NIS 2: gli obblighi di base definiti da ACN per soggetti essenziali e importanti

Article Thumbnail
NIS 2 | virtual CISO | ACN | cybersecurity compliance | Regolamento 2690/2024 | cybersecurity baseline | framework nazionale cyber

NIS 2: gli obblighi di base definiti da ACN per soggetti essenziali e importanti

26 Maggio 2025

Con la determinazione n. 164179 del 14 aprile 2025, l'Agenzia per la Cybersicurezza Nazionale (ACN) ha definito le misure minime di sicurezza – o obblighi di base – per i soggetti essenziali e importanti, in attuazione della prima fase della Direttiva NIS 2. Per informazioni dettagliate sugli obblighi imminenti e le scadenze, consulta il nostro articolo completo sugli obblighi NIS2.

I documenti allegati comprendono:

  • Allegato I: 37 misure per i soggetti importanti
  • Allegato II: 43 misure per i soggetti essenziali
  • Allegati III-IV: criteri per notificare incidenti significativi

Scadenze operative

  • Entro 9 mesi: obbligo di notifica incidenti
  • Entro 18 mesi: adozione completa delle misure

Una seconda fase è prevista per aprile 2026 con misure specifiche per settore.

Aree tecniche

  • Gestione del rischio
  • Catena di fornitura e asset
  • Gestione vulnerabilità, backup, disaster recovery
  • Controllo accessi, MFA
  • Sicurezza fisica e risposta agli incidenti

I soggetti essenziali sono tenuti a rispettare requisiti più stringenti. Ogni misura è identificata da codice, descrizione e requisiti tecnici o amministrativi.

Flessibilità e gestione del rischio

La Direttiva NIS 2 adotta un approccio risk-based. ACN ha introdotto quattro clausole per adattare i requisiti in base a contesto, rischio e documentazione tecnica.

Confronto con il Regolamento UE 2024/2690

Il Regolamento UE 2690/2024 è più stringente, ma condivide l'obiettivo di rafforzare la postura di sicurezza. Le misure ACN possono essere viste come baseline per la compliance europea:

  • Focus comuni su accessi, MFA, configurazioni
  • Diverso livello di formalizzazione

Per approfondire:

Continuità operativa e BIA

Il Regolamento 2690 impone una analisi di impatto (BIA). ACN non la richiede esplicitamente, ma prevede l'obbligo di un piano di continuità da aggiornare periodicamente e legato alla valutazione del rischio.

Per assistenza operativa, Aegister propone servizi Virtual CISO e consulenza per la compliance NIS2.

Condividi questo articolo: