ACN pubblica la guida alla lettura per supportare i soggetti NIS nella comprensione e interpretazione delle specifiche di base
Per supportare i soggetti NIS nella comprensione e interpretazione delle specifiche di base degli allegati tecnici, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato un manuale dedicato dal titolo “Linee guida NIS – Specifiche di base”.
L’intento è fornire una preziosa guida alla lettura delle incombenze a carico dei destinatari delle disposizioni di legge: in particolare, le linee guida costituiscono un approfondimento agli allegati tecnici della determina n. 164179/2025 contenente disposizioni in materia di misure di sicurezza e incidenti significativi.
La relazione è stata stilata con l’obiettivo di accompagnare il lettore nella comprensione e interpretazione del testo, evidenziandone e discutendone le caratteristiche peculiari.
Obblighi principali
Nel documento sono evidenziati i principali obblighi del decreto che riguardano adempimenti per gli organi di amministrazione e direttivi, la gestione dei rischi per la sicurezza informatica e le notifiche di incidente.
Nello specifico, lo ricordiamo:
- l’articolo 23 disciplina gli obblighi in carico agli organi di amministrazione e direttivi dei soggetti essenziali e importanti;
- l’articolo 24 disciplina gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica prevedendo che i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che i soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi;
- l’articolo 25 disciplina gli obblighi sulle notifiche di incidente prevedendo che i soggetti essenziali e i soggetti importanti trasmettono al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi.
Evidenze Documentali
Da non dimenticare un passaggio fondamentale legato alle “Evidenze documentali”.
Il documento pone in evidenza come, i soggetti NIS, ai fini dell’attuazione delle misure di sicurezza e dell’attestazione dell’effettiva implementazione delle stesse, devono essere in possesso o provvedere all’elaborazione di una serie di documenti.
I principali documenti richiesti raggruppati per tipologie sono i seguenti:
- elenchi: personale dell’organizzazione di sicurezza informatica, configurazioni di riferimento, sistemi ai quali è possibile accedere da remoto;
- inventari: apparati fisici, servizi, sistemi e applicazioni software, flussi di rete, servizi erogati dai fornitori, fornitori;
- piani: gestione dei rischi, business continuity e disaster recovery, trattamento dei rischi, gestione delle vulnerabilità, adeguamento, valutazione dell’efficacia delle misure di gestione del rischio, formazione in
materia di sicurezza informatica, risposta agli incidenti; - politiche di sicurezza informatica: per almeno i requisiti riportati nella tabella 1 in appendice all’Allegato 1, per i soggetti importanti, e all’allegato 2, per i soggetti essenziali, della determina 164179/2025;
- procedure: in relazione agli specifici requisiti per i quali sono richieste;
- registri: esiti del riesame delle politiche, attività formazione dei dipendenti, manutenzioni effettuate.
I documenti possono essere resi disponibili in formato cartaceo o digitale, purché facilmente fruibili da chi ha la necessità di conoscerlo e consultarlo.
Serve aiuto ?
Noi di Exasys abbiamo sviluppato un Framework in grado di soddisfare gli adempimenti normativi.
Possiamo guidarti attraverso la stesura di tutte le evidenze documentali richieste, rispettare gli obblighi di notifica entro Gennaio 2026 ed avviare l’implementazione delle misure minime richieste entro Ottobre 2026.
Compila il form e richiedi subito una valutazione gratuita di conformità NIS2.
Ti forniremo un’analisi chiara e dettagliata, senza vincoli.
Documento ufficiale Autorità per la Cybersicurezza Nazionale
