Con la determinazione n. 379907 del 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha aggiornato le specifiche di base per l’attuazione della Direttiva NIS2 in Italia. Non si tratta di un atto meramente interpretativo, ma di un passaggio operativo chiave: le specifiche ACN traducono gli obblighi astratti della direttiva europea in requisiti concreti, misurabili e verificabili per i soggetti essenziali e importanti.
L’entrata in vigore della determinazione è fissata al 15 gennaio 2026. Da quel momento, per le organizzazioni rientranti nel perimetro NIS2, la cybersecurity non è più una materia “di principio”, ma un insieme di adempimenti tecnici, organizzativi e procedurali che devono essere dimostrabili, documentati e sostenuti da una governance chiara.
Perché le specifiche di base cambiano il perimetro della compliance cyber
La Direttiva NIS2 nasce per rispondere a un dato strutturale: la crescente interdipendenza digitale tra settori critici, filiere produttive e servizi essenziali rende la sicurezza informatica un tema di interesse pubblico e di stabilità economica. In questo contesto, l’approccio europeo è esplicitamente risk-based, ma accompagnato da un rafforzamento significativo dell’accountability.
Le specifiche di base si inseriscono in questa cornice e svolgono una funzione precisa: ridurre l’ambiguità. Per le imprese – in particolare per le PMI che entrano per la prima volta nel perimetro NIS – questo significa passare da un “obbligo di protezione” generico a un set di misure minime che l’Autorità si aspetta di trovare implementate e descritte in sede di controllo.
Il principio in gioco non è solo la sicurezza, ma la compliance come capacità organizzativa: dimostrare di aver identificato i rischi cyber, di aver adottato misure proporzionate e di saper reagire agli incidenti in modo strutturato.
Accountability cyber: la sicurezza entra stabilmente nella governance aziendale
Le specifiche ACN si concentrano su alcuni assi fondamentali, che meritano una lettura integrata.
Governance e responsabilità
Il primo elemento di discontinuità riguarda la governance. La NIS2 – e le specifiche di base lo rendono esplicito – attribuisce ai vertici aziendali una responsabilità diretta in materia di cybersicurezza. Non è sufficiente delegare integralmente al reparto IT o al CISO: il management deve approvare le misure, allocare risorse e ricevere formazione adeguata.
Questo approccio è coerente con il modello già noto nel GDPR: accountability come capacità di governo, non come mero adempimento formale.
Gestione del rischio
Le organizzazioni devono adottare un processo strutturato di risk management, che includa:
- identificazione dei rischi per reti e sistemi informativi;
- valutazione dell’impatto su continuità operativa e servizi;
- adozione di misure tecniche e organizzative adeguate.
Le specifiche non impongono uno standard unico, ma rendono evidente che modelli improvvisati o non documentati non sono più accettabili.
Incident menagement e notifiche
Altro punto centrale è la gestione degli incidenti. Le organizzazioni devono disporre di procedure chiare per:
- rilevare eventi significativi;
- valutarne la gravità;
- notificare tempestivamente l’incidente ad ACN secondo le tempistiche previste.
Qui il rischio non è solo tecnico, ma anche organizzativo: senza processi interni definiti, la probabilità di errori o ritardi nella notifica aumenta sensibilmente.
La compliance NIS2 come processo continuo, non come adempimento isolato
Per le imprese e le PMI soggette a NIS2, le nuove specifiche ACN producono tre implicazioni immediate.
- Fine dell’approccio “one-shot”
La compliance NIS2 non è un progetto da chiudere una tantum. È un processo continuo, che richiede aggiornamenti periodici, monitoraggio e revisione delle misure. Chi affronta l’adeguamento come un mero esercizio documentale rischia di trovarsi scoperto al primo audit.
- Necessità di una roadmap operativa
In termini pratici, una roadmap minima dovrebbe includere:
- mappatura del perimetro NIS2 e dei sistemi critici;
- gap analysis rispetto alle specifiche ACN;
- definizione di policy e procedure (quali gestione dell’incidente, business continuity, gestione degli accessi);
- formazione del management e del personale chiave;
- test periodici e aggiornamento della documentazione.
Questo approccio è particolarmente rilevante per le PMI, che spesso non dispongono di strutture interne dedicate alla cybersecurity.
- Rischio sanzionatorio e reputazionale
La NIS2 introduce un regime sanzionatorio significativo, ma il rischio non è solo economico. Un incidente gestito male – o una non conformità evidente – può avere un impatto reputazionale rilevante, soprattutto nei rapporti con clienti, partner e pubbliche amministrazioni.
Essere audit-ready diventa, quindi, un obiettivo strategico.
NIS2 come leva strategica: dalla cybersecurity difensiva alla resilienza organizzativa
L’aggiornamento delle specifiche di base ACN segna un passaggio di maturità per l’ecosistema italiano della cybersecurity. La NIS2 non chiede alle imprese di essere invulnerabili, ma di essere governate: consapevoli dei propri rischi, organizzate nella risposta, responsabili nelle decisioni.
Per le imprese – e in particolare per le PMI – la vera sfida non è tecnica, ma culturale. Integrare la cybersecurity nella governance aziendale significa trasformare la compliance da costo percepito a leva di affidabilità e competitività.
In questo senso, la NIS2 non è solo un obbligo normativo. È un imperativo strategico: chi investe oggi in processi, competenze e governance sarà domani più resiliente, più credibile e, in ultima analisi, più solido sul mercato.
