Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

cybersecurity e privacy

Nuove misure ACN: il rischio GDPR che le imprese sottovalutano

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Le specifiche tecniche ACN sulle misure di sicurezza di base, aggiornate tra 2025 e 2026, innalzano progressivamente le aspettative regolatorie. Per le organizzazioni che trattano dati personali, questo ha un impatto diretto sulla valutazione di adeguatezza ex art. 32 GDPR, indipendente dall’obbligo formale di adeguamento NIS2

Pubblicato il 7 apr 2026
Francesco Capparelli

Board Member Istituto Italiano per la Privacy

privacy digital omnibus; convenzioni Consip; ISO/IEC 27701; BIM delete act california; formazione whistleblowing
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

L’entrata in vigore del D.Lgs. 4 settembre 2024, n. 138, di recepimento della direttiva NIS 2 in Italia, ha aperto una fase nuova della regolazione cyber in Italia: non più un quadro costruito soltanto su obblighi generali di sicurezza, ma un sistema progressivamente riempito di contenuto tecnico dall’Agenzia per la Cybersicurezza Nazionale, cui il decreto affida un ruolo centrale nell’attuazione della disciplina NIS.

Nis 2, tutte le scadenze e cosa fare: la guida pratica per le aziende

La normativa è in vigore dall’autunno 2024 e il sito istituzionale dell’ACN chiarisce che l’Agenzia è l’autorità competente NIS e il punto di contatto unico nazionale. In questo assetto, il rischio regolatorio non nasce soltanto dalla violazione immediata del decreto, ma anche dall’evoluzione continua delle specifiche tecniche che l’ACN è chiamata a definire e aggiornare.

Le specifiche tecniche ACN: dal rinvio attuativo agli obblighi concreti

Il punto giuridicamente più interessante è che il D.Lgs. 138/2024 non si limita a imporre obblighi astratti di gestione del rischio, ma rinvia a un successivo livello attuativo.

L’ACN ha infatti pubblicato le “modalità e specifiche di base” per l’adempimento degli obblighi di cui agli articoli 23, 24 e 25 del decreto, prevedendo misure di sicurezza di base e criteri sugli incidenti significativi, differenziati tra soggetti importanti ed essenziali.

Le linee guida ACN di lettura delle specifiche chiariscono inoltre che tali misure sono state costruite per coprire gli elementi dell’art. 24, comma 2, del decreto NIS, cioè proprio il cuore della gestione dei rischi per la sicurezza informatica.

Il sistema sanzionatorio NIS2 non è leggibile senza le determinazioni ACN

Da qui deriva una prima conseguenza: il sistema sanzionatorio NIS2 non può essere letto in modo separato dalle determinazioni tecniche dell’ACN. Il decreto contiene gli articoli sulle misure di esecuzione e sulle sanzioni amministrative; l’ordinamento, dunque, costruisce un modello in cui il precetto generale nasce nella legge, ma la sua concretizzazione operativa si definisce anche attraverso atti successivi dell’autorità competente.

La stessa documentazione istituzionale collegata all’attuazione del decreto evidenzia che le determinazioni ACN sono emanate “sentito il Tavolo” e costituiscono il veicolo attraverso cui il quadro degli obblighi viene reso concretamente applicabile.

L’evoluzione delle determinazioni ACN e l’innalzamento progressivo delle aspettative

L’architettura descritta produce un effetto spesso sottovalutato: l’evoluzione delle determinazioni ACN tende ad alzare progressivamente il livello di dettaglio e, con esso, il livello delle aspettative regolatorie.

Nel 2025 l’ACN ha pubblicato la determinazione sulle misure di sicurezza di base; alla fine del 2025 sono poi arrivate nuove determinazioni che, secondo le ricostruzioni disponibili, hanno aggiornato e sostituito la disciplina precedente con affinamenti applicabili dal 15 gennaio 2026. Anche quando tali aggiornamenti non cambiano radicalmente l’impianto, essi consolidano il livello di maturità richiesto ai soggetti NIS e rendono più difficile difendere assetti organizzativi rimasti ancorati a standard precedenti.

Nel corso del mese di aprile 2026 ulteriori determinazioni sono attese.

L’art. 32 GDPR e la sua convergenza con il lessico NIS2

La vera novità, però, non è soltanto cyber ma riguarda la disciplina privacy.

L’art. 32 GDPR impone infatti al titolare e al responsabile del trattamento di adottare misure tecniche e organizzative adeguate tenendo conto, tra l’altro, dello stato dell’arte, dei costi di attuazione, della natura del trattamento e dei rischi per i diritti e le libertà delle persone fisiche. Lo stesso art. 32 richiama espressamente la capacità di assicurare in modo permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento, nonché la capacità di ripristinare tempestivamente la disponibilità dei dati e l’accesso agli stessi in caso di incidente fisico o tecnico.

È difficile non vedere, in questa formulazione, una forte area di contatto con il lessico e la logica della NIS2.

Come le determinazioni ACN ridefiniscono lo “stato dell’arte” rilevante per il GDPR

Proprio qui si innesta la tesi centrale: quando l’ACN, in attuazione del D.Lgs. 138/2024, precisa in modo sempre più puntuale quali misure, processi, evidenze e responsabilità organizzative debbano esistere per presidiare il rischio cyber, contribuisce indirettamente a ridefinire anche ciò che, in determinati contesti, può essere considerato “adeguato” ai sensi dell’art. 32 GDPR.

Non nel senso di una automatica coincidenza tra NIS2 e GDPR, che restano regimi distinti, ma nel senso di una contaminazione dello stato dell’arte: ciò che il regolatore nazionale della cybersicurezza qualifica come baseline tecnica e organizzativa per soggetti operanti in settori critici o altamente esposti diventa inevitabilmente un parametro interpretativo rilevante anche per valutare la diligenza privacy di molte organizzazioni.

