ACN e la sicurezza della posta elettronica: cosa devono sapere aziende e professionisti

Condividi:

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le nuove linee guida ufficiali per la configurazione della posta elettronica.

In sintesi – L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le nuove linee guida ufficiali per la configurazione della posta elettronica. Il documento indica come implementare correttamente SPF, DKIM e DMARC – i tre protocolli che autenticano il mittente e proteggono il dominio da phishing e spoofing. Se la tua posta non è configurata secondo questi standard, rischi che le email vengano filtrate come spam o rifiutate dai server destinatari, spesso senza che tu lo sappia. Se hai affidato la gestione della posta a un tecnico o a un’agenzia, è il momento di chiedere una verifica.

L’ACN ha pubblicato le nuove linee guida per l’autenticazione email

L’Agenzia per la cybersicurezza nazionale ha pubblicato le Linee guida per la configurazione del servizio di posta elettronica per l’autenticazione del mittente, con l’obiettivo di rafforzare l’affidabilità del servizio di posta elettronica di tutte le organizzazioni interessate.

Non si tratta di raccomandazioni generiche: è un framework tecnico operativo, rivolto a tutte le organizzazioni pubbliche e private, che stabilisce come configurare correttamente tre protocolli ormai fondamentali per qualsiasi infrastruttura email.

Il documento ufficiale è disponibile sul sito ACN: Framework di Autenticazione per la Posta Elettronica

Perché la posta elettronica è un punto critico

Il funzionamento della posta elettronica si basa sul protocollo SMTP, che non incorpora nativamente meccanismi di autenticazione del mittente né di protezione dell’integrità dei messaggi. Queste vulnerabilità espongono le organizzazioni al rischio di spoofing, phishing e manomissione del contenuto durante il transito.

In termini pratici questo significa che, senza protezioni adeguate, chiunque potrebbe inviare email fingendo di provenire dal tuo dominio — spacciandosi per te con i tuoi clienti, fornitori o colleghi — senza che tu lo sappia e senza che sia necessario accedere al tuo account.

Il problema non è teorico: quasi una organizzazione italiana su quattro non è in grado di impedire a soggetti terzi di inviare email fraudolente a suo nome.

I tre protocolli al centro delle linee guida

Le linee guida dell’ACN forniscono indicazioni operative per la corretta implementazione di SPF, DKIM e DMARC: tre standard ampiamente adottati a livello internazionale che, se configurati in modo coerente, permettono di aumentare il livello di fiducia nei messaggi ricevuti e di limitare l’uso fraudolento dei domini.

SPF — Chi può inviare email a nome del tuo dominio?

SPF pubblica nel DNS del dominio un elenco degli indirizzi IP autorizzati a inviare email per suo conto. Quando arriva un messaggio che dichiara di provenire dal tuo dominio, il server ricevente controlla se il mittente è nella lista. Se non lo è, si attiva la policy configurata.

Esempio concreto

se usi Microsoft 365 come client email principale ma hai anche un CRM o un gestionale che invia notifiche automatiche, entrambi devono essere esplicitamente autorizzati nel record SPF. Dimenticare anche una sola sorgente significa che quelle email vengono trattate come sospette dai server destinatari.

DKIM — Il messaggio è integro?

DKIM firma digitalmente i messaggi tramite crittografia asimmetrica. Il server ricevente può verificare la firma recuperando la chiave pubblica dal DNS del dominio mittente. In questo modo DKIM non controlla soltanto che il contenuto firmato del messaggio non sia stato alterato durante il transito, ma permette anche di verificare che l’email sia stata firmata da una sorgente autorizzata a usare quel dominio.

Altro...

Integrato con SPF, DKIM aggiunge quindi una seconda verifica, basata su una metodologia diversa, sull’identità delle infrastrutture che inviano posta per conto dell’azienda. Questo è particolarmente importante quando il dominio viene usato da più sistemi: client di posta, CRM, gestionali, piattaforme newsletter, ticketing o servizi cloud. Se anche una sola sorgente invia email senza una firma DKIM coerente, o senza essere correttamente autorizzata, la validazione può fallire e il messaggio può essere trattato come sospetto.

