ACN pubblica le Linee Guida NIS: misure di sicurezza e obblighi per aziende e PA

Facebook
Twitter
LinkedIn

Il 4 settembre 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le Linee Guida NIS – Specifiche di base, un documento fondamentale che segna un ulteriore passo avanti nel percorso di adeguamento al decreto legislativo 4 settembre 2024, n. 138, noto come decreto NIS.

Con questo intervento si intende rafforzare in modo concreto la sicurezza informatica del sistema Paese, allineandolo agli standard fissati dalla Direttiva (UE) 2022/2555. Non si tratta di un adempimento puramente formale, ma di un insieme di regole e pratiche che mirano a rendere più sicuri i servizi essenziali e importanti per cittadini e imprese.

Il quadro normativo di riferimento

Il decreto NIS ha introdotto obblighi stringenti per i cosiddetti “soggetti NIS”, ossia enti pubblici e privati che operano in settori critici e la cui attività può avere un impatto rilevante sulla sicurezza complessiva. La norma distingue due categorie di soggetti: gli essenziali, che operano in ambiti a maggiore criticità, e gli importanti, con un livello di rischio comunque significativo. Per entrambi la legge stabilisce obblighi specifici: gli organi di amministrazione e direttivi devono garantire una governance consapevole e attenta alla sicurezza (articolo 23); devono essere adottate misure tecniche, organizzative e operative adeguate alla gestione dei rischi (articolo 24); infine, vi è l’obbligo di notificare al CSIRT Italia ogni incidente che abbia un impatto significativo (articolo 25)

La determinazione ACN n. 164179 del 14 aprile 2025 ha dato forma concreta a questi obblighi introducendo le cosiddette specifiche di base, che rappresentano un vero e proprio riferimento operativo per soggetti pubblici e privati. Le linee guida recentemente pubblicate non fanno che accompagnare i destinatari nella lettura e nell’applicazione di tali specifiche, rendendo più chiaro come tradurre in pratica le disposizioni di legge.

Le misure di sicurezza di base

Il cuore delle linee guida è rappresentato dalle misure di sicurezza di base. Esse sono state sviluppate in coerenza con il Framework Nazionale per la Cybersecurity e la Data Protection e si articolano in funzioni, categorie e sottocategorie. Per ciascuna misura è previsto un codice identificativo, una descrizione e uno o più requisiti che definiscono in modo puntuale cosa deve essere implementato. Nel complesso, sono state definite 37 misure e 87 requisiti per i soggetti importanti, mentre per i soggetti essenziali le misure salgono a 43, con 116 requisiti. Questa differenza rispecchia il maggior livello di esposizione ai rischi degli operatori essenziali e la necessità di garantire una protezione più robusta.

Le misure non si limitano a un aspetto tecnico, ma coprono un ampio spettro che va dalla governance alla gestione degli asset, dalle politiche di sicurezza ai sistemi di monitoraggio. Molti requisiti hanno natura organizzativa: ad esempio, la definizione di ruoli e responsabilità in materia di sicurezza o l’adozione di politiche formalizzate approvate dagli organi direttivi. Altri invece sono tecnologici e richiedono l’implementazione di soluzioni come l’autenticazione multifattore, la cifratura dei dati o strumenti di rilevamento delle intrusioni. In entrambi i casi, l’approccio seguito è quello basato sul rischio: le misure vanno applicate in funzione della rilevanza dei sistemi e degli esiti della valutazione del rischio, con la possibilità di prevedere deroghe motivate e documentate laddove vi siano vincoli normativi o tecnici

Questa impostazione non solo rende più flessibile l’applicazione delle misure, ma permette anche a ciascun soggetto di calibrare gli interventi sulla base delle proprie caratteristiche e del contesto operativo. L’obiettivo non è imporre un modello unico, ma favorire un innalzamento complessivo della resilienza informatica.