Supply chain, vulnerabilità, continuità: dove NIS2 e art. 32 GDPR si sovrappongono

Il punto è ancora più evidente se si guarda al contenuto delle specifiche di base. Le fonti istituzionali ACN e la documentazione divulgativa ufficiale collegata al decreto richiamano, tra gli ambiti coperti dalle misure, la valutazione dei rischi, la continuità operativa, il ripristino in caso di disastro, il trattamento dei rischi, la gestione delle vulnerabilità e la sicurezza della supply chain.

Si tratta esattamente di dimensioni che, se riferite a trattamenti di dati personali, entrano direttamente nel perimetro dell’art. 32 GDPR e, in molti casi, anche dell’accountability ex artt. 5, par. 2, e 24 GDPR. In altri termini, l’innalzamento della baseline NIS2 tende a innalzare anche la soglia di ciò che, per molte organizzazioni, sarà considerato una sicurezza privacy difendibile; tale dinamica ha un impatto diretto sul sistema sanzionatorio, anche se in forma non lineare.

Sul piano NIS, il decreto prevede misure di esecuzione e sanzioni amministrative dedicate; sul piano privacy, l’art. 32 resta ancorato al sistema sanzionatorio del GDPR. È pur vero che la separazione formale dei due apparati non impedisce una convergenza sostanziale. Una carenza tecnica o organizzativa emersa in sede NIS può diventare, nello stesso tempo, un indizio forte della non adeguatezza delle misure di sicurezza del trattamento, soprattutto quando la stessa infrastruttura, lo stesso processo o lo stesso fornitore servono anche trattamenti di dati personali. È qui che la cybersecurity cessa di essere un settore separato e torna a essere, per il GDPR, un fatto probatorio.

Leggere le determinazioni ACN come segnale anticipatore per la compliance privacy

Per questa ragione, leggere le nuove determinazioni ACN soltanto come un problema di compliance NIS2 è un errore strategico. Le imprese dovrebbero leggerle anche come un segnale anticipatore dell’evoluzione dello stato dell’arte in materia di sicurezza del trattamento. Quanto più l’ACN dettaglia aspettative su governance, ruoli, processi di incident handling, continuità, logging, gestione delle vulnerabilità e sicurezza della catena di approvvigionamento, tanto più diventa difficile sostenere, in un contenzioso privacy o in un’ispezione del Garante, che un presidio più debole fosse comunque sufficiente. La questione non è la trasposizione automatica di una misura NIS in un obbligo GDPR, ma la crescente difficoltà di difendere misure obsolete in un ecosistema tecnico-normativo che si sta rapidamente consolidando.

La governance aziendale deve cambiare postura: NIS2 e GDPR non sono silos

La governance aziendale, di conseguenza, deve cambiare postura. ACN ricorda che i soggetti NIS devono adottare misure in almeno dieci ambiti con un approccio multi-rischio e proporzionato; le FAQ e i materiali attuativi mostrano inoltre un percorso scandito da scadenze, aggiornamenti annuali, adozione di misure di base e progressivo rafforzamento della disciplina con la conseguenza che chi separa troppo rigidamente il presidio NIS da quello privacy finisce per perdere entrambe le partite: quella dell’adeguamento NIS2 e quella della difendibilità ex art. 32 GDPR.

Un ecosistema regolatorio dinamico: perché la baseline non basta

È significativo, in tal senso, che il percorso attuativo sia accompagnato dal Tavolo per l’attuazione della disciplina NIS, a conferma che non siamo davanti a un insieme di controlli tecnici cristallizzati una volta per tutte, ma a un ecosistema regolatorio dinamico, destinato a produrre ulteriori affinamenti. Proprio questa dinamicità rafforza la necessità, per le imprese, di non limitarsi a “raggiungere” una baseline, ma di strutturarsi per seguirne l’evoluzione.

Conclusione: la vera domanda sulla difendibilità delle misure di sicurezza

La conclusione, allora, è netta. Le nuove determinazioni ACN ridefiniscono il contenuto tecnico della compliance NIS2 e contribuiscono anche a ridefinire, in via indiretta ma molto concreta, il perimetro della sicurezza adeguata rilevante per l’art. 32 GDPR. Il sistema sanzionatorio resta formalmente duale, ma la base fattuale su cui verranno valutate molte organizzazioni è sempre più unitaria. Per questo la vera domanda non è se le prescrizioni ACN “valgano” automaticamente come standard privacy. La vera domanda è un’altra: quanto a lungo sarà ancora difendibile, in sede GDPR, una misura di sicurezza che il regolatore nazionale della cybersicurezza considera ormai superata?

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Francesco Capparelli
Board Member Istituto Italiano per la Privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • equalize dossieraggi competenze cybersecurity

  • l'analisi

    Eu Cybersecurity Index: l'Europa è davvero pronta al digitale?

    18 Lug 2025

    di Francesco Macchia

    Condividi
  • cybersecurity act nis2

  • la guida

    NIS2, come gestire la compliance interna per fornitori It e cyber

    20 Ago 2025

    di Paola Ritondò e Jun Jie Yang

    Condividi
  • agentic ai agenti ai in azienda etica dell'IA agentica AI agentica business operations AI agentica nei servizi finanziari

  • rischio ict

    DORA, obblighi per banche e PA: perché serve orchestrare gli agenti AI

    10 Feb 2026

    di Antonio Burinato

    Condividi
0
Lascia un commento, la tua opinione conta.x