DMARC — Come devono comportarsi i server se qualcosa non torna?

DMARC unifica e governa SPF e DKIM. Permette al proprietario del dominio di specificare una policy di gestione per le email che non superano le verifiche e, soprattutto, di ricevere informazioni su ciò che sta accadendo al dominio: quali server stanno inviando messaggi, quali passano SPF o DKIM, quali falliscono, quali vengono accettati, messi in quarantena o rifiutati.

Altro...

Questi dati possono arrivare sotto forma di report aggregati e, dove supportato dai sistemi riceventi, anche come report di fallimento più dettagliati. È qui che DMARC diventa davvero utile: non serve solo a bloccare o filtrare, ma anche a capire perché una determinata email non ha superato i controlli e se dietro al fallimento c’è una configurazione errata, una sorgente dimenticata o un tentativo di abuso del dominio.

Policy DMARC Cosa succede alle email sospette
p=none Vengono registrate nei report, ma non bloccate (fase di monitoraggio)
p=quarantine Finiscono nella cartella spam del destinatario
p=reject Vengono rifiutate e non recapitate

DMARC introduce anche il concetto di allineamento: verifica che il dominio visibile nel campo “Da:” corrisponda a quello autenticato via SPF o DKIM, intercettando le impersonificazioni anche nei casi tecnici più sofisticati.

Non è solo sicurezza: è anche recapitabilità

Questo è l’aspetto che le aziende sottovalutano più spesso. I principali provider di posta — Gmail, Microsoft 365, Yahoo — hanno progressivamente irrigidito i loro filtri antispam. Oggi valutano attivamente la presenza e la correttezza di SPF, DKIM e DMARC. Un dominio privo di questi record, o con una configurazione errata, viene automaticamente trattato con più sospetto.

Il risultato è che puoi inviare un preventivo, una conferma d’ordine, una risposta urgente — e il destinatario non la riceve, o la trova nello spam giorni dopo. Il tuo server non ti segnala nessun errore: l’email parte regolarmente. Il problema avviene in silenzio, sul lato del destinatario.

Il collegamento con NIS 2 e il quadro normativo italiano

Le linee guida ACN non sono un documento isolato. Le misure descritte si inseriscono nel contesto della Direttiva NIS 2, del Perimetro di Sicurezza Nazionale Cibernetica e del Regolamento Cloud ACN. In questo scenario, la sicurezza della posta elettronica non è più solo una best practice: per molte organizzazioni diventa un requisito di conformità.

Oggi in Italia sono già stati identificati oltre 21.000 soggetti obbligati dalla NIS 2, di cui almeno 5.000 classificati come essenziali. Per queste realtà, verificare la configurazione della posta non è più rimandabile.

Configurare SPF, DKIM e DMARC: più complesso di quanto sembri

Questi protocolli agiscono sui record DNS del dominio. In teoria bastano poche modifiche. In pratica ci sono insidie frequenti che portano a configurazioni errate, spesso senza che nessuno se ne accorga:

  • SPF ha un limite di 10 lookup DNS. Superarlo causa errori su tutte le email in uscita. È un problema comune nelle aziende che usano più servizi in parallelo (CRM, newsletter, gestionale, PEC).
  • DKIM richiede la gestione di chiavi crittografiche che vanno protette, ruotate periodicamente e configurate per ogni sorgente di invio.
  • Passare subito a p=reject senza una fase di monitoraggio preliminare può bloccare email legittime, creando disservizi immediati.
  • L’inoltro automatico delle email (forwarding) può invalidare le verifiche SPF e DKIM se non gestito correttamente.
  • I servizi di terze parti — piattaforme di email marketing, CRM, ERP — devono essere esplicitamente inclusi e configurati per firmare con DKIM.

  • Vecchi server di posta o MTA installati in modo frettoloso possono comportarsi come relay configurati male, permettendo invii non coerenti con l’identità dichiarata dal dominio.

