Direttiva NIS 2: misure di sicurezza da attuare entro ottobre 2026

Quali sono le misure di sicurezza che devono essere adottate entro ottobre 2026, in linea con la direttiva NIS 2? A stabilirle è la determinazione dell’ACN, che prevede azioni diverse per soggetti importanti ed essenziali

L’attuazione della direttiva NIS 2, recepita nell’ordinamento italiano dal decreto legislativo n. 138/2024, continua in modo progressivo.

Nel mese di aprile sono state inviate le PEC da parte dell’ACN, l’Agenzia per la Cybersicurezza Nazionale, relative alla categorizzazione dei cosiddetti “soggetti NIS”.

Per tali soggetti, tra le prossime tappe, entro la fine di maggio è previsto l’obbligo di aggiornamento annuale delle informazioni. Nuovi obblighi saranno previsti anche per il prossimo anno, con l’attuazione delle misure entro il mese di ottobre 2026.

A stabilire la tabella di marcia e le azioni da mettere in campo è la determinazione ACN n. 164179 del 14 aprile scorso, che stabilisce azioni diverse per soggetti importanti e soggetti essenziali.

Direttiva NIS 2: le misure di sicurezza da adottare entro ottobre 2026

Sono oltre 20.000 le organizzazioni che sono state individuate nell’elenco dei soggetti NIS. Tra queste oltre 5.000 sono state inserite nell’elenco dei soggetti essenziali, secondo quanto reso noto dall’ACN sulla base delle informazioni condivise da oltre 30.000 realtà.

Nel mese di aprile la stessa Agenzia per la Cybersicurezza Nazionale ha comunicato ai soggetti interessati l’inserimento nell’elenco dei soggetti NIS, attraverso l’apposita piattaforma.

Entro il mese di maggio i soggetti devono provvedere a ulteriori adempimenti, tra i quali rientra la trasmissione del pacchetto informativo previsto dagli obblighi introdotti dalla direttiva.

Nello specifico i soggetti dovranno indicare:

• gli indirizzi IP;
• l’elenco degli Stati membri UE in cui vengono prestati servizi digitali o infrastrutturali;
• il responsabile della sicurezza;
• il sostituto di contatto.

Le informazioni, da tenere costantemente aggiornate, sono solo uno degli adempimenti obbligatori.

Entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS, quindi entro il termine di ottobre 2026, dovranno essere adottate le misure di sicurezza previste dalla determinazione ACN 164179 del 14 aprile 2025 (in vigore dallo scorso 30 aprile).

Tali misure variano a seconda della classificazione dei soggetti, in particolare:

• i soggetti importanti devono adottare le misure di sicurezza presenti nell’allegato 1 alla determinazione;
• i soggetti essenziali dovranno adottare le misure di sicurezza presenti nell’allegato 2 alla determinazione.

La determinazione definisce, tra le altre cose, gli obblighi di base. Si tratta delle misure minime di sicurezza informatica e i criteri di notifica degli incidenti, che saranno parte integrante delle misure da inserire nel sistema di cybersicurezza del soggetto.

La determinazione dell’ACN prevede inoltre una disciplina transitoria per gli operatori dei servizi essenziali e per gli operatori TELCO (delle telecomunicazioni).

Direttiva NIS 2: le misure per i soggetti importanti

Il recepimento della Direttiva NIS 2 sta avvenendo in modo graduale e dovrà raggiungere l’operatività delle misure di base entro il mese di ottobre 2026.

La modalità prevista è quella di un supporto da parte dell’ACN per accompagnare gli operatori e fornire gli strumenti tecnici per conformarsi alla normativa.

L’obiettivo è quello di permettere alle aziende e agli enti di adattarsi gradualmente, mettendo in campo misure efficaci.

Le misure di sicurezza sono state organizzate in funzioni, categorie, sottocategorie e requisiti. Sono state sviluppate in accordo con il Framework nazionale per la Cybersecurity e la Data Protection.

Si tratta di uno strumento frutto della collaborazione tra il Centro di Ricerca CIS di Sapienza Università di Roma e il Laboratorio Nazionale di Cybersecurity del CINI, con il supporto dell’Agenzia per la Cybersicurezza Nazionale. L’obiettivo è quello di fornire un punto di riferimento sulle best practice internazionali, in linea con le normative di settore.

La sua adozione può aiutare le organizzazioni nella definizione di un percorso finalizzato alla protezione dei dati e alla cybersecurity, riducendo i costi e aumentando l’efficacia delle misure. Inoltre può essere un valido supporto nel monitoraggio.

Tornando a quanto previsto dalla determinazione ACN 164179 del 14 aprile 2025, le misure per i soggetti importanti sono contenute nell’allegato 1 a tale determinazione.

L’individuazione dei soggetti “importanti” partire dalla definizione di quelli “essenziali”. Gli stessi sono infatti ricavati dalla precedente categoria indicata.

I soggetti importanti sono quelli compresi nell’articolo 3 del del decreto legislativo n. 138/2024, che non possono essere definiti soggetti essenziali.

Le misure da adottare sono 37, da mettere in campo in 87 requisiti.

