L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato una guida alla lettura delle Specifiche di base in materia di misure di sicurezza informatica, a supporto dei soggetti tenuti all’adeguamento ai sensi del Decreto Legislativo 138/2024 (decreto NIS2). Il documento, reso disponibile il 4 settembre 2025, accompagna gli allegati tecnici della Determinazione n. 164179 del 14 aprile 2025, fornendo indicazioni interpretative e operative su struttura, contenuti e criteri applicativi delle misure previste dagli articoli 23, 24 e 25 del decreto NIS2.
Adozione misure di sicurezza di base
Il documento è rivolto principalmente ai soggetti individuati come essenziali e importanti ai sensi del decreto NIS2 e si propone di facilitare la comprensione e l’attuazione (anche) del pacchetto di misure introdotto con allegati 1 e 2 alla Determinazione 164179 del 14 aprile 2025, anche in vista della scadenza di ottobre 2026 (termine entro il quale le misure dovranno essere implementate).
In particolare, la guida va ad operare da un lato una utile funzione di sistematizzazione del materiale già pubblicato sul sito istituzionale di ACN (ormai “affogato” tra le diverse pagine e non sempre facilmente individuabile), e dall’altro fornisce ulteriori indicazioni interpretative e operative, chiarendo tra gli altri aspetti:
- la struttura delle misure, articolate come già noto in 43 misure e 116 requisiti per i soggetti essenziali, e in 37 misure e 87 requisiti per quelli importanti;
- la logica di aggregazione per domini di controllo, basata sul Framework Nazionale per la Cybersecurity e la Data Protection;
- l’obiettivo di ogni misura, il suo livello di applicabilità e l’eventuale gradualità richiesta in fase di attuazione;
- il significato da attribuire a periodi / termini chiave ricorrenti nelle specifiche;
- le modalità con cui documentare l’adozione delle misure ai fini della tracciabilità e delle eventuali verifiche (precedentemente contenute solo all’interno delle FAQ).
Incidenti significativi di base
Il terzo ed ultimo capitolo della guida è dedicato agli incidenti significativi di base, anche qui distinguendo tra le tipologie da segnalare per i soggetti importanti (tre) ed essenziali (quattro, con un’ulteriore fattispecie relativa ad accessi non autorizzati o con “abuso di privilegi concessi”, nozione approfondita in conclusione di sezione).
Viene precisato che ciò che rileva, ai fini della notifica, è la disponibilità di evidenza dell’incidente, intesa come acquisizione di elementi oggettivi che ne attestino l’avvenuto verificarsi. L’acquisizione dell’evidenza segna il momento da cui decorrono i termini di 24 ore per la pre-notifica e di 72 ore per la notifica completa. La guida chiarisce inoltre, con esempi, le modalità di acquisizione di tale evidenza (segnalazioni interne, segnalazioni esterne, rilevazioni dai sistemi di monitoraggio).
Un documento di orientamento, non prescrittivo
Come precisato da ACN, la guida non modifica né integra le disposizioni della Determinazione (o dei suoi allegati), ma fornisce un ausilio interpretativo per le organizzazioni che devono tradurre le misure in attività e controlli concreti. Il suo utilizzo è pertanto consigliato nella fase di analisi iniziale, di pianificazione degli interventi e di verifica di coerenza tra le implementazioni in corso e i requisiti previsti.
La pubblicazione della guida rappresenta infatti un passo importante per rendere più accessibile l’applicazione delle Specifiche di base, soprattutto per le organizzazioni che stanno affrontando le prime fasi dell’adeguamento.
Su un argomento simile, può essere di interesse “UNI/PdR 174:2025, (anche) un supporto ai soggetti NIS certificati ISO 27001“.
