L’Agenzia per la cybersicurezza nazionale (ACN) con determina n. 164179 del 14 aprile 2025, ha adottato le specifiche di base, conformemente a al decreto NIS2, sulle misure di sicurezza a carico degli organi di amministrazione e direttivi e sulle misure di sicurezza informatica da implementare, nonché quelle che descrivono gli incidenti significativi da notificare.
Si ricorda che, in ordine agli obblighi di notifica alle Autorità competenti degli incidenti ICT significativi, anche nell’ambito della NIS2, se ne discuterà ampiamente nel corso del prossimo webinar organizzato dalla Rivista il prossimo 20 maggio 2025, “Cyber attack: la gestione di data breach e incidenti ICT – Tra privacy, cyber security e rischio ICT“.
In particolare, sono state chiarite le specifiche di base:
- a carico degli organi di amministrazione e direttivi, di cui all’art. 23 del decreto NIS2
- in materia di misure di sicurezza informatica (art. 24): trattasi di 37 misure da implementare da parte dei soggetti importanti, declinate in 87 requisiti; i soggetti essenziali, inoltre, dovranno adottare, in aggiunta, ulteriori 6 misure e 29 requisiti
- in materia di notifica degli incidenti significativi, di cui all’art. 25 del decreto NIS2): per i soggetti essenziali sono state specificate indicazioni più stringenti, poiché saranno tenuti a monitorare la ricorrenza di quattro fattispecie, a fronte delle tre previste per i soggetti importanti
- in materia di sicurezza, stabilità e resilienza dei sistemi di nomi di dominio (art. 29)
Più nel dettaglio, le misure di sicurezza di base, a carico degli organi di amministrazione e direttivi e in materia di misure di gestione dei rischi per la sicurezza informatica, sono stabiliti:
- per i soggetti importanti, nell’allegato 1
- per i soggetti essenziali, nell’allegato 2
Gli incidenti significativi di base sono stabiliti:
- per i soggetti importanti, nell’allegato 3
- per i soggetti essenziali, nell’allegato 4.
Si ricorda che il termine per l’adozione delle misure di sicurezza di base di cui agli allegati 1 e 2 è fissato in diciotto mesi dalla ricezione, da parte del soggetto NIS, della comunicazione di inserimento nell’elenco dei soggetti NIS.
Il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base di cui agli allegati 3 e 4, conformemente al decreto NIS2, è invece fissato in nove mesi dalla ricezione, da parte del soggetto NIS, della comunicazione di inserimento nell’elenco dei soggetti NIS.