  • Account multipli configurati nello stesso client, se usano sempre il medesimo server di uscita senza controlli adeguati, possono generare invii formalmente funzionanti ma non allineati con SPF, DKIM e DMARC.

L’approccio corretto è graduale: partire con DMARC in monitoraggio per mappare i flussi reali, poi passare a quarantine e reject quando la configurazione è stabile e verificata. 

Avere un record DMARC pubblicato e non monitorarne i report, però, significa perdere gran parte del valore dello strumento. I report servono a capire se qualcuno sta tentando di usare il dominio in modo fraudolento, se una piattaforma legittima è stata dimenticata nella configurazione o se una vecchia impostazione continua a produrre errori silenziosi. In assenza di monitoraggio, DMARC rischia di diventare solo una riga nel DNS, non un presidio reale di sicurezza.

Il punto più delicato è che la posta elettronica aziendale raramente passa da un solo canale. Nel tempo si accumulano piattaforme, vecchi server, gestionali, newsletter, account configurati manualmente, inoltri automatici e servizi terzi. Una configurazione che anni fa sembrava corretta può non esserlo più oggi, soprattutto se nessuno ha mai ricostruito davvero tutte le sorgenti che inviano email per conto del dominio.

Cosa fare adesso

Hai un tecnico o un’agenzia che gestisce la tua posta?

Contattali e chiedi una verifica esplicita su questi quattro punti:

  1. 1. Il record SPF è presente, corretto e ottimizzato, entro il limite dei 10 lookup?
    2. Tutte le sorgenti che inviano email per conto del dominio sono state mappate?
    3. DKIM è configurato per tutte le sorgenti di invio, non solo per il client principale?
    4. Le piattaforme esterne, come CRM, newsletter, gestionali e ticketing, firmano correttamente con DKIM?
    5. È presente un record DMARC con una policy coerente con lo stato reale della configurazione?
    6. I report DMARC vengono monitorati regolarmente e interpretati da qualcuno?
    7. Esistono vecchi server, relay, inoltri automatici o account configurati manualmente che possono generare invii non allineati?

Non dare per scontato che sia già tutto a posto. La posta “che funziona” non è la stessa cosa della posta “correttamente autenticata”.

Gestisci direttamente la tua infrastruttura IT?

Segui il percorso raccomandato dall’ACN:

  1. 1. Avvia DMARC in modalità `p=none` con indirizzi di report configurati.
    2. Analizza i report per 2–4 settimane e mappa tutte le sorgenti reali di invio.
    3. Verifica che SPF includa solo le sorgenti necessarie e che resti entro il limite dei 10 lookup.
    4. Configura DKIM in modo completo su tutte le sorgenti, comprese piattaforme newsletter, CRM, ERP, gestionali e sistemi automatici.
    5. Controlla che non esistano vecchi server, relay, MTA dimenticati, forwarding o account configurati in modo incoerente.
    6. Passa progressivamente a `p=quarantine` e poi a `p=reject` solo quando la configurazione è stabile e verificata.

In sintesi

Le linee guida pubblicate dall’ACN chiariscono un punto che per anni è stato sottovalutato: la posta elettronica non è un servizio “che funziona o non funziona”, ma un’infrastruttura che deve essere configurata, monitorata e governata.

SPF, DKIM e DMARC non sono più elementi opzionali o tecnici “da specialisti”: sono il livello minimo per garantire affidabilità, protezione del dominio e continuità operativa nelle comunicazioni.

Il punto, però, non è soltanto pubblicare tre record DNS. Il vero lavoro consiste nel verificare se la posta aziendale rispecchia ancora il modo in cui l’organizzazione comunica oggi: server autorizzati, piattaforme esterne correttamente firmate, relay chiusi, account configurati in modo coerente e report DMARC realmente monitorati.

In questo scenario, il vero rischio non è solo subire un attacco, ma non accorgersi che qualcosa non sta funzionando correttamente: email che non arrivano, dominio utilizzato da terzi, reputazione compromessa senza segnali evidenti.