La gestione degli incidenti significativi

Accanto alle misure preventive, le linee guida definiscono anche le tipologie di incidenti che devono essere oggetto di notifica. Per i soggetti importanti sono previste tre categorie: perdita di riservatezza dei dati, perdita di integrità e violazione dei livelli di servizio. Per i soggetti essenziali si aggiunge una quarta categoria, relativa agli accessi non autorizzati o all’abuso di privilegi. La distinzione risponde alla necessità di garantire una maggiore attenzione per chi opera in settori di particolare criticità

Un aspetto centrale è il concetto di “evidenza dell’incidente”, ovvero la disponibilità di elementi oggettivi che dimostrino il verificarsi di un evento. Dal momento in cui si acquisisce tale evidenza scattano i termini per le comunicazioni al CSIRT Italia: una pre-notifica entro 24 ore e la notifica completa entro 72 ore. Le linee guida forniscono esempi concreti di come tale evidenza possa essere acquisita, dalle segnalazioni interne ed esterne fino alle attività di monitoraggio dei sistemi.

Tempi di adozione e documentazione richiesta

La normativa stabilisce tempi precisi per l’adeguamento. Le misure di sicurezza devono essere adottate entro diciotto mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, mentre l’obbligo di notifica degli incidenti decorre dopo nove mesi dalla ricezione della medesima comunicazione di inserimento nell’elenco. Per alcuni operatori, come quelli di servizi essenziali e le telecomunicazioni, sono previsti regimi transitori e disposizioni specifiche.

A supporto dell’attuazione delle misure, i soggetti NIS devono inoltre predisporre una serie di documenti, che comprendono inventari, elenchi, piani (tra cui continuità operativa, gestione delle vulnerabilità, trattamento dei rischi) e politiche di sicurezza. Per alcuni documenti è richiesta l’approvazione da parte degli organi di amministrazione e direttivi, a conferma di quanto la sicurezza debba essere considerata un tema di governance e non soltanto un’attività tecnica

Un percorso da affrontare insieme

Le Linee Guida NIS non sono soltanto un adempimento burocratico, ma rappresentano una vera opportunità per rafforzare la sicurezza dei sistemi informativi e di rete e garantire la continuità dei servizi in un contesto sempre più esposto a minacce digitali. Per imprese e Pubbliche Amministrazioni si tratta di un percorso impegnativo, che richiede competenze trasversali e la capacità di integrare aspetti tecnici, organizzativi e strategici.

SI.net Servizi Informatici è pronta ad affiancare aziende ed enti in questo cammino, supportandoli nell’analisi dei rischi, nella definizione delle misure più adeguate, nella redazione della documentazione richiesta e nella gestione degli incidenti. Investire oggi nella cybersicurezza significa non solo rispettare la norma, ma anche tutelare la propria continuità operativa e la fiducia dei clienti e dei cittadini.

Vuoi sapere come possiamo aiutarti ad affrontare al meglio questo percorso di adeguamento alle Linee Guida NIS?

Contattaci: saremo al tuo fianco per trasformare un obbligo normativo in un’occasione di crescita e sicurezza digitale.

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale e alla data protection, scrivi a sinet@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su LinkedIn, Facebook, X, YouTube, Instagram, Telegram

Picture of Annalisa Collacciani
Annalisa Collacciani

SEDE LEGALE
Corso Magenta 46 – 20123 Milano

SEDE AMMINISTRATIVA
Via Filippo Turati 111 – 20023 Cerro Maggiore (MI)

P.IVA e C.F. 02743730125

Iscritta al registro imprese di Milano n. 02743730125 – Capitale sociale 60.000 euro

Pagine informative

Privacy Policy
Newsletter
Lavora con noi
Documentazione Privacy

Servizi e Soluzioni

IT Management
Trasformazioni digitale
Sviluppo software
Privacy
Cybersecurity
Cloud
Noleggio materiale informatico
Logistica e trasporto​
Business intelligence

Social

© 2021 SI.net Servizi Informatici