La tua ricerca

    28.04.2025

    NIS, cosa ha stabilito l’ACN con riguardo a misure di sicurezza e notifica di incidenti


    Delle tre determinazioni pubblicate il 15 aprile 2025 sul proprio sito web dall’Agenzia per la Cybersicurezza Nazionale (“ACN”), la determinazione ACN n. 164179 del 10 aprile 2025 (“Determinazione”) è quella che riguarda le misure di sicurezza di base e gli obblighi di base in materia di notifica di incidenti.

    L’espressione “di base” associata alle misure di sicurezza e agli obblighi di notifica è impiegata per indicare che essi riguardano la fase di prima implementazione della disciplina NIS. Ulteriori misure e obblighi di notifica si aggiungeranno al termine dell’attività di categorizzazione delle attività e dei servizi che sarà condotta a partire dal 2026.

    Le misure di sicurezza, elencate e descritte negli allegati 1 (per i soggetti importanti) e 2 (per i soggetti essenziali) alla Determinazione, sono state definite sulla base del “Framework Nazionale per la Cybersecurity e la Data Protection”, edizione 2025 (derivato dal Cyber Security Framework del National Institute of Standards and Technology).

    Sono organizzate in funzioni (governo, identificazione, protezione, rilevamento, risposta e ripristino), categorie, sottocategorie e requisiti e comprendono sia misure di natura organizzativa (che richiedono, ad esempio, l’elaborazione di piani, l’adozione di politiche e procedure, la tenuta e l’aggiornamento di elenchi, inventari e registri, etc.) sia misure di natura tecnica (che richiedono, invece, l’implementazione di meccanismi di cifratura, sistemi di autenticazione multifattore, backup, firewall, etc.). Il contenuto dei due allegati è, in gran parte, coincidente ma a carico dei soggetti essenziali sono previsti requisiti aggiuntivi o più rigorosi.

    Come previsto, tra le misure di sicurezza di base figura anche la valutazione della cybersecurity della catena di fornitura. Ciò avrà, inevitabilmente, un impatto anche su quei soggetti che, pur non rientrando nell’ambito di applicazione del d.lgs. n. 138/2024, forniscono beni o servizi rilevanti per la sicurezza dei sistemi informativi e di rete dei soggetti NIS. Questi ultimi dovranno, in particolare, censire i fornitori rilevanti (e i rispettivi contratti), tenere un inventario dei servizi erogati e richiedere ai fornitori il possesso di una serie di requisiti in termini di cybersecurity (di cui deve essere verificata periodicamente la sussistenza nel tempo).

    Per quanto riguarda gli obblighi di base in materia di notifica agli incidenti, gli allegati 3 e 4 identificano le tipologie di incidenti significativi che devono essere notificati (l’allegato 3 per i soggetti importanti e l’allegato 4 per i soggetti essenziali).

    I termini per la notifica restano quelli indicati dal d.lgs. n. 138/2024. Nello specifico, la notifica deve avvenire senza ingiustificato ritardo e comunque:

    • entro 24 ore dalla scoperta, deve essere trasmessa una pre-notifica che indichi, almeno, se l’incidente è il risultato di atti illegittimi o malevoli o se può avere un impatto transfrontaliero;

    • entro 72 ore dalla scoperta, deve essere trasmessa la notifica vera e propria che deve riportare informazioni aggiornate sull’incidente, una valutazione iniziale dello stesso e gli indicatori di compromissione;

    • entro un mese dalla notifica, deve essere trasmessa una relazione finale che contenga almeno una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto, il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente, le misure di attenuazione adottate e in corso e, ove noto, impatto transfrontaliero dell’incidente.

    Il termine entro il quale i soggetti NIS dovranno adottare le misure di sicurezza di base definite dagli allegati 1 e 2 alla Determinazione è fissato in diciotto mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS (quindi, assumendo che la comunicazione sia stata ricevuta il 15 aprile 2025, le misure di sicurezza dovranno essere adottate entro il 15 ottobre 2026). Gli obblighi di base in materia di notifica degli incidenti significativi scattano, invece, decorsi nove mesi dalla ricezione della comunicazione (quindi, assumendo che la comunicazione sia stata ricevuta il 15 aprile 2025, gli obblighi di base in materia di notifica degli incidenti significativi scattano dal 15 gennaio 2026).

    La descrizione di dettaglio delle misure di sicurezza e delle tipologie di incidenti significativi sono disponibili a questo link, per quanto riguarda i soggetti importanti, e a questo link, per quanto riguarda i soggetti essenziali.

    Da ultimo, segnaliamo che la Determinazione prescrive obblighi specifici a carico dei gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio nonché dei soggetti ricompresi nel Perimetro di Sicurezza Nazionale Cibernetica.

    Prevede, inoltre, un regime transitorio per gli operatori di servizi essenziali (c.d. OSE), che continuano ad applicare le previsioni in materia di misure di sicurezza e notifica di incidenti di cui al d.lgs. n. 65/2018 (di recepimento della Direttiva NIS1) e per gli operatori telco, che continuano ad applicare le previsioni di cui al Decreto del Ministero dello Sviluppo Economico del 12 dicembre 2018.

    Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS, rivolgiti ai tuoi professionisti di riferimento. 

    Metadati, il Garante interviene sull’estensione del periodo di conservazione oltre i 21 giorni
    Con il provvedimento n. 243 del 29 aprile 2025, il Garante per la protezione dei…
    Approfondisci
    Le nuove FAQ della Commissione sull’obbligo di AI literacy
    Il 2 febbraio 2025 sono divenute applicabili alcune disposizioni dell’AI Act.  …
    Approfondisci
    Le sfide legali dell'innovazione tecnologica
    Ogni giorno, aziende e operatori si confrontano su un doppio fronte: da un lato,…
    Approfondisci
    Nuovi obblighi di accessibilità digitale
    A decorrere dal 28 giugno 2025, diventa pienamente vincolante l’obbligo di confo…
    Approfondisci
    NIS, la determinazione dell’ACN sulla notifica degli accordi di condivisione
    La determinazione ACN n. 136118 del 10 aprile 2025 – Notifica degli accordi di c…
    Approfondisci
    Il diritto di opt-out
    Una delle questioni più pressanti poste dallo sviluppo dell’intelligenza artific…
    Approfondisci
    Il Template della Commissione Europea sulla Trasparenza dei Dati di Addestramento: Prime Linee Guida per l’AI Act
    A partire dall’adozione dell’AI Act (Reg. UE 2024/1689), avvenuta il 1° agosto 2…
    Approfondisci
    NIS, adottate le determinazioni che definiscono gli obblighi: l’aggiornamento delle informazioni scade il 31 maggio
    Il 15 aprile 2025 l’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicat…
    Approfondisci
    NIS, e ora? Il calendario delle date da tenere a mente
    Lo scorso 16 ottobre è entrato in vigore il d.lgs. n. 138/2024 con il quale l’It…
    Approfondisci