Una svolta impositiva per la resilienza digitale nazionale. La Determinazione n. 164179 dello scorso 10 aprile dell’Agenzia per la Cybersicurezza Nazionale (premere qui per leggere) segna l’avvio operativo della nuova disciplina NIS (Decreto Legislativo 4 settembre 2024, n. 138). Essa introduce vincoli cogenti, proporzionali e differenziati, che impattano radicalmente l’ecosistema digitale di soggetti pubblici e privati strategici.
Sicurezza informatica: nuovi obblighi, impatti certi
Con tale atto, l’ACN ha formalizzato:
- le misure di sicurezza di base per i soggetti essenziali (Allegato 2) e soggetti importanti (Allegato 1);
- la definizione unificata di incidente significativo di base, distinta per le due categorie (Allegati 3 e 4).
I destinatari principali sono i soggetti NIS: operatori critici nei settori energia, trasporti, sanità, finanza, infrastrutture digitali, PA e comunicazioni.
Differenziazione degli obblighi: una tutela su misura
La Determina distingue due livelli di adempimenti:
1. Misure di sicurezza di base (Allegati 1 e 2)
Devono essere integralmente adottate entro 18 mesi dalla comunicazione di inserimento nell’elenco NIS.
Tra i requisiti imposti:
- definizione di ruoli e responsabilità formalizzate in materia di cybersecurity;
- adozione di politiche vincolanti in 16 ambiti critici (risk management, access control, incident handling, catena di fornitura, ecc.);
- integrazione dei piani di sicurezza nel governo aziendale;
- cifratura avanzata e gestione dei log nei sistemi critici;
- piani di continuità operativa e disaster recovery documentati e testati.
La granularità delle prescrizioni per i soggetti essenziali è più ampia rispetto a quelle per i soggetti importanti, rispecchiando il maggior impatto sistemico connesso a eventuali disservizi o attacchi.
2. Incidenti significativi di base (Allegati 3 e 4)
La notifica al CSIRT Italia deve avvenire entro 9 mesi dalla comunicazione di inclusione nell’elenco NIS.
Per i soggetti importanti (Allegato 3), l’incidente significativo include:
- violazione della riservatezza (IS-1);
- compromissione dell’integrità (IS-2);
- interruzione del livello di servizio atteso (IS-3).
Per i soggetti essenziali (Allegato 4), si aggiunge un quarto parametro:
- accesso non autorizzato o abuso di privilegi (IS-4).
Tempistiche, compliance e sanzioni implicite
L’art. 3 della Determinazione stabilisce:
- 18 mesi per l’attuazione delle misure tecniche e organizzative;
- 9 mesi per la predisposizione dei meccanismi di rilevazione e notifica incidenti.
L’obbligo è rafforzato dalla potenziale responsabilità degli organi amministrativi e direttivi, in linea con quanto previsto dall’art. 23 del Decreto NIS.
convergenza normativa e vigilanza evolutiva
L’adozione dei requisiti indicati negli allegati alla Determina ACN del 10 aprile 2025 non costituisce una semplice checklist di adempimenti, ma una riforma strutturale. L’architettura di cybersecurity diventa, così, parte integrante della governance strategica.
Il principio di “accountability by design” è il nuovo cardine regolatorio: chi gestisce dati e servizi critici deve dimostrare, sin da subito, capacità anticipatoria, compliance documentata e reattività incidentale.
In sintesi, la nuova disciplina non chiede solo conformità, ma maturità cyber. Il tempo per agire è ora.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Lo Studio Legale Nappi diventa sede dell’Osservatorio Italiano sul Diritto delle Nuove Tecnologie - 3 Giugno 2025
- L’Avv. Nicola Nappi è il nuovo Presidente dell’Osservatorio Italiano sul Diritto delle Nuove Tecnologie - 28 Maggio 2025
- Pubblicata la relazione annuale ACN 2024 - 14 Maggio 2025
- Garante Privacy e modello “Pay or Ok”: la consultazione pubblica che può ridefinire l’equilibrio tra consenso e monetizzazione - 14 Maggio 2025
- Obbligo di alfabetizzazione in materia di Intelligenza Artificiale: cosa cambia dal 2025 - 14 Maggio 2025
