L'articolo 24 del decreto legislativo 138/2024 richiede ai soggetti NIS l'adozione di misure tecniche, operative e organizzative adeguate e proporzionate al rischio cyber. In termini operativi, i programmi di conformità devono definire un ciclo del rischio documentato che colleghi decisioni di governance, attuazione dei controlli e prontezza delle evidenze.
Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Punti chiave
- L'articolo 24 è basato sul rischio: le misure vanno selezionate e mantenute in base all'esposizione reale.
- Le specifiche di base ACN traducono l'articolo 24 in famiglie di controlli strutturate.
- Governance, identificazione, protezione, rilevamento, risposta e ripristino devono essere integrati in un unico modello.
- Le evidenze di conformità devono dimostrare non solo l'esistenza dei controlli, ma anche riesame e miglioramento continuo.
Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base
Cosa implica l'articolo 24 per i team operativi
Un modello minimo di implementazione dovrebbe allineare decisioni di governance e controlli tecnici/operativi misurabili.
1. Fondazioni di governance e policy (GV)
Il soggetto dovrebbe definire strategia di rischio, ruoli di governance, set di policy e responsabilità sulla catena di fornitura con ownership chiara e flussi di approvazione.
2. Identificazione asset e rischi (ID)
Inventari, valutazioni del rischio, fonti vulnerabilità e scelte di trattamento del rischio dovrebbero essere documentati e riesaminati periodicamente in base a cambiamenti organizzativi e lezioni dagli incidenti.
3. Controlli di protezione (PR)
Gestione accessi, formazione e consapevolezza, protezione dati, hardening piattaforme e resilienza infrastrutturale dovrebbero essere implementati in coerenza con gli esiti del rischio.
4. Rilevamento, risposta e ripristino (DE/RS/RC)
Monitoraggio continuo, esecuzione della risposta, coordinamento stakeholder e piani di ripristino dovrebbero operare come ciclo unico.
Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Famiglie di controlli ed evidenze attese
| Area | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| Governance (GV) | Definire e mantenere indirizzo e accountability del rischio cyber | Set policy governance, matrice ruoli, registri riesame |
| Identificazione (ID) | Mantenere visibilità su asset e rischio | Inventario asset, report di risk assessment, piani di trattamento |
| Protezione (PR) | Ridurre probabilità e impatto della compromissione | Evidenze controllo accessi, registri formazione, standard hardening |
| Rilevamento (DE) | Rilevare eventi anomali sui sistemi rilevanti | Procedure monitoraggio, log di gestione alert |
| Risposta (RS) | Contenere e gestire incidenti in modo coerente | Procedure risposta, registri investigazione ed escalation |
| Ripristino (RC) | Ripristinare operatività e resilienza | Procedure recovery, esiti test di ripristino |
Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Priorità di implementazione per 90 giorni
- Verificare copertura policy rispetto agli obblighi dell'articolo 24 e alle aree baseline ACN.
- Confermare cadenza risk assessment e assicurare che gli output guidino controlli di protezione e rilevamento.
- Formalizzare owner dei controlli con responsabilità misurabili di riesame ed escalation.
- Costruire un registro evidenze per ogni famiglia di controlli (GV, ID, PR, DE, RS, RC).
- Eseguire un riesame direzionale per approvare priorità remediation e scadenze.
FAQ
L'articolo 24 richiede gli stessi controlli per ogni organizzazione?
No. Le misure devono essere adeguate e proporzionate al profilo di rischio, con implementazione calibrata su esposizione e servizi critici. Fonte: Decreto legislativo 138/2024
La sola valutazione del rischio è sufficiente per dimostrare conformità?
No. Servono anche controlli implementati, supervisione di governance ed evidenze documentali di mantenimento e riesame. Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Da quale area conviene partire?
In genere da governance e identificazione, per definire ownership, perimetro e priorità rischio che guidano tutte le altre famiglie di controllo. Fonte: Determinazione ACN obblighi di base
Valuta la tua postura di gestione del rischio con l'assessment gratuito di cybersecurity di Aegister, progettato per identificare gap rispetto ai requisiti NIS2.
Guide correlate in questa serie
Letture correlate
- Obblighi NIS2 di base in pratica: articolo master su governance, controlli e gestione incidenti
- Controlli NIS2 di Identificazione (ID): Inventari, Valutazione del Rischio e Ciclo di Miglioramento
- Controlli NIS2 di Protezione (PR): Misure Tecniche e Organizzative in Esecuzione
- Servizio Aegister NIS2 Compliance
- Assessment NIS2 Gratuito