Delle tre determinazioni pubblicate il 15 aprile 2025 sul proprio sito web dall’Agenzia per la Cybersicurezza Nazionale (“ACN”), la determinazione ACN n. 164179 del 10 aprile 2025 (“Determinazione”) è quella che riguarda le misure di sicurezza di base e gli obblighi di base in materia di notifica di incidenti.
L’espressione “di base” associata alle misure di sicurezza e agli obblighi di notifica è impiegata per indicare che essi riguardano la fase di prima implementazione della disciplina NIS. Ulteriori misure e obblighi di notifica si aggiungeranno al termine dell’attività di categorizzazione delle attività e dei servizi che sarà condotta a partire dal 2026.
Le misure di sicurezza, elencate e descritte negli allegati 1 (per i soggetti importanti) e 2 (per i soggetti essenziali) alla Determinazione, sono state definite sulla base del “Framework Nazionale per la Cybersecurity e la Data Protection”, edizione 2025 (derivato dal Cyber Security Framework del National Institute of Standards and Technology).
Sono organizzate in funzioni (governo, identificazione, protezione, rilevamento, risposta e ripristino), categorie, sottocategorie e requisiti e comprendono sia misure di natura organizzativa (che richiedono, ad esempio, l’elaborazione di piani, l’adozione di politiche e procedure, la tenuta e l’aggiornamento di elenchi, inventari e registri, etc.) sia misure di natura tecnica (che richiedono, invece, l’implementazione di meccanismi di cifratura, sistemi di autenticazione multifattore, backup, firewall, etc.). Il contenuto dei due allegati è, in gran parte, coincidente ma a carico dei soggetti essenziali sono previsti requisiti aggiuntivi o più rigorosi.
Come previsto, tra le misure di sicurezza di base figura anche la valutazione della cybersecurity della catena di fornitura. Ciò avrà, inevitabilmente, un impatto anche su quei soggetti che, pur non rientrando nell’ambito di applicazione del d.lgs. n. 138/2024, forniscono beni o servizi rilevanti per la sicurezza dei sistemi informativi e di rete dei soggetti NIS. Questi ultimi dovranno, in particolare, censire i fornitori rilevanti (e i rispettivi contratti), tenere un inventario dei servizi erogati e richiedere ai fornitori il possesso di una serie di requisiti in termini di cybersecurity (di cui deve essere verificata periodicamente la sussistenza nel tempo).
Per quanto riguarda gli obblighi di base in materia di notifica agli incidenti, gli allegati 3 e 4 identificano le tipologie di incidenti significativi che devono essere notificati (l’allegato 3 per i soggetti importanti e l’allegato 4 per i soggetti essenziali).
I termini per la notifica restano quelli indicati dal d.lgs. n. 138/2024. Nello specifico, la notifica deve avvenire senza ingiustificato ritardo e comunque:
entro 24 ore dalla scoperta, deve essere trasmessa una pre-notifica che indichi, almeno, se l’incidente è il risultato di atti illegittimi o malevoli o se può avere un impatto transfrontaliero;
entro 72 ore dalla scoperta, deve essere trasmessa la notifica vera e propria che deve riportare informazioni aggiornate sull’incidente, una valutazione iniziale dello stesso e gli indicatori di compromissione;
entro un mese dalla notifica, deve essere trasmessa una relazione finale che contenga almeno una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto, il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente, le misure di attenuazione adottate e in corso e, ove noto, impatto transfrontaliero dell’incidente.
Il termine entro il quale i soggetti NIS dovranno adottare le misure di sicurezza di base definite dagli allegati 1 e 2 alla Determinazione è fissato in diciotto mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS (quindi, assumendo che la comunicazione sia stata ricevuta il 15 aprile 2025, le misure di sicurezza dovranno essere adottate entro il 15 ottobre 2026). Gli obblighi di base in materia di notifica degli incidenti significativi scattano, invece, decorsi nove mesi dalla ricezione della comunicazione (quindi, assumendo che la comunicazione sia stata ricevuta il 15 aprile 2025, gli obblighi di base in materia di notifica degli incidenti significativi scattano dal 15 gennaio 2026).
La descrizione di dettaglio delle misure di sicurezza e delle tipologie di incidenti significativi sono disponibili a questo link, per quanto riguarda i soggetti importanti, e a questo link, per quanto riguarda i soggetti essenziali.
Da ultimo, segnaliamo che la Determinazione prescrive obblighi specifici a carico dei gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio nonché dei soggetti ricompresi nel Perimetro di Sicurezza Nazionale Cibernetica.
Prevede, inoltre, un regime transitorio per gli operatori di servizi essenziali (c.d. OSE), che continuano ad applicare le previsioni in materia di misure di sicurezza e notifica di incidenti di cui al d.lgs. n. 65/2018 (di recepimento della Direttiva NIS1) e per gli operatori telco, che continuano ad applicare le previsioni di cui al Decreto del Ministero dello Sviluppo Economico del 12 dicembre 2018.
Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS, rivolgiti ai tuoi professionisti di riferimento.