Le indicazioni dell’ACN offrono oggi un riferimento chiaro. Il punto non è tanto “implementarle”, ma essere consapevoli dello stato reale della propria infrastruttura email e delle sue implicazioni in termini di sicurezza e conformità.

Se vuoi capire perché una configurazione email apparentemente corretta può comunque generare errori, blocchi o segnali compatibili con spoofing e phishing, leggi anche il nostro approfondimento su vecchi server, relay configurati male, newsletter non allineate e report DMARC ignorati.

LEGGI L'APPROFONDIMENTO

Fonte ufficiale: ACN — Framework di Autenticazione per la Posta Elettronica Articolo redatto da Alchimie Digitali

FAQ

Le linee guida ACN sono obbligatorie per tutte le aziende?

Il framework non introduce scadenze obbligatorie universali, ma è integrato con gli obblighi NIS 2 e del Perimetro di Sicurezza Nazionale per i soggetti rientranti in quelle normative. Per tutte le altre organizzazioni rappresenta una raccomandazione tecnica ufficiale che è prudente seguire.

Come verifico se il mio dominio è già configurato correttamente?

Puoi usare strumenti online come MXToolbox o mail-tester.com per una prima verifica autonoma. Per un’analisi completa di tutte le sorgenti di invio e della deliverability, è consigliabile affidarsi a un tecnico specializzato.

Quanto tempo richiede la configurazione?

Per un’azienda con un unico provider (Google Workspace o Microsoft 365) la configurazione base richiede poche ore. Per organizzazioni con più sorgenti di invio, la fase di monitoraggio e ottimizzazione richiede 2–4 settimane.

Se uso Microsoft 365 o Google Workspace sono già a posto?

Non automaticamente. Queste piattaforme supportano SPF, DKIM e DMARC, ma devono essere configurati esplicitamente dall’amministratore. E se hai altri servizi che inviano email dal tuo dominio, devono essere inclusi nella configurazione.

Cosa rischio concretamente se non intervengo?

Le tue email possono finire nello spam o essere rifiutate senza che tu riceva notifiche di errore. Il tuo dominio rimane inoltre esposto all’uso fraudolento da parte di terzi, con potenziali danni alla tua reputazione e a quella dei tuoi contatti.

Avere SPF, DKIM e DMARC configurati significa essere al sicuro?

No. Significa avere una base tecnica importante, ma non basta se la configurazione non viene verificata e monitorata. SPF, DKIM e DMARC devono essere coerenti con tutte le sorgenti reali di invio: client di posta, CRM, newsletter, gestionali, sistemi automatici e servizi cloud. Inoltre i report DMARC devono essere letti con continuità, perché possono segnalare errori, invii non autorizzati o tentativi di abuso del dominio.

Perché una configurazione email vecchia può diventare un problema?

Perché nel tempo cambiano i provider, le piattaforme, i criteri antispam e il modo in cui l’azienda invia comunicazioni. Un dominio configurato anni fa può non includere più tutte le sorgenti corrette, può avere vecchi server ancora attivi o può inviare email da sistemi non allineati con SPF, DKIM e DMARC. Per questo la posta elettronica va verificata periodicamente, non solo configurata una volta.

Condividi:

NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

Condividi:

NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

L’ACN ha pubblicato nuove determinazioni sugli adempimenti NIS2 per i soggetti inseriti nel 2026 e ha aggiornato le modalità di accesso e utilizzo della piattaforma digitale ACN. Il punto chiave è questo: la fase “dichiarativa” sta lasciando spazio a una fase più operativa, strutturata e verificabile.

Come indicato nella comunicazione ufficiale ACN sulle nuove determinazioni NIS2, e nella determina completa ACN sulla piattaforma NIS, il quadro normativo entra ora in una fase pienamente operativa.

Non basta più sapere di essere soggetti NIS. Ora bisogna organizzare ruoli, aggiornare correttamente i dati, censire i fornitori rilevanti, classificare attività e servizi e rispettare una roadmap precisa.

