NIS2: dalla compliance formale alla responsabilità operativa. Cosa cambia dopo le ultime Determinazioni e Linee Guida dell’ACN

L’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha recentemente adottato tre documenti destinati a consolidare il quadro normativo NIS2 in Italia: le Determinazioni nn. 379887 e 379907/2025 (rispettivamente, la “Determinazione 379887” e la “Determinazione 379907”) e le Linee Guida NIS – Specifiche di base – Definizione del processo di gestione degli incidenti di sicurezza informatica (le “Linee Guida”).

Questi documenti potrebbero apparire come l’ennesimo tassello regolatorio di un quadro già denso e complesso. In realtà, segnano un passaggio fondamentale: la NIS2 entra definitivamente in una fase in cui diventa essenziale dimostrare di saper governare la sicurezza informatica in modo continuo, consapevole e verificabile.

Ma cosa prevedono le Determinazioni 379887 e 379907 e le Linee Guida? E quali implicazioni comportano per le imprese rientranti nell’ambito di applicazione del Decreto NIS2 (D.Lgs. 138/2024)?

Le Determinazioni 379887 e 379907

Le Determinazioni 379887 e 379907 intervengono su aspetti apparentemente procedurali, ma con effetti sostanziali sulla governance NIS2. Le principali novità possono essere sintetizzate in quattro direttrici:

1. la cristallizzazione delle dichiarazioni. Decorsi 10 giorni solari dal completamento della registrazione sul portale dei servizi dell’ACN, la dichiarazione diventa definitiva e non potrà più essere modificata;
2. il rafforzamento del ruolo del Referente CSIRT[1], il quale entra a pieno titolo nella governance NIS2. L’ACN lo include espressamente nell’organizzazione per la sicurezza informatica (cfr. misura di sicurezza GV.RR-02, Allegato 1 per i soggetti importanti e Allegato 2 per i soggetti essenziali, alla Determinazione 379907) e chiarisce che i suoi dati identificativi devono essere ricompresi tra le informazioni da verificare durante l’aggiornamento annuale delle informazioni, previsto tra il 15 aprile e il 31 maggio di ogni anno (cfr. art. 15 della Determinazione 379887);
3. le dichiarazioni precompilate: i soggetti già qualificati come “essenziali” o “importanti” riceveranno, nella prossima finestra di registrazione (1° gennaio – 28 febbraio), bozze di dichiarazioni precompilate sulla base dei dati forniti nel 2025;
4. la conferma – con alcuni affinamenti – delle tempistiche e degli obblighi chiave. Restano i 18 mesi (ottobre 2026) per l’adeguamento delle misure di sicurezza e i 9 mesi (gennaio 2026) per l’avvio degli obblighi di notifica degli incidenti significativi. Tuttavia, la Determinazione 379907 aggiorna il contenuto dei c.d. obblighi di base[2] – ossia quelle misure di sicurezza e quegli incidenti significativi che i soggetti NIS dovranno rispettivamente adottare e/o notificare in fase di prima applicazione del Decreto NIS2 – e abroga le previsioni transitorie inerenti all’obbligo di notifica per gli operatori di servizi essenziali e per gli operatori TELCO[3].

Le Linee Guida sul processo di gestione degli incidenti di sicurezza informatica

Già con le Linee Guida NIS – Specifiche di base, pubblicate a settembre 2025, l’ACN aveva fornito indicazioni applicative puntuali su come le imprese devono organizzare governance, processi e controlli per allinearsi al Decreto NIS2[4]. Con le nuove Linee Guida, invece, l’ACN si pone l’obiettivo di fornire delle indicazioni per definire il processo di gestione degli incidenti di sicurezza informatica, chiarendo la relazione tra le diverse fasi del processo con le misure di sicurezza richieste dalla normativa.

