Sono le Linee Guida – Specifiche di base – Guida alla lettura (versione 2.0) pubblicate dall’Agenzia per la Cybersicurezza Nazionale a dicembre 2025. Chiariscono in modo puntuale le modalità applicative degli obblighi previsti dagli articoli 23, 24 e 25 del D.Lgs. 138/2024 (decreto NIS). Non disciplinano il regime sanzionatorio, ma forniscono un quadro operativo per l’adeguamento.

Altre domande su NIS 2 che le persone cercano

Cos'è la NIS2 e a chi si applica in Italia?

La NIS 2 è la Direttiva europea (UE) 2022/2555 sulla sicurezza delle reti e dei sistemi informativi. In Italia è stata recepita con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. Si applica a organizzazioni — pubbliche e private — che operano in settori considerati critici per l’economia e la società: energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione e altri. Non si applica solo alle grandi imprese: anche le medie aziende possono rientrare nell’ambito applicativo se operano nei settori previsti dal decreto.

Qual è la differenza tra NIS1 e NIS2?

La Direttiva NIS 1 (2016/1148) si applicava a un numero limitato di operatori, suddivisi in Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD). La NIS 2 amplia significativamente il perimetro: introduce due nuove categorie — soggetti essenziali e soggetti importanti — estende l’applicazione a nuovi settori e aumenta i requisiti di sicurezza e governance. In Italia, con il D.Lgs. 138/2024, gli obblighi vengono estesi anche agli organi di amministrazione delle organizzazioni, che diventano direttamente responsabili delle decisioni in materia di cybersecurity.

Entro quando bisogna adeguarsi alla NIS2 in Italia?

I termini decorrono dalla ricezione della comunicazione ufficiale di inserimento nell’elenco dei soggetti NIS da parte dell’ACN, le cui prime notifiche sono partite dal 12 aprile 2025. Da quella data, ogni soggetto ha 18 mesi per adottare le misure di sicurezza di base e 9 mesi per rendere operativa la capacità di notifica degli incidenti significativi. I termini sono individuali: decorrono dalla propria comunicazione, non da una data unica uguale per tutti.

Chi controlla il rispetto della NIS 2 in Italia?

In Italia l’autorità competente per la supervisione e l’applicazione della NIS 2 è l’ACN — Agenzia per la Cybersicurezza Nazionale, istituita nel 2021. L’ACN gestisce l’elenco dei soggetti NIS, pubblica le linee guida operative (come le Specifiche di base versione 2.0 di dicembre 2025), coordina la gestione degli incidenti e può avviare attività di verifica e ispezione nei confronti dei soggetti obbligati.

Cosa si intende per "incidente significativo" nella NIS 2?

Un incidente significativo ai sensi della NIS2 è un evento, intenzionale o accidentale, che compromette in modo rilevante la disponibilità, l’integrità o la riservatezza dei sistemi informativi e di rete di un’organizzazione. Le Linee Guida ACN (versione 2.0, dicembre 2025) identificano 3 tipologie per i soggetti importanti e 4 tipologie per i soggetti essenziali, che includono perdita di riservatezza verso l’esterno, perdita di integrità con impatto esterno, violazione dei livelli di servizio attesi e accesso non autorizzato o con abuso dei privilegi. La pre-notifica all’ACN deve avvenire entro 24 ore e la notifica completa entro 72 ore dall’evidenza oggettiva dell’incidente.

Quanto costano le sanzioni NIS 2 in Italia?

Le sanzioni per il mancato rispetto degli obblighi NIS 2 sono disciplinate dal D.Lgs. 138/2024 e non dalle Linee Guida operative ACN. Il regime sanzionatorio della Direttiva NIS 2 prevede, per i soggetti essenziali, sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (si applica l’importo più elevato). Per i soggetti importanti, le sanzioni arrivano fino a 7 milioni di euro o l’1,4% del fatturato mondiale. Per i dettagli applicativi nel contesto italiano è necessario fare riferimento al testo del decreto.

La NIS2 riguarda anche la Business Continuity e il Disaster Recovery?

Sì. L’Appendice C delle Linee Guida ACN (versione 2.0, dicembre 2025) prevede espressamente che gli organi di amministrazione approvino sia il Piano di continuità operativa sia il Piano di ripristino in caso di disastro (Disaster Recovery). Questi documenti non sono opzionali: rientrano tra le evidenze documentali richieste per dimostrare l’adeguamento. La NIS 2 tratta la continuità operativa come un requisito di governance, non solo come una buona pratica tecnica

Cosa deve approvare il consiglio di amministrazione per la NIS 2?

Secondo l’Appendice C delle Linee Guida ACN, gli organi di amministrazione e direttivi devono approvare formalmente: la politica di sicurezza informatica, la valutazione del rischio, il piano di trattamento del rischio, il piano di adeguamento, il piano di continuità operativa, il piano di ripristino in caso di disastro, il piano di gestione delle crisi, il piano di formazione e il piano di gestione degli incidenti. L’approvazione non è delegabile: la NIS2 colloca la cybersecurity al livello della governance aziendale, con responsabilità dirette per gli amministratori.

Un'azienda già dotata di sistemi di gestione ISO 27001 deve comunque adeguarsi alla NIS2?

L’adozione di un sistema di gestione per la sicurezza delle informazioni conforme alla ISO/IEC 27001 costituisce una base solida e coerente con l’approccio basato sul rischio richiesto dalla NIS2. Tuttavia, la certificazione ISO 27001 non equivale automaticamente alla conformità NIS2: la normativa italiana introduce requisiti specifici (in particolare sull’Appendice C, sulla notifica degli incidenti e sulla governance formale degli organi di amministrazione) che vanno verificati caso per caso attraverso un’analisi del gap rispetto alle Specifiche di base ACN.

Data pubblicazione:
Condividi: