8
Mag, 2026

NIS 2 e ACN: come strutturare il Risk Assessment con il Framework Nazionale per la Cybersecurity

L’entrata in vigore della Direttiva NIS 2 (recepita in Italia a fine 2024) ha segnato un punto di non ritorno per la sicurezza informatica a livello europeo e nazionale. In un contesto geopolitico instabile e con un panorama di minacce cibernetiche (come ransomware e attacchi alla supply chain) in continua e rapida evoluzione, la cybersecurity cessa definitivamente di essere un “mero problema IT”. Diventa, a tutti gli effetti, un pilastro imprescindibile della governance aziendale e della continuità operativa.

Con l’ampliamento senza precedenti della platea dei soggetti obbligati — ora suddivisi capillarmente in Soggetti Essenziali (es. energia, trasporti, banche, sanità) e Soggetti Importanti (es. manifattura, produzione alimentare, …) — e l’introduzione di sanzioni economiche severissime, la direttiva introduce un cambio di paradigma: la responsabilità diretta del Top Management (Organi Direttivi dell’organizzazione).

In Italia, l’ACN (Agenzia per la Cybersicurezza Nazionale) è l’autorità competente designata per dettare le linee guida, stabilire le misure di sicurezza e, non da ultimo, condurre le attività ispettive. Per i “Soggetti Importanti”, l’ACN richiede un approccio rigoroso, documentato e basato sulla gestione proattiva del rischio (Risk Management), come del resto avviene in altre normative (ISO 9001, ISO 27001, …).  Ma come tradurre questi stringenti requisiti normativi in azioni pratiche, misurabili e difendibili in sede di audit?

Leggi tutto
29
Apr, 2026

Il nuovo modello di categorizzazione per i soggetti NIS: adempimenti, criteri e tempistiche

L’attuazione del decreto legislativo 4 settembre 2024, n. 138, che recepisce la direttiva (UE) 2022/2555 (nota come NIS 2), richiede ai soggetti essenziali e importanti l’adempimento di obblighi specifici definiti dall’Agenzia per la cybersicurezza nazionale (ACN). I riferimenti normativi principali per questo processo sono costituiti dalla determinazione del 9 aprile 2026, recante il modello di categorizzazione delle attività e dei servizi, e dalle relative linee guida pubblicate dall’Agenzia nello stesso mese. Tali documenti stabiliscono i criteri per l’elencazione e la caratterizzazione dei servizi, definendo una struttura che guiderà l’adozione delle misure di sicurezza nel lungo termine.

Il contesto e l’obbligo annuale di comunicazione

Ai sensi dell’articolo 30 del decreto NIS, i soggetti definiti come essenziali e importanti sono tenuti a comunicare e aggiornare annualmente l’elenco delle proprie attività e dei propri servizi. Tale comunicazione deve avvenire attraverso la piattaforma digitale messa a disposizione da ACN. La finestra temporale stabilita per questo adempimento è compresa tra il 1 maggio e il 30 giugno di ogni anno solare.

L’obiettivo di questa ricognizione è mappare i processi dell’organizzazione che dipendono da sistemi informativi e di rete, associandoli a una categoria di rilevanza che esprima l’impatto di una loro possibile compromissione sulla capacità dell’ente di erogare i propri servizi critici.

Leggi tutto
7
Lug, 2025

Linee Guida ENISA sull’applicazione della NIS 2

L’ENISA (Agenzia dell’Unione Europea per la Cibersicurezza) ha pubblicato (quasi contemporaneamente alla CYBERSECURITY ROLES AND SKILLS FOR NIS2 ESSENTIAL AND IMPORTANT ENTITIES) una guida tecnica per l’implementazione delle misure di gestione del rischio di cibersicurezza (https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance)  in riferimento al Regolamento di Esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, che stabilisce i requisiti tecnici e metodologici previsti dall’Articolo 21(2) della Direttiva NIS2 (Direttiva (UE) 2022/2555).

Leggi tutto