Cosa cambia davvero nel 2026

Il 13 aprile 2026 segna il passaggio dalla teoria all’operatività. L’ACN non si limita più a identificare i soggetti, ma impone un modello strutturato di gestione.

Non si tratta di un aggiornamento burocratico. È un cambio di paradigma: la cybersicurezza diventa governance, responsabilità e capacità dimostrabile.

Le scadenze per i soggetti NIS inseriti nel 2026

Per i soggetti che entrano nel perimetro NIS nel 2026, la roadmap è chiara:

  • 31 maggio 2026 → Designazione sostituto punto di contatto

  • 1 maggio – 30 giugno 2026 → Categorizzazione attività e servizi

  • 31 dicembre 2026 → Designazione referente CSIRT

  • 1 gennaio 2027 → Obbligo notifica incidenti

  • 31 luglio 2027 → Adozione misure di sicurezza di base

Attenzione: queste scadenze non sono universali ma dipendono dalla data di inclusione nel perimetro NIS.

La piattaforma ACN: il vero centro della compliance

La piattaforma digitale ACN non è un semplice portale. È il punto centrale di:

  • registrazione

  • aggiornamento annuale

  • aggiornamento continuo

  • categorizzazione servizi

Tutte le comunicazioni ufficiali passano da qui. La qualità dei dati inseriti diventa parte integrante della compliance.

Aggiornamento annuale: cosa va davvero gestito

Dal 15 aprile al 31 maggio, ogni soggetto NIS deve aggiornare:

  • dati anagrafici e legali

  • organi di amministrazione

  • IP e domini

  • servizi erogati

  • referente CSIRT

  • fornitori rilevanti

Non è una formalità. È un processo di allineamento tra organizzazione reale e rappresentazione verso ACN.

Fornitori rilevanti: la sicurezza esce dall’azienda

La determina introduce un punto chiave: la sicurezza della supply chain.

I soggetti NIS devono censire i fornitori che:

  • forniscono servizi ICT

  • oppure sono critici per la continuità operativa

Per ciascun fornitore vanno indicati dati, paese, CPV e criterio di rilevanza.

Questo significa una cosa: la sicurezza non è più perimetro, ma ecosistema.

Categorizzazione attività e servizi: il vero nodo strategico

Dal 1 maggio al 30 giugno, ogni soggetto deve classificare le proprie attività e servizi.

Questa attività non è solo descrittiva. È la base per:

  • analisi di impatto (BIA)

  • definizione delle priorità

  • costruzione della sicurezza

ACN può verificare a campione e richiedere modifiche.

Ruoli NIS2: non sono nomine simboliche

I ruoli chiave sono:

  • Punto di contatto

  • Sostituto punto di contatto

  • Referente CSIRT

Devono essere persone reali, operative e competenti. In particolare, il referente CSIRT deve essere in grado di gestire incidenti e interfacciarsi con CSIRT Italia.

Il punto critico: la responsabilità è del management

La NIS2 non è un tema IT.

È responsabilità degli organi di amministrazione e direttivi.

Questo comporta:

  • responsabilità diretta

  • necessità di governance

  • obbligo di controllo e supervisione

Chi delega senza controllo è esposto.

Verifiche ACN: non è più un’autodichiarazione

L’ACN può:

  • verificare le informazioni

  • chiedere integrazioni

  • contestare incongruenze

La compliance deve essere coerente, difendibile e documentata.

Cosa devono fare ora le aziende

Le aziende devono partire da qui:

  • chiarire il perimetro NIS

  • definire i ruoli

  • mettere ordine su asset e servizi

  • censire i fornitori

  • prepararsi alla categorizzazione

  • strutturare governance e processi

Chi parte dalla piattaforma senza struttura rischia di costruire una compliance fragile.

Vuoi capire davvero se sei conforme NIS2?

La differenza non è tra chi ha compilato la piattaforma e chi no, ma tra chi ha costruito una struttura solida e chi ha solo dichiarato di averlo fatto.

