La Determinazione n. 164179 del 14 aprile 2025, emanata dall’Agenzia per la Cybersicurezza Nazionale (ACN), rappresenta uno snodo fondamentale nel percorso di attuazione della Direttiva NIS2 in Italia.
Si tratta di un documento tecnico, dettagliato e strategico che stabilisce in modo chiaro e operativo le misure di sicurezza da adottare da parte dei soggetti classificati come “essenziali” e “importanti”, nel contesto nazionale. La Determinazione è dunque l’atto applicativo che definisce il “come” adempiere, rendendo operativo l’obbligo di adeguamento.
Il provvedimento assume un ruolo decisivo nel processo di armonizzazione tra i requisiti della NIS2 e il Framework Nazionale per la Cybersecurity e la Data Protection, richiamando esplicitamente la struttura e i principi ispirati al NIST Cybersecurity Framework.
Indice degli argomenti
Come contestualizzare il NIST Cybersecurity Framework in ambito NIS2
La NIS2 impone agli operatori di servizi essenziali e importanti di implementare misure di sicurezza tecniche e organizzative adeguate. Per soddisfare questi obblighi, molte organizzazioni fanno riferimento a framework internazionalmente riconosciuti, come il NIST Cybersecurity Framework (CSF), pubblicato dal National Institute of Standards and Technology (USA).
Il NIST CSF si integra perfettamente con gli obiettivi della NIS2, perché fornisce una struttura logica, adattabile e scalabile per valutare e migliorare le capacità di gestione del rischio informatico.
Il framework si articola in 5 funzioni principali, che riflettono il ciclo completo della gestione della sicurezza informatica:
Identify (Identificare): capire cosa proteggere
L’identificazione rappresenta il primo passo concreto per costruire una strategia di sicurezza robusta. In questa fase, l’organizzazione è chiamata a riconoscere e mappare in modo strutturato tutti gli asset informativi, inclusi dispositivi, reti, software e dati. È fondamentale non limitarsi a un inventario tecnico, ma collegare ogni risorsa al relativo processo aziendale, evidenziandone il livello di criticità e le interdipendenze. Solo con una visione chiara del perimetro digitale è possibile attuare misure realmente efficaci.
Coerente con gli articoli della NIS2 che richiedono valutazione e gestione del rischio (art. 21).
Protect (Proteggere): prevenire gli incidenti
La protezione riguarda l’insieme delle barriere difensive attive e passive che devono essere implementate per prevenire accessi non autorizzati, errori operativi e altre forme di compromissione. Le misure spaziano dal controllo degli accessi alla cifratura dei dati, dalla segmentazione della rete alla formazione del personale. È importante sottolineare che il concetto di protezione non si esaurisce nella tecnologia, ma richiede anche una cultura interna consapevole, basata su regole, comportamenti e responsabilità condivise
Allineato con i requisiti NIS2 su misure tecniche e organizzative (art. 21-23).
Detect (Rilevare): individuare tempestivamente le anomalie
Nonostante tutte le precauzioni, nessun sistema è impenetrabile. È per questo che le organizzazioni devono dotarsi di strumenti e processi capaci di intercettare rapidamente segnali di compromissione. La rilevazione si basa sull’analisi continua dei log di sistema, sull’utilizzo di tecnologie SIEM (Security Information and Event Management), sull’identificazione di anomalie comportamentali e sull’integrazione con sistemi di threat intelligence. La tempestività è la chiave per contenere l’impatto di un attacco.
NIS2 richiede capacità di rilevamento tempestivo per notifica degli incidenti (art. 23).
Respond (Rispondere): gestire gli incidenti
Quando si verifica un incidente, la reazione deve essere coordinata, tempestiva e documentata. In questa fase, entrano in gioco i piani di gestione degli incidenti, le procedure di comunicazione interna ed esterna, e i rapporti con le autorità competenti (in particolare l’ACN). La risposta non si limita alla risoluzione tecnica del problema, ma include anche la gestione della comunicazione con clienti e stakeholder, la tutela della reputazione e la prevenzione del danno legale e regolamentare
Direttamente connesso all’obbligo di notifica degli incidenti significativi previsto dalla NIS2 (art. 23 e 27.
Recover (Ripristinare): garantire la continuità operativa
Infine, la funzione di ripristino si occupa della continuità operativa. Non si tratta solo di riavviare i sistemi, ma di garantire che l’organizzazione possa tornare rapidamente a uno stato stabile e sicuro. È quindi fondamentale disporre di piani di business continuity e disaster recovery aggiornati, testati e accessibili. La capacità di apprendere dagli incidenti e migliorare le difese rientra pienamente in questa fase.
