News & Media

Opinioni

Opinioni

Cybersicurezza e NIS2: le nuove determinazioni dell’ACN aprile 2025.

Il mese di aprile 2025 ha segnato un momento di produzione normativa rilevante in vista dell’avvio della seconda fase attuativa del D.lgs. 138/2024 (di recepimento della Direttiva NIS2): l’Agenzia per la Cybersicurezza Nazionale (ACN), infatti, ha pubblicato i provvedimenti n. 136117 e 136118 del 10 aprile, nonché il n. 164179 del 14 aprile, introducendo obblighi puntuali per i soggetti rientranti nel perimetro NIS, accompagnati da scadenze operative e da un ampliamento sostanziale delle responsabilità degli organi apicali.

Analisi tecnica e considerazioni giuridiche sulle determinazioni nn. 136117, 136118 e 164179.

La gestione delle interfacce organizzative con l’ACN: determinazione 136117/2025.

Con la determinazione n. 136117, l’ACN ha aggiornato il quadro operativo per l’identificazione e la registrazione dei soggetti di riferimento presso il proprio Portale dei Servizi. In particolare, ha esteso l’organigramma degli operatori autorizzati, introducendo la figura del Sostituto del Punto di Contatto, già introdotta dal D.lgs. 138/2024 (Articolo 7, comma 4, lett. d)) ma inedita rispetto alla precedente determinazione. (n. 38565/2024). Il Sostituto del Punto di Contatto, di obbligatoria designazione entro il 31 maggio, è figura distinta dal Punto di Contatto, del quale condivide tuttavia i requisiti soggettivi nonché i poteri di interlocuzione con ACN, con la sola eccezione della possibilità di effettuare la registrazione iniziale.

Vengono inoltre introdotte le figure facoltative della Segreteria e degli Operatori, con l’obiettivo di assicurare un apparato aziendale sufficientemente articolato da garantire continuo e tempestivo dialogo fra i soggetti essenziali e importanti e l’autorità.

Condivisione delle informazioni e regolazione della trasparenza: determinazione 136118/2025.

L’ACN, con la determinazione n. 136118, disciplina la notifica degli accordi volontari di condivisione delle informazioni in ambito di sicurezza informatica. La direttiva europea incoraggia tali accordi, demandando però ai singoli Stati la definizione delle modalità di controllo e sorveglianza.

La determinazione impone, entro il 31 maggio, la trasmissione all’ACN del testo integrale degli accordi, nonché dei dati anagrafici e identificativi di tutti i soggetti coinvolti.

Le Misure Tecniche e organizzative: determinazione 164179/2025.

Con la determinazione n. 164179, e i suoi quattro allegati tecnici, l’ACN stabilisce:

  • le misure di sicurezza di base (Allegati 1 e 2, rispettivamente per soggetti importanti ed essenziali), espressamente poste a carico degli organi di amministrazione e direttivi;
  • la classificazione degli incidenti significativi di base (Allegati 3 e 4 rispettivamente per soggetti importanti ed essenziali).

Le misure sono articolate secondo il Framework Nazionale per la Cybersecurity 2025 e suddivise per funzioni (Governance, Identificazione, Protezione, Rilevamento, Risposta e Ripristino). Ogni funzione comprende categorie e sottocategorie che definiscono specifici requisiti di sicurezza informatica. L’implementazione di queste misure consente di stabilire un approccio strutturato alla gestione del rischio di sicurezza informatica, garantendo la protezione degli asset critici e la continuità operativa anche in caso di incidenti.

Tra le aree coperte si evidenziano: gestione del rischio, controlli sugli accessi, continuità operativa, e risposta agli incidenti.

Particolare attenzione inoltre viene posta alla gestione del rischio di cybersecurity della catena di approvvigionamento. Con riferimento alle supply chains, i processi di gestione del rischio cyber devono essere identificati, stabiliti, gestiti, monitorati e migliorati dagli stakeholder dell’organizzazione.

I recenti casi di attacco hacker ATM (aprile 2025) e Harrods/M&S (maggio 2025), del resto, sono attacchi da supply chain e dimostrano che il perimetro dell’ambito da proteggere non coincide più con il confine della singola azienda. Diventano pertanto essenziali le attività di due diligence sui fornitori, con determinazione di punteggi di rischio, la redazione di clausole contrattuali aventi ad oggetto specifici obblighi e penali volti a prevenire eventuali carenze dei sistemi di sicurezza e di gestione degli incidenti, nonché il monitoraggio continuo.

Il termine per l’adozione delle misure di sicurezza di base di cui agli allegati 1 e 2 è fissato in 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, mentre il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base descritti negli allegati 3 e 4 è fissato in nove mesi, sempre decorrenti dalla ricezione, da parte del soggetto NIS, della comunicazione di inserimento nell’elenco dei soggetti NIS.

Conclusioni.

La triade di determinazioni ACN di aprile 2025, considerata nel suo complesso, compie un ulteriore passo sul cammino della normazione in materia di cybersecurity, nella direzione già intrapresa a livello europeo e nazionale di una compliance sostanziale e non solo formale.

In questo senso, vanno lette le prescrizioni circa la necessità di ampliare l’organico delle figure a sostegno del punto di contatto, gli obblighi di disclosure degli accordi volontari di condivisione e l’individuazione delle misure tecniche con espresso richiamo alla responsabilità degli organi apicali, di cui alla determinazione no. 164179.

L’obiettivo è quello di rendere la compliance non più un mero esercizio di burocrazia finalizzato all’adempimento di un obbligo normativo, ma uno strumento effettivo ed efficace di prevenzione; deve cambiare la percezione delle attività di compliance: da puro costo ad investimento necessario per prevenire i danni connessi con il rischio cyber, lesivi della business continuity e della reputazione aziendale; deve essere costante e predominante nelle coscienze aziendali il pensiero che i danni da downtime investono sia il breve che il medio e lungo termine e che, in alcuni casi, sono irreversibili. E’ recente la notizia che la storica azienda di autotrasporti Knights of Old, con sede a Kettering nel Northamptonshire (UK), attiva da 160 anni è stata costretta a chiudere a seguito di un attacco ransomware.

E affinché la compliance si traduca in un effettivo sistema di prevenzione del rischio cyber nonché di efficace gestione di eventuali incidenti (quindi di prevenzione e contenimento danni), occorre cominciare a declinare i concetti di accountability, sostenibilità e sicurezza in tutti gli ambiti della compliance stessa mediante un approccio proattivo, dinamico e integrato, che coinvolga tutti i soggetti della filiera e prenda in esame tutte le normative vigenti in materia di compliance, senza da ultimo trascurare gli standard ISO/IEC applicabili (e.g. ISO/IEC 27002:2022 e ISO/IEC 42001:2023).

Il presente articolo ha il solo scopo di fornire aggiornamenti e informazioni di carattere generale. Non costituisce pertanto un parere legale né può in alcun modo considerarsi come sostitutiva di una consulenza legale specifica.
Per chiarimenti o informazioni potete contattare l’autrice oppure il Vostro Professionista di riferimento all’interno dello Studio.

Elisabetta Aicardi, Associate
E: e.aicardi@nmlex.it
T.: +39 02 6575181

Pubblicato il:

Condividi

Iscriviti alla newsletter

Copyright Nunziante Magrone Studio Legale Associato | P.IVA 06080161000 | Privacy policy | Cookie policy | Note legali | Politica per la parità di genere |