L'articolo 24 del decreto legislativo 138/2024 richiede ai soggetti NIS l'adozione di misure tecniche, operative e organizzative adeguate e proporzionate al rischio cyber. In termini operativi, i programmi di conformità devono definire un ciclo del rischio documentato che colleghi decisioni di governance, attuazione dei controlli e prontezza delle evidenze.
Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Punti chiave
- L'articolo 24 è basato sul rischio: le misure vanno selezionate e mantenute in base all'esposizione reale.
- Le specifiche di base ACN traducono l'articolo 24 in famiglie di controlli strutturate.
- Governance, identificazione, protezione, rilevamento, risposta e ripristino devono essere integrati in un unico modello.
- Le evidenze di conformità devono dimostrare non solo l'esistenza dei controlli, ma anche riesame e miglioramento continuo.
Fonti: Decreto legislativo 138/2024, Determinazione ACN obblighi di base
Cosa implica l'articolo 24 per i team operativi
Un modello minimo di implementazione dovrebbe allineare decisioni di governance e controlli tecnici/operativi misurabili.
1. Fondazioni di governance e policy (GV)
Il soggetto dovrebbe definire strategia di rischio, ruoli di governance, set di policy e responsabilità sulla catena di fornitura con ownership chiara e flussi di approvazione.
2. Identificazione asset e rischi (ID)
Inventari, valutazioni del rischio, fonti vulnerabilità e scelte di trattamento del rischio dovrebbero essere documentati e riesaminati periodicamente in base a cambiamenti organizzativi e lezioni dagli incidenti.
3. Controlli di protezione (PR)
Gestione accessi, formazione e consapevolezza, protezione dati, hardening piattaforme e resilienza infrastrutturale dovrebbero essere implementati in coerenza con gli esiti del rischio.
4. Rilevamento, risposta e ripristino (DE/RS/RC)
Monitoraggio continuo, esecuzione della risposta, coordinamento stakeholder e piani di ripristino dovrebbero operare come ciclo unico.
Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Famiglie di controlli ed evidenze attese
| Area | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| Governance (GV) | Definire e mantenere indirizzo e accountability del rischio cyber | Set policy governance, matrice ruoli, registri riesame |
| Identificazione (ID) | Mantenere visibilità su asset e rischio | Inventario asset, report di risk assessment, piani di trattamento |
| Protezione (PR) | Ridurre probabilità e impatto della compromissione | Evidenze controllo accessi, registri formazione, standard hardening |
| Rilevamento (DE) | Rilevare eventi anomali sui sistemi rilevanti | Procedure monitoraggio, log di gestione alert |
| Risposta (RS) | Contenere e gestire incidenti in modo coerente | Procedure risposta, registri investigazione ed escalation |
| Ripristino (RC) | Ripristinare operatività e resilienza | Procedure recovery, esiti test di ripristino |
Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Priorità di implementazione per 90 giorni
- Verificare copertura policy rispetto agli obblighi dell'articolo 24 e alle aree baseline ACN.
- Confermare cadenza risk assessment e assicurare che gli output guidino controlli di protezione e rilevamento.
- Formalizzare owner dei controlli con responsabilità misurabili di riesame ed escalation.
- Costruire un registro evidenze per ogni famiglia di controlli (GV, ID, PR, DE, RS, RC).
- Eseguire un riesame direzionale per approvare priorità remediation e scadenze.
FAQ
L'articolo 24 richiede gli stessi controlli per ogni organizzazione?
No. Le misure devono essere adeguate e proporzionate al profilo di rischio, con implementazione calibrata su esposizione e servizi critici. Fonte: Decreto legislativo 138/2024
La sola valutazione del rischio è sufficiente per dimostrare conformità?
No. Servono anche controlli implementati, supervisione di governance ed evidenze documentali di mantenimento e riesame. Fonti: Determinazione ACN obblighi di base, Guida ACN lettura specifiche
Da quale area conviene partire?
In genere da governance e identificazione, per definire ownership, perimetro e priorità rischio che guidano tutte le altre famiglie di controllo. Fonte: Determinazione ACN obblighi di base
Valuta la tua postura di gestione del rischio con l'assessment gratuito di cybersecurity di Aegister, progettato per identificare gap rispetto ai requisiti NIS2.