Se vuoi fare chiarezza sul tuo perimetro NIS, sui fornitori rilevanti e su cosa devi davvero mettere in piedi nei prossimi mesi, puoi confrontarti con noi. Analizziamo la tua situazione attuale e ti diamo una lettura concreta, senza teoria inutile.

Richiedi un confronto diretto qui:

Self-Assessment NIS2

Nota importante: questo strumento non è sostitutivo di una gap analysis ma fornisce una valutazione orientativa. Non sostituisce una consulenza legale né un audit tecnico certificato. Le risposte restano solo nel browser e vengono perse alla chiusura della pagina.

Roadmap NIS2 Italia 2026-2027

FAQ

Cosa cambia con la determina ACN del 2026?

Introduce nuove scadenze, rafforza l’uso della piattaforma ACN e impone una gestione più strutturata di dati, fornitori e servizi.

Quando scatta l’obbligo di notifica incidenti?

Dal 1 gennaio 2027 per i soggetti inseriti nel 2026.

Chi è il referente CSIRT?

È la figura incaricata di gestire le comunicazioni con CSIRT Italia e notificare gli incidenti.

La NIS2 riguarda anche i fornitori?

Sì. I fornitori rilevanti devono essere censiti e valutati.

La responsabilità è dell’IT?

No. È degli organi di amministrazione e direttivi.

Condividi:

Workshop – NIS2: La Strada È Chiara. 9 mesi per essere pronti. 18 per essere solidi.

Condividi:

Workshop NIS2 Modena 2026

NIS2: La Strada È Chiara

9 mesi per essere pronti. 18 per essere solidi.

Gli aggiornamenti ACN di fine 2025 hanno segnato un punto di svolta: la NIS2 non è più un labirinto interpretativo, ma un percorso misurabile e strutturabile.

Oggi la domanda non è solo “Cosa prevede la norma?”
La domanda è: la tua azienda è pronta a dimostrare di essere conforme?

Il 20 marzo 2026 Alchimie Digitali Srl organizza un workshop operativo in presenza, dedicato alle aziende soggette alla Direttiva NIS2, pensato per trasformare l’obbligo normativo in metodo concreto e verificabile.

VENERDÌ 20 MARZO 2026 | 11:00 - 13:00

Giorno(s)

:

Ore(s)

:

Minuto(i)

:

Second(s)

Prenota il tuo posto

Perché partecipare

Il workshop offrirà:

  • Un inquadramento chiaro e aggiornato del contesto normativo NIS2 alla luce delle indicazioni ACN 2025

  • Una lettura operativa delle responsabilità del management

  • Un collegamento diretto tra norma, organizzazione e processi aziendali

  • Una roadmap concreta 9 mesi / 18 mesi

Non sarà un incontro teorico, ma un momento di approfondimento strutturato che unisce quadro normativo e applicazione pratica.

La NIS2 oggi si misura su elementi concreti:

  • Governance e responsabilità

  • Identificazione del perimetro e gestione del rischio

  • Misure di sicurezza documentate

  • Monitoraggio continuo e capacità di rilevamento

  • Gestione e notifica degli incidenti

  • Ripristino e continuità operativa

Evento Nis2 La Strada E Chiara

Cosa affronteremo durante l’incontro

Durante il workshop analizzeremo:

  • Gli aggiornamenti ACN 2025 e cosa comportano per le imprese

  • Le responsabilità dirette del management

  • Il processo di gestione degli incidenti e le tempistiche di notifica verso CSIRT e ACN

  • Il monitoraggio continuo di apparati, reti e servizi

  • Le evidenze documentali richieste in caso di verifica

  • La roadmap operativa: cosa deve esistere entro 9 mesi e cosa deve essere consolidato entro 18 mesi

L’obiettivo è fornire ai partecipanti una visione integrata tra norma, organizzazione e strumenti operativi.

Sessione finale: autovalutazione guidata NIS2

Nella parte conclusiva dell’evento proporremo un momento di autovalutazione strutturata.