Le aree prese in considerazione sono le seguenti:

• contesto organizzativo;
• strategia di gestione del rischio;
• ruoli, responsabilità e correlati poteri;
• politiche di cybersecurity;
• gestione del rischio della catena di approvvigionamento;
• gestione degli asset;
• valutazione del rischio, risk assessment;
• miglioramento;
• gestione delle identità, autenticazione e controllo degli accessi;
• consapevolezza e formazione;
• sicurezza dei dati;
• sicurezza delle piattaforme;
• resilienza dell’infrastruttura tecnologica;
• monitoraggio continuo;
• gestione degli incidenti;
• segnalazione e comunicazione della risposta agli incidenti;
• esecuzione del piano di ripristino dagli incidenti.

Gli interventi devono soddisfare gli specifici requisiti indicati. Nel caso della strategia di gestione del rischio, ad esempio, devono essere stabiliti e comunicati le priorità, i vincoli, le dichiarazioni sulla tolleranza, la propensione al rischio e le assunzioni dell’organizzazione.

In merito alle responsabilità, devono invece essere stabiliti i ruoli e i poteri in materia di cybersecurity per promuovere l’accountability, la valutazione delle prestazioni e il miglioramento continuo.

La politica per la gestione dei rischi connessi alle minacce informatiche devono prevedere l’adozione di politiche di sicurezza, documentate, per almeno i seguenti ambiti:

• gestione del rischio;
• ruoli e responsabilità;
• affidabilità delle risorse umane;
• conformità e audit di sicurezza;
• gestione dei rischi per la sicurezza informatica della catena di approvvigionamento;
• gestione degli asset;
• gestione delle vulnerabilità;
• continuità operativa, ripristino in caso di disastro e gestione delle crisi;
• gestione dell’autenticazione, delle identità digitali e del controllo accessi;
• sicurezza fisica;
• formazione del personale e consapevolezza;
• sicurezza dei dati;
• sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete;
• protezione delle reti e delle comunicazioni;
• monitoraggio degli eventi di sicurezza;
• risposta agli incidenti e ripristino.

Il raggiungimento di tutti gli specifici obiettivi entro il mese di ottobre 2026 richiede adeguamenti graduali dell’organizzazione, l’intervento di personale qualificato e l’utilizzo di strumenti efficaci e aggiornati ai rischi per la cybersicurezza.

Direttiva NIS 2: le misure per i soggetti essenziali

Le misure che devono essere adottate dai soggetti essenziali sono invece previste nell’allegato 2 alla determinazione ACN 164179 del 2025.

Per soggetti essenziali si intendono quelli di cui all’articolo 6 del decreto legislativo n. 138/2024.

Rientrano in tale categoria i seguenti soggetti:

• nel settore energetico: elettrico, oil and gas, riscaldamento e idrogeno;
• per il settore sanitario: produttori di dispositivi medicali, laboratori, R&D e settore farmaceutico;
• nel settore dei trasporti: aereo, nautico, ferroviario e stradale;
• acque e acque di scarico;
• infrastrutture digitali;
• settore spaziale;
• pubblica amministrazione.

Sono diverse le azioni da mettere in campo. Nello specifico, rispetto ai soggetti importanti, 6 misure ulteriori e 29 requisiti, per un totale di 43 misure e 116 requisiti.

In linea generale le aree individuate rimangono comuni a quelle presenti nell’allegato 1. Tuttavia sono definite misure di sicurezza con requisiti ulteriori e più stringenti rispetto a quelli previsti per i soggetti importanti.

Tra i punti che vengono indicati nell’allegato 2 c’è anche la comunicazione sul ripristino dagli incidenti. Le attività di ripristino devono essere coordinate con le parti interne ed esterne.

Nell’allegato viene previsto che:

“Le attività di ripristino e i progressi nel ripristino delle capacità operative sono comunicati agli stakeholder interni ed esterni designati.”

Devono essere adottate e documentate le procedure per comunicare le attività di ripristino a seguito di un incidente alle parti interne interessate, comprese le articolazioni competenti del soggetto NIS.

Tra gli altri obblighi previsti c’è quello relativo al piano di risposta agli incidenti, che deve essere eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente.

Lo stesso piano di gestione degli incidenti di sicurezza informatica deve essere definito, attuato, aggiornato e documentato. Deve inoltre essere prevista la notifica al CSIRT Italia (Computer Security Incident Response Team), che comprende almeno:

• le fasi e le procedure di gestione e notifica degli incidenti con l’indicazione dei relativi ruoli e delle responsabilità;
• le procedure per la predisposizione e la trasmissione delle relazioni;
• le informazioni di contatto per la segnalazione degli incidenti;
• le modalità di comunicazione interna, anche con riguardo al coinvolgimento degli organi di amministrazione e direttivi, ed esterna;
• la reportistica da utilizzare per la documentazione dell’incidente.

Il piano deve essere aggiornato periodicamente, almeno ogni due anni. Nel caso di incidenti significativi devono essere integrate nuove prassi sulla base di quanto appreso dall’incidente e del mutamento delle minacce e dei rischi.