Il processo di gestione degli incidenti non è descritto come una sequenza astratta di best practice, ma come un insieme strutturato di attività che devono consentire di rilevare tempestivamente un incidente, rispondervi in modo efficace, ripristinare i sistemi e, soprattutto, migliorare la capacità di risposta futura. Non a caso, dal gennaio 2026, il verificarsi di un “incidente significativo” attiva l’obbligo di notifica al CSIRT Italia. In particolare, l’ACN (negli Allegati 3 e 4 alla Determinazione 379907) ha definito quattro fattispecie di incidenti – tre comuni a tutti i soggetti e una ulteriore riservata ai soli soggetti “essenziali”[5] – che, se ricorrenti, qualificano l’incidente come “significativo”.

Le cinque fasi della gestione degli incidenti

Le Linee Guida propongono un modello articolato in cinque fasi (e specifiche sottofasi), che deve trovare formalizzazione nel piano di gestione degli incidenti (misura di sicurezza RS.MA-01) ed essere approvato dagli organi amministrativi e direttivi. È un passaggio che rafforza il legame tra sicurezza informatica e responsabilità di vertice.

La fase di “preparazione” riguarda tutte le attività propedeutiche: politiche di sicurezza, ruoli e responsabilità definite con la matrice RACI[6], inventari, misure tecniche e organizzative. Il messaggio è chiaro: non basta saper gestire un incidente quando accade, occorre poter dimostrare di aver predisposto in anticipo un modello organizzativo coerente e aggiornato.

Segue la fase di “rilevamento”, dedicata all’individuazione e all’analisi degli “eventi rilevanti per la cybersicurezza”. Non ogni evento è un incidente di sicurezza: si tratta unicamente di quegli eventi (di natura accidentale o intenzionale) che compromettono o potrebbero compromettere la sicurezza dei sistemi informatici e di rete e che richiedono, quindi, un’analisi al fine di verificare che si tratta di un incidente, come ad esempio un picco di traffico proveniente da molteplici indirizzi IP.

Se è possibile qualificare un evento come “incidente di sicurezza”, si passa alla fase di “risposta”, ossia la fase centrale del processo di gestione degli incidenti. Qui emerge uno dei chiarimenti più importanti delle Linee Guida: il momento dell’“evidenza dell’incidente” segna l’avvio delle tempistiche di notifica verso il CSIRT Italia[7]. Non è necessario conoscere subito la root cause (causa originale); è sufficiente riconoscere che l’incidente esiste e che rientra tra quelli significativi.

La fase di “ripristino” mira a riportare i sistemi allo stato antecedente all’incidente, assicurandosi che tutto funzioni regolarmente. Infine, il “miglioramento” accompagna l’intero ciclo di vita del processo. Quest’ultima fase è finalizzata a potenziare la capacità di gestione degli incidenti: analisi post-incidente, lesson learned, aggiornamento delle procedure e del piano di gestione degli incidenti, non sono attività opzionali, ma elementi essenziali per dimostrare che l’organizzazione apprende dagli eventi e rafforza nel tempo la propria capacità di risposta.

Conclusioni

Le Determinazioni 379887 e 379907 e le nuove Linee Guida dell’ACN segnano il passaggio alla seconda fase attuativa del Decreto NIS2. Da gennaio 2026, i soggetti NIS dovranno notificare al CSIRT Italia, in caso di incidente significativo, le perdite di riservatezza e di integrità di dati digitali, la violazione degli SLA nonché, per i soggetti essenziali, anche gli accessi, non autorizzati o con abuso dei privilegi concessi, ai dati digitali.

In questo contesto, la gestione degli incidenti non è più una misura di sicurezza “da pianificare” entro ottobre 2026[8], ma una capacità da costruire subito. Perché quando l’incidente si verifica, non sarà il documento a fare la differenza, ma la prontezza decisionale, la chiarezza dei ruoli e delle responsabilità e la capacità di dimostrare che la sicurezza informatica è parte integrante della governance dell’organizzazione.

[1] Il Referente CSIRT è quel soggetto (interno o esterno all’organizzazione) che doveva essere designato entro il 31 dicembre 2025 e che funge da punto di collegamento operativo con il CSIRT Italia. Per maggiori approfondimenti sulla figura del Referente CSIRT, si rinvia al nostro precedente contributo “NIS2 e gestione degli incidenti: l’ACN introduce il Referente CSIRT”.

[2] Ad esempio, viene aggiunta la previsione di rendere note le politiche alle articolazioni competenti del soggetto NIS, tenuto conto anche del principio del need to know.

[3] La Determinazione 379907 sarà infatti applicabile dal 15 gennaio 2026, sostituendo così la precedente Determinazione 164179 del 14 aprile 2025, la quale stabiliva anche la disciplina transitoria per gli operatori dei servizi essenziali (c.d. OSE, ossia i soggetti NIS identificati prima della data di entrata in vigore del Decreto NIS2 come operatori di servizi essenziali ai sensi del D.Lgs. 65/2018) e gli operatori TELCO (ossia i soggetti NIS che forniscono reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico ai sensi del D.Lgs. 259/2003, ad un numero di utenti pari o superiore, anche alternativamente: (i) all’1% della base di utenti nazionale, calcolato sulla base dei dati pubblicati dall’Osservatorio trimestrale delle comunicazioni dell’AGCOM; (ii) a un milione). Per questa tipologia di soggetti, il termine per la notifica degli incidenti significativi decorreva, limitatamente ai sistemi informativi e di rete OSE e ai sistemi informativi e di rete TELCO, dal 30 aprile 2025.

[4] Per maggiori approfondimenti, si rinvia alle nostre slide pubblicate su LinkedIn e disponibili al seguente link: https://www.linkedin.com/feed/update/urn:li:activity:7374021071991242753/.

[5] In particolare, l’Allegato 3 alla Determinazione 379907 individua i seguenti incidenti significativi per i soggetti “importanti”: (i) perdita di riservatezza, verso l’esterno, di dati digitali di proprietà o sui quali esercita il controllo anche parziale; (ii) perdita di integrità, con impatto verso l’esterno, di dati digitali di proprietà o sui quali esercita il controllo anche parziale; (iii) violazione degli SLA. A queste tipologie, per i soggetti “essenziali”, l’Allegato 4 alla Determinazione 379907 aggiunge anche il caso in cui il soggetto abbia evidenza dell’accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di sua proprietà o sui quali esercita un controllo, anche parziale.

[6] La c.d. matrice RACI (Responsible, Accountable, Consulted, Informed) rappresenta uno degli strumenti utilizzati per assegnare ruoli e responsabilità, definendoli chiaramente per le varie fasi di attività di un processo. Un ruolo di fondamentale importanza dovrà essere ricoperto dal Referente CSIRT in riferimento alle attività di interlocuzione con lo CSIRT Italia e di notifica degli incidenti per conto del soggetto. Tuttavia, potrebbe rendersi necessario adottare decisioni che non rientrano nelle competenze del Referente CSIRT. A tal fine, le Linee Guida precisano che devono essere definiti ruoli, responsabilità, fasi e procedure per l’assunzione delle decisioni, che nei casi più rilevanti spettano agli organi amministrativi e direttivi.

[7] Acquisita l’evidenza dell’incidente, i soggetti NIS devono trasmettere al CSIRT Italia:

1. senza ingiustificato ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica dell’incidente che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;
2. senza ingiustificato ritardo e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le precedenti informazioni e indichi una valutazione iniziale dell’incidente significativo (gravità, impatto e, ove disponibili, indicatori di compromissione);
3. su richiesta del CSIRT Italia, una relazione intermedia sui pertinenti aggiornamenti della situazione;
4. entro 1 mese dalla trasmissione della notifica, una relazione finale sull’incidente;
5. in caso di incidente in corso al momento della trasmissione della relazione finale, una relazione mensile sui progressi e una relazione finale entro un mese dalla conclusione della gestione dell’incidente.

[8] Il processo di gestione degli incidenti di sicurezza viene infatti annoverato tra le misure di sicurezza che i soggetti “importanti” e “essenziali” dovranno adottare entro 18 mesi (ottobre 2026) dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS. L’Appendice B delle Linee Guida contiene un elenco delle misure di sicurezza di base relative alle varie fasi del processo di gestione degli incidenti.