Un questionario articolato in 15 indicatori chiave (75 punti complessivi) che consente di comprendere il livello attuale di preparazione dell’organizzazione rispetto agli obblighi NIS2.

Si tratta di uno strumento di presa di consapevolezza, pensato per aiutare aziende, IT Manager, Legal e Direzione a capire:

  • Quali elementi sono già presenti

  • Quali aspetti devono essere formalizzati

  • Dove manca monitoraggio o verifica

  • Quali aree richiedono priorità di intervento

Non è un audit. Non è una verifica formale. È un momento di analisi strutturata del proprio stato di avanzamento.

La NIS2 non è una questione di punteggio. È una questione di organizzazione, responsabilità ed evidenze.

Iscrizione

Se la tua azienda è soggetta alla NIS2 o sta valutando il proprio livello di conformità, questo workshop rappresenta un’occasione concreta per fare chiarezza e definire le priorità.A chi è rivolto

Il workshop è rivolto a:

  • IT Manager e Responsabili Cybersecurity

  • Legal e Compliance Officer

  • CEO e Direzione Generale

Particolarmente indicato per aziende con sede a Modena, in Emilia-Romagna e nel Nord Italia, ma aperto a organizzazioni su tutto il territorio nazionale.

Modalità e luogo

Il workshop si svolgerà esclusivamente in presenza.

Data: 20 Marzo 2026
Orario: 11:00 – 13:00
Sede: Alchimie Digitali Srl
Via Elia Rainusso 110 – 41124 Modena (MO)

Non è prevista modalità online o ibrida. La scelta dell’incontro in presenza nasce dalla volontà di favorire confronto diretto e dialogo tra professionisti.

Posti limitati, perciò per mantenere un contesto di confronto diretto e favorire la qualità dell’interazione tra i partecipanti, le richieste di partecipazione saranno confermate fino a esaurimento posti.

La conferma verrà inviata via mail una volta completata valutate le candidature previa registrazione.

Iscriviti

FAQ

Cos’è la Direttiva NIS2 e chi riguarda?

La Direttiva NIS2 è la normativa europea che rafforza gli obblighi di cybersecurity per aziende considerate essenziali o importanti. In Italia è recepita e monitorata da ACN (Agenzia per la Cybersicurezza Nazionale). Riguarda imprese di diversi settori strategici e realtà che forniscono servizi critici o digitali.

Quali sono le principali novità degli aggiornamenti ACN 2025?

Gli aggiornamenti ACN 2025 hanno chiarito responsabilità del management, obblighi di notifica degli incidenti, requisiti di monitoraggio continuo e necessità di evidenze documentali verificabili. L’attenzione si sposta dalla teoria alla dimostrabilità delle misure adottate.

Cosa significa essere conformi alla NIS2?

Essere conformi alla NIS2 significa avere governance formalizzata, analisi del rischio aggiornata, misure di sicurezza documentate, monitoraggio continuo attivo, gestione strutturata degli incidenti e piani di ripristino verificati. Non basta avere strumenti: servono processi tracciabili.

Entro quando bisogna adeguarsi alla NIS2?

imi strutturali; entro 18 mesi occorre consolidare e rendere verificabile l’intero sistema organizzativo e tecnico.

Cosa succede se un’azienda non è conforme alla NIS2?

La mancata conformità può comportare sanzioni amministrative, responsabilità del management e impatti reputazionali. Inoltre, in caso di incidente informatico, l’assenza di evidenze organizzative può aggravare la posizione dell’azienda.

Il workshop è utile anche per CEO non tecnici?

Sì. Il workshop è progettato per essere comprensibile anche ai CEO e alla Direzione Generale. Non richiede competenze tecniche avanzate, ma offre una visione chiara delle responsabilità organizzative e decisionali.

È previsto supporto successivo all’evento?

Sì. Le aziende interessate potranno richiedere un approfondimento o un percorso strutturato di adeguamento NIS2 attraverso audit, roadmap operative e affiancamento tecnico-organizzativo.

Condividi: