La cybersecurity è oggi un pilastro fondamentale per garantire la continuità dei servizi pubblici e privati, la protezione dei dati e la stabilità economica e istituzionale del Paese.
Con questo obiettivo, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le “Linee guida NIS – Specifiche di base: Guida alla lettura” che rendono operative le disposizioni del Decreto NIS (D.lgs. 138/2024) in attuazione della direttiva europea NIS2.
Cosa prevedono le Linee guida
Le nuove disposizioni forniscono a Pubbliche Amministrazioni e imprese classificate come soggetti NIS – distinti tra essenziali e importanti – un quadro chiaro per adeguarsi ai nuovi obblighi. Tra i punti principali:
- Misure di sicurezza di base: 37 per i soggetti importanti e 43 per gli essenziali, per un totale di oltre 200 requisiti, dalle policy organizzative alle soluzioni tecnologiche.
- Incidenti significativi di base: 3 categorie per i soggetti importanti e 4 per gli essenziali, da notificare obbligatoriamente al CSIRT Italia.
- Evidenze documentali: obbligo di predisporre e approvare policy di sicurezza, piani di continuità e disaster recovery, registri di formazione e procedure di gestione delle vulnerabilità.
Le scadenze
- Notifica degli incidenti significativi: entro 9 mesi dall’iscrizione al registro NIS
- Adozione delle misure di sicurezza di base: entro 18 mesi dall’iscrizione al registro
Queste disposizioni non vanno intese come un mero adempimento burocratico, ma come un passo decisivo per innalzare il livello di resilienza digitale nazionale.
L’Italia rafforza così la propria capacità di prevenire e gestire minacce informatiche, promuovendo al tempo stesso una cultura della sicurezza in cui prevenzione, monitoraggio e aggiornamento costante diventano elementi strutturali per imprese e istituzioni.
Il testo completo delle Linee guida è disponibile sul sito istituzionale dell’ACN: https://www.acn.gov.it/portale/w/l-agenzia-per-la-cybersicurezza-nazionale-presenta-le-linee-guida-nis-specifiche-di-base-guida-alla-lettura-.
