---
title: "PSNC: perimetro cibernetico nazionale e NIS 2"
description: "PSNC spiegato: chi rientra nel perimetro di sicurezza nazionale cibernetica, obblighi del DL 105/2019 e coordinamento con NIS 2."
canonical: https://www.aegister.com/it/cms/insights/psnc-perimetro-sicurezza-nazionale-cibernetica/
url: /it/cms/insights/psnc-perimetro-sicurezza-nazionale-cibernetica/
lang: it
---

![](/static/images/header-contact.webp)

# Perimetro di Sicurezza Nazionale Cibernetica (PSNC): ambito, obblighi e coordinamento con NIS 2

---

![Perimetro di Sicurezza Nazionale Cibernetica (PSNC): ambito, obblighi e coordinamento con NIS 2](/static/images/cms/psnc-italian-cyber-security-perimeter.webp)

## Perimetro di Sicurezza Nazionale Cibernetica (PSNC): ambito, obblighi e coordinamento con NIS 2

18 Aprile 2026

[soggetti perimetro](/it/cms/keyword/soggetti-perimetro/)
[coordinamento NIS 2](/it/cms/keyword/coordinamento-nis-2/)
[PSNC](/it/cms/keyword/psnc/)
[perimetro cibernetico](/it/cms/keyword/perimetro-cibernetico-1/)
+6

Il Perimetro di Sicurezza Nazionale Cibernetica, spesso chiamato PSNC o perimetro cibernetico, è un regime di sicurezza nazionale per soggetti pubblici e privati i cui sistemi supportano funzioni essenziali dello Stato o attività civili, sociali o economiche fondamentali. Precede la NIS 2 e può sovrapporsi a essa.

Fonti: [Decreto-Legge 105/2019](https://www.normattiva.it/eli/stato/DECRETO-LEGGE/2019/09/21/105/CONSOLIDATED/20220629), [DPCM 81/2021](https://www.normattiva.it/atto/caricaDettaglioAtto?atto.codiceRedazionale=21G00089&atto.dataPubblicazioneGazzetta=2021-06-11&bloccoAggiornamentoBreadCrumb=true&classica=true&generaTabId=true&tipoDettaglio=originario&title=lbl.dettaglioAtto), [pagina ACN sul perimetro cibernetico](https://www.acn.gov.it/portale/perimetro-cibernetico), [Decreto Legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG).

## Punti chiave

- Il PSNC è stato istituito dal Decreto-Legge 105/2019 per proteggere sistemi rilevanti per la sicurezza nazionale.
- L’inclusione viene comunicata individualmente; l’elenco dei soggetti non è pubblico.
- Gli obblighi includono elenchi asset, misure di sicurezza, notifica incidenti e controlli sulle forniture ICT.
- Il DPCM 81/2021 disciplina notifiche incidenti e misure di sicurezza per i sistemi nel perimetro.
- La NIS 2 è più ampia, ma il diritto italiano coordina i due regimi quando un soggetto rientra in entrambi.

## Ambito di questo articolo

Questo articolo spiega cos’è il PSNC, chi può rientrarvi, quali obblighi contano in pratica e come interagisce con la NIS 2. Non identifica se uno specifico soggetto è incluso nell’elenco riservato.

## Cos’è il PSNC

Il Decreto-Legge 105/2019 ha istituito il perimetro di sicurezza nazionale cibernetica per garantire un livello elevato di sicurezza di reti, sistemi informativi e servizi informatici di amministrazioni, enti e operatori con sede in Italia, quando un’interruzione può pregiudicare la sicurezza nazionale.

Rispetto alla NIS 2, il PSNC non è un regime generale di compliance cyber. È un perimetro di sicurezza nazionale. La domanda centrale è se il sistema supporta funzioni e servizi la cui compromissione inciderebbe su interessi essenziali dello Stato.

## Chi rientra nel PSNC

I soggetti sono individuati secondo criteri previsti dalla legge e dagli atti attuativi. L’inclusione viene comunicata a ciascun soggetto e l’elenco amministrativo non è pubblicato. Un’organizzazione non può quindi dedurre l’inclusione solo dal settore.

Nel lavoro di conformità conviene separare tre domande:

1. L’organizzazione è inclusa nel PSNC?
2. È anche soggetta all’attuazione italiana della NIS 2?
3. Quali reti, sistemi e servizi informatici sono coperti da ciascun regime?

## Obblighi PSNC

| Area obbligo | Significato pratico | Evidenza tipica |
| --- | --- | --- |
| Elenco asset | Predisporre e aggiornare reti, sistemi e servizi rilevanti. | Inventario architetturale, componenti, record aggiornamenti. |
| Misure di sicurezza | Adottare misure su organizzazione, rischio, incidenti, protezione, operatività, monitoraggio, formazione e forniture ICT. | Policy, controlli, test, matrice evidenze. |
| Notifica incidenti | Notificare incidenti sui sistemi coperti tramite i canali previsti. | Procedura incidente, record CSIRT, log notifiche. |
| Controlli forniture ICT | Valutare e comunicare forniture ICT rilevanti quando richiesto. | File rischio fornitore, clausole, assessment tecnico. |

## PSNC e NIS 2

Il Decreto Legislativo 138/2024 coordina NIS 2 e perimetro cibernetico. Per soggetti inclusi in entrambi i regimi, una notifica incidente ai sensi del perimetro può assolvere gli obblighi NIS 2 quando ricorrono le condizioni normative. La lezione operativa è progettare un unico processo incidente con routing regolatorio chiaro.

Per categorizzazione NIS 2 e governance ruoli, vedi [categorizzazione ACN di attività e servizi NIS](/it/cms/insights/nis-categorizzazione-attivita-servizi-acn-2026/), [architettura normativa e ruoli NIS2](/it/cms/insights/nis2-architettura-normativa-ruoli-italia/) e [ruoli e accessi nella piattaforma ACN NIS](/it/cms/insights/piattaforma-acn-nis-ruoli-accessi-associazione-utenze/).

## Come gestire un soggetto in entrambi i perimetri

1. Creare un registro unico degli obblighi per PSNC, NIS 2 e norme settoriali.
2. Mappare i sistemi una volta e taggarli per regime e obbligo.
3. Usare un unico workflow di classificazione incidente con logica di routing.
4. Allineare reporting agli organi con accountability PSNC e NIS 2.
5. Tenere evidenze fornitore e controlli procurement ICT nello stesso repository GRC.

Una funzione di governance gestita come il servizio [vCISO Aegister](https://aegister.com/it/solutions/virtual-ciso/) può aiutare a mantenere mappa controlli ed evidenze tra regimi sovrapposti.

## Architettura normativa in pratica

L’attuazione PSNC si basa su un modello a livelli. Il Decreto-Legge 105/2019 istituisce perimetro e obblighi principali. Decreti e regolamenti attuativi definiscono criteri, notifiche, misure di sicurezza e controlli sulle forniture ICT. ACN opera poi come autorità cyber centrale nell’architettura attuale.

Per i team compliance, questa architettura conta perché gli obblighi possono essere distribuiti su più atti. Un registro PSNC dovrebbe quindi mappare requisito, fonte, sistemi coperti, owner evidenza e frequenza di review.

## Modello di governance operativa

| Funzione | Responsabilità tipica |
| --- | --- |
| Legale/compliance | Traccia obblighi, notifiche e interpretazione regolatoria. |
| CISO/security lead | Governa misure di sicurezza, monitoraggio, incidenti ed evidenze. |
| IT operations | Mantiene inventari, architetture, hardening, backup e continuità. |
| Procurement | Integra controlli forniture ICT e clausole rischio fornitore. |
| Management | Approva decisioni di rischio e garantisce risorse. |

## Aree di controllo pratiche

- Inventario sistemi coperti e documentazione architetturale.
- Risk assessment per reti, sistemi e servizi rilevanti.
- Workflow di classificazione e notifica incidenti.
- Access control e governance account privilegiati.
- Monitoraggio, test ed evidenze di controllo operativo.
- Due diligence fornitori ICT e presidi contrattuali.

## Dove allineare PSNC e NIS 2

Il modello operativo più forte usa una tassonomia asset, un intake incidente, un registro rischio fornitore e un reporting direzionale unici. Gli output regolatori possono differire, ma i fatti non dovrebbero. Questo riduce lavoro duplicato e posizioni regolatorie incoerenti.

## Ciclo operativo annuale

Il lavoro PSNC dovrebbe essere gestito come ciclo ricorrente. Il ciclo parte dalla conferma di sistemi coperti e cambi architetturali, poi aggiorna risk assessment, misure, fornitori, contatti incidente ed evidenze. L’output non è solo refresh documentale. È conferma che il perimetro riflette l’ambiente reale.

## Runbook di coordinamento incidenti

Per un soggetto anche NIS 2, il runbook incidente dovrebbe includere un decision tree. Il primo ramo verifica se il sistema impattato è nel perimetro PSNC. Il secondo verifica criteri di incidente significativo NIS 2. Il terzo verifica dati personali o notifiche settoriali. Così si evita analisi legale tardiva durante l’incidente.

## Implicazioni fornitori e procurement

Gli obblighi PSNC possono incidere sulle forniture ICT, soprattutto quando sistemi o servizi sono destinati a reti e sistemi coperti. Il procurement dovrebbe quindi coinvolgere sicurezza e compliance prima della firma. Le evidenze includono risk assessment, requisiti contrattuali, responsabilità fornitore e workflow richiesti.

## Domande per il management

- Sappiamo quali sistemi sono coperti e chi li possiede?
- Possiamo provare architettura e componenti aggiornati?
- I contatti incidente sono aggiornati e testati?
- I fornitori ICT sono mappati ai sistemi coperti?
- I report PSNC e NIS 2 sono coerenti?

## FAQ

### Cos’è il PSNC?

È il perimetro nazionale per soggetti e sistemi la cui compromissione potrebbe pregiudicare la sicurezza nazionale.

### PSNC e NIS 2 si applicano insieme?

Possono applicarsi insieme. Il PSNC tutela interessi di sicurezza nazionale, mentre la NIS 2 disciplina resilienza cyber più ampia. La normativa italiana coordina gli obblighi sovrapposti.

### Come si entra nel PSNC?

L’inclusione segue il processo normativo e amministrativo. Il soggetto riceve comunicazione individuale e l’elenco non è pubblico.

## Fonti ufficiali

- [Decreto-Legge 105/2019](https://www.normattiva.it/eli/stato/DECRETO-LEGGE/2019/09/21/105/CONSOLIDATED/20220629)
- [DPCM 81/2021](https://www.normattiva.it/atto/caricaDettaglioAtto?atto.codiceRedazionale=21G00089&atto.dataPubblicazioneGazzetta=2021-06-11&bloccoAggiornamentoBreadCrumb=true&classica=true&generaTabId=true&tipoDettaglio=originario&title=lbl.dettaglioAtto)
- [Pagina ACN sul perimetro cibernetico](https://www.acn.gov.it/portale/perimetro-cibernetico)
- [Pagina MIMIT sul perimetro cibernetico](https://www.mimit.gov.it/it/comunicazioni/internet-e-connettivita/sicurezza-informatica/perimetro-sicurezza)
- [Decreto Legislativo 138/2024](https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG)

Condividi questo articolo:

## Notizie Correlate

[![AI Act UE: implicazioni di cybersecurity per i team di conformità](/static/images/cms/eu-ai-act-cybersecurity-implications.webp)](/it/cms/insights/ai-act-implicazioni-cybersecurity/)

[AI Act UE: implicazioni di cybersecurity per i team di conformità](/it/cms/insights/ai-act-implicazioni-cybersecurity/)

[Guida alle implicazioni cybersecurity dell’AI Act UE per team compliance: date, controlli per sistemi IA ad alto rischio e coordinamento con NIS 2 e CRA.](/it/cms/insights/ai-act-implicazioni-cybersecurity/)

[Cyber Resilience Act](/it/cms/keyword/cyber-resilience-act/)
[AI Act UE](/it/cms/keyword/ai-act-ue/)
+8

[![NIS 2: la proroga 2025 e le implicazioni per le aziende italiane](/static/images/cms/nis2-extension-companies-july-2025.webp)](/it/cms/insights/nis2-proroga-aziende-2025/)

[NIS 2: la proroga 2025 e le implicazioni per le aziende italiane](/it/cms/insights/nis2-proroga-aziende-2025/)

[ACN proroga al 31 luglio 2025 il termine per l'aggiornamento dei dati per i soggetti NIS che hanno richiesto supporto, offrendo più tempo per le sessioni informative.](/it/cms/insights/nis2-proroga-aziende-2025/)

[ACN](/it/cms/keyword/acn/)
[conformità](/it/cms/keyword/conformita/)
+6

[![Comprendere la NIS 2: Guida Completa alla Nuova Direttiva UE sulla Cybersecurity](/static/images/cms/nis-2-guide.webp)](/it/cms/insights/guida-aegister-nis-2/)

[Comprendere la NIS 2: Guida Completa alla Nuova Direttiva UE sulla Cybersecurity](/it/cms/insights/guida-aegister-nis-2/)

[Padroneggia la Direttiva NIS 2 con la nostra guida completa che copre strategie di implementazione, requisiti di conformità e passi pratici per rafforzare il framework di cybersecurity della tua organizzazione.](/it/cms/insights/guida-aegister-nis-2/)

[conformità cybersecurity](/it/cms/keyword/conformita-cybersecurity/)
[gestione del rischio](/it/cms/keyword/gestione-del-rischio/)
+13