Fondamentale per la resilienza operativa richiesta dalla NIS2 (art. 21-24).
Il NIST CSF non è un obbligo, ma uno strumento che facilita il percorso di conformità alla NIS2, offrendo:
- Struttura modulare: si adatta ad aziende di ogni dimensione e settore.
- Metodologia standardizzata: consente di documentare e dimostrare le azioni intraprese, utile in caso di audit o controlli dell’ACN.
- Mappatura diretta: le misure definite nel framework possono essere ricondotte ai requisiti degli Allegati tecnici della Determinazione ACN (es. 37 misure e 87 requisiti per soggetti importanti).
- Approccio risk-based: coerente con la visione della NIS2 che richiede gestione proattiva e continua del rischio.
Classificazione dei soggetti e termini per l’adeguamento NIS 2
L’ACN ha distinto due grandi categorie di soggetti: essenziali e importanti. Questa distinzione si basa sull’impatto potenziale che un incidente informatico può avere sul sistema Paese, sui cittadini o sulla sicurezza pubblica.
La classificazione è notificata direttamente ai soggetti coinvolti con atto formale proprio in questi giorni. Dal momento della ricezione decorrono i termini per l’adeguamento: 18 mesi per le misure di sicurezza e 9 mesi per attivare i meccanismi di notifica degli incidenti significativi.
Gli allegati tecnici alla Determinazione ACN rappresentano il cuore operativo della normativa, poiché traducono gli obblighi generali della direttiva NIS2 in azioni concrete e misurabili per le organizzazioni classificate come soggetti importanti ed essenziali. Si tratta di un passaggio cruciale che segna il passaggio dalla teoria alla pratica, definendo in modo preciso quali interventi adottare, con quale livello di profondità e secondo quali priorità.
Misure obbligatorie per i soggetti importanti
Per i soggetti classificati come “importanti”, la Determinazione prevede l’implementazione di 37 misure, articolate in 87 requisiti di dettaglio. Queste misure coprono tutte le funzioni sopra descritte e rappresentano un livello minimo di protezione. Tra i pilastri fondamentali troviamo:
- Gestione del rischio: viene richiesto un approccio metodico e documentato all’identificazione, valutazione e trattamento dei rischi informatici.
- Controllo degli accessi: le organizzazioni devono regolare chi può accedere a cosa, come, e da dove, limitando privilegi e monitorando gli accessi.
- Formazione e consapevolezza: il personale deve essere informato, formato e aggiornato sulle minacce e sulle buone pratiche di sicurezza.
- Protezione dei dati: è necessario garantire integrità, riservatezza e disponibilità dei dati attraverso misure di cifratura, segregazione e backup.
- Monitoraggio continuo: occorre stabilire un sistema di sorveglianza degli eventi che permetta di cogliere segnali di pericolo in tempo reale.
- Gestione degli incidenti: vanno predisposte procedure operative per reagire prontamente in caso di violazione, con ruoli chiari e azioni tracciabili.
- Piani di ripristino: le aziende devono predisporre soluzioni per continuare a operare anche in situazioni critiche, minimizzando l’impatto sul business.
Quindi l’Allegato 1 descrive le misure che i soggetti importanti devono implementare per innalzare il proprio livello di sicurezza informatica. Si tratta di 37 misure suddivise in 87 requisiti che coprono l’intero ciclo della gestione della sicurezza, dalla fase di identificazione degli asset alla risposta e recupero dagli incidenti. L’approccio adottato privilegia una logica basata sul rischio, che impone all’organizzazione di conoscere bene il proprio perimetro digitale: sistemi informativi, dispositivi, software, utenze, e dati trattati. Questo processo di autoanalisi rappresenta il punto di partenza per qualsiasi strategia di protezione.
Il concetto di controllo degli accessi, ad esempio, non viene affrontato solo in termini tecnici (implementazione di password robuste o autenticazione a più fattori), ma anche nella sua dimensione organizzativa, che impone la definizione di ruoli, responsabilità e privilegi d’accesso coerenti con le funzioni svolte. Allo stesso modo, la formazione del personale non è considerata un’attività una tantum, ma una componente permanente della cultura aziendale, con programmi formativi continuativi, aggiornamenti periodici e valutazioni dell’efficacia.
Requisiti aggiuntivi per i soggetti essenziali
I soggetti essenziali devono adottare ulteriori 6 misure e 29 requisiti, arrivando a un totale di 43 misure e 116 requisiti. Queste integrazioni si focalizzano su aspetti ad alta criticità, tra cui:
- Sicurezza della supply chain: valutare i fornitori, definire SLA chiari e verificare periodicamente il rispetto delle misure di sicurezza.
- Sicurezza fisica: adottare controlli per impedire accessi non autorizzati agli ambienti critici (es. data center, server room).
- Gestione delle vulnerabilità: implementare un ciclo continuo di aggiornamento e correzione dei punti deboli dei sistemi.
- Audit e conformità: attivare meccanismi interni di verifica del rispetto delle policy e dei requisiti normativi.
- Governance della sicurezza: stabilire ruoli e responsabilità chiare, anche a livello di alta direzione.
- Comunicazione in caso di crisi: prevedere procedure per comunicare efficacemente con il personale, i clienti e le autorità in caso di incidente.
Quindi l’Allegato 2 eleva ulteriormente l’asticella per i soggetti essenziali, introducendo ulteriori 6 misure e 29 requisiti. Il focus si amplia per includere aspetti di sicurezza della supply chain, sicurezza fisica e gestione strutturata delle vulnerabilità. In questo caso, è evidente la volontà del legislatore di assicurare un presidio più capillare e articolato, che non si limiti alla protezione degli asset interni ma si estenda anche all’ecosistema digitale in cui l’organizzazione è inserita. La valutazione dei fornitori, ad esempio, non si esaurisce con un’autodichiarazione iniziale ma deve prevedere un controllo periodico, attraverso audit, contrattualistica specifica e analisi di conformità ai requisiti minimi di sicurezza.
Particolare attenzione è riservata alla governance della sicurezza, con la richiesta di individuare responsabilità specifiche a livello apicale, di istituire comitati di controllo interno e di adottare un sistema documentale coerente, capace di supportare le attività ispettive e dimostrare l’effettiva applicazione delle misure.
Notifica degli incidenti e sistema di tracciabilità
Infine, gli Allegati 3 e 4 disciplinano le modalità di notifica degli incidenti significativi. Il sistema è pensato per essere rapido, efficace e tracciabile. Le informazioni da fornire includono la descrizione dell’evento, la sua data di rilevazione, l’impatto stimato e le azioni correttive intraprese.
La strutturazione dettagliata degli allegati, il linguaggio operativo adottato e la chiarezza dei requisiti rendono questa Determinazione uno strumento applicabile anche per realtà complesse e articolate, consentendo alle organizzazioni di misurare con precisione il proprio grado di conformità e di pianificare interventi di miglioramento in modo progressivo e sostenibile.
Valutazione del rischio come base della cybersecurity
Alla base di tutto c’è la valutazione del rischio. Nessuna misura ha valore se non è proporzionata al livello di esposizione dell’organizzazione. L’analisi deve essere formalizzata, aggiornata periodicamente e integrata nei processi decisionali. Deve tener conto delle minacce emergenti, del valore dei dati trattati, della superficie di attacco e della capacità di risposta disponibile. Questo approccio permette di allocare risorse in modo efficiente e di giustificare le scelte adottate, anche in sede di audit o controllo da parte dell’ACN.
Percorso di adeguamento e accountability aziendale: come impostare il percorso
Applicare le misure previste dalla Determinazione ACN non significa semplicemente acquistare nuovi software o aggiornare i firewall: vuol dire intraprendere un vero percorso di trasformazione interna, che coinvolge persone, processi, ruoli e cultura aziendale. La sicurezza non può essere delegata solo all’IT, ma deve diventare un obiettivo trasversale, integrato nella strategia e nelle attività quotidiane dell’organizzazione. Vediamo come impostare correttamente questo percorso di “Accountability”.
L’analisi del punto di partenza
La prima fase, spesso sottovalutata, è l’analisi del punto di partenza: capire dove ci si trova rispetto a dove si dovrebbe essere. In questo senso, la gap analysis diventa uno strumento fondamentale. Si tratta di confrontare in modo sistematico lo stato di fatto dell’organizzazione con i requisiti espressi negli allegati della Determinazione.
Ciò implica: analizzare le politiche esistenti (se ci sono) in materia di cybersecurity, valutare le tecnologie già in uso, verificare i processi di gestione del rischio, incident response e business continuity e rilevare l’effettiva maturità del personale rispetto alla sicurezza.
L’obiettivo non è giudicare, ma fotografare la realtà, per poter poi costruire un piano di adeguamento credibile e coerente con le capacità reali dell’ente o dell’azienda.
Piano di implementazione e responsabilità organizzative
La seconda fase è definire un piano di adeguamento – roadmap, responsabilità e priorità
Una volta chiarito il gap, è necessario costruire un piano di adeguamento strutturato.
Questo piano deve essere:
- realistico: tenere conto delle risorse economiche e umane disponibili;
- scalabile: affrontabile per fasi, con obiettivi progressivi e misurabili;
- responsabilizzante: ogni misura deve avere un “proprietario” interno;
- monitorabile: devono esistere meccanismi per verificare l’avanzamento delle attività.
È buona pratica suddividere il piano in macro-obiettivi (es. aggiornare l’inventario asset, implementare una politica di accesso) e azioni operative (es. assegnare i livelli di autorizzazione, aggiornare le password secondo policy). La direzione deve essere coinvolta non solo come sponsor, ma anche come soggetto attivo, firmando le policy, approvando i budget e promuovendo la cultura della sicurezza.
Formazione del personale e cultura della sicurezza
La terza fase è investire nella formazione, costruire consapevolezza a ogni livello che è uno dei punti più sottovalutati. Non basta formare i tecnici: tutta l’organizzazione deve sapere cosa significa proteggere i dati e i sistemi.
Serve un programma di formazione strutturato, che comprenda:
- sessioni base per tutti i dipendenti (phishing, uso sicuro di email e dispositivi, regole sulla password);
- moduli avanzati per i ruoli tecnici (configurazione sicura, hardening dei sistemi, SIEM);
- aggiornamenti periodici e simulazioni (es. phishing test, incident response drills);
- strumenti di autoformazione e reminder digitali (newsletter, quiz, infografiche).
Strumenti di monitoraggio e risposta agli incidenti
La quarta fase è adottare strumenti di monitoraggio, visibilità e risposta in tempo reale.
Un sistema efficace non può essere solo preventivo. La capacità di rilevare e reagire agli incidenti è centrale nella logica della NIS2. Questo significa implementare strumenti e processi che diano visibilità in tempo reale su cosa succede nei sistemi aziendali.
Alcuni strumenti chiave:
- SIEM: per raccogliere, correlare e analizzare eventi di sicurezza da tutte le fonti (firewall, endpoint, reti, server);
- EDR/XDR: soluzioni di protezione avanzata degli endpoint, capaci di rilevare comportamenti anomali;
- sistemi di gestione dei log: per garantire la tracciabilità di tutte le operazioni rilevanti;
- alert automatici e dashboard: che consentano al personale di reagire rapidamente.
L’obiettivo è passare da un approccio reattivo a uno proattivo, in cui il sistema di sicurezza anticipa, segnala e supporta la risposta.
Documentazione e tracciabilità per la conformità Nis2
La quinta fase è documentare ogni passaggio: tracciabilità.
La documentazione non è una formalità. Nel contesto del GDPR, della NIS2 e delle ispezioni da parte delle Autorità di controllo, la capacità di dimostrare ciò che si è fatto è tanto importante quanto l’azione stessa.
Ogni misura adottata, ogni politica scritta, ogni piano testato, ogni formazione erogata deve essere:
- tracciabile: esistono evidenze oggettive? (es. verbali, screenshot, log)
- aggiornata: il documento è ancora valido? corrisponde alla realtà attuale?
- condivisa: le persone coinvolte sono a conoscenza del contenuto?
L’approccio giusto è costruire un sistema documentale integrato, che accompagni ogni fase del progetto e supporti eventuali verifiche esterne. Questo rafforza la accountability, ovvero la responsabilità consapevole e dimostrabile, che è un pilastro della normativa.
Opportunità strategica della Determinazione ACN per le aziende
La Determinazione ACN è una straordinaria opportunità per le organizzazioni italiane di rafforzare la propria postura cyber. L’approccio modulare e progressivo consente di adattare gli sforzi alle proprie capacità organizzative, facendo leva su principi internazionali (NIST), su strumenti consolidati e su un cambio culturale che mette al centro la sicurezza come valore condiviso.
Chi saprà interpretare correttamente questa trasformazione, uscendo da una logica puramente normativa e abbracciando una visione strategica, dimostrerà di essere più competitivo, più credibile e più resiliente nel tempo. Oggi le sfide si giocano nel dominio cibernetico, ma le loro conseguenze si manifestano nel mondo reale, con impatti tangibili sull’economia, sulla sicurezza e sulla continuità operativa. Proteggere il digitale significa proteggere il concreto.
