NIS: Misure di Sicurezza di Base - Ottobre 2026

Le PA ed aziende identificate come soggetti importanti ed essenziali che sono state inserite nell'elenco NIS, dovranno adottare le misure di sicurezza di base entro Ottobre 2026, ovvero a 18 mesi da tale comunicazione. Ma cosa occorre fare?

Il 2025 è stato un anno cruciale per le PA e le aziende private che, rientrando nell'elenco di uno dei 4 Allegati del D. Lgs. 138/2024, hanno dovuto dapprima registrarsi sulla piattaforma di ACN nella cosiddetta prima fase, per poi proseguire con la seconda fase attuativa di censimento del punto di contatto, IP, riferimenti, etc., per poi iniziare con la terza che prevede l'implementazione degli obblighi.

Si ribadisce che l'adeguamento è obbligatorio, come indicato all'art. 3 comma 1 del D. Lgs. n. 138/2024, dove vengono indicati gli ambiti di applicazione dei soggetti pubblici e privati coinvolti nell’adeguamento NIS.

Le misure di sicurezza da adottare sono differenti a seconda che si tratti di soggetti importanti o essenziali. In questo articolo vedremo molti dei dettagli sui soggetti importanti, visto che rivestono la maggior parte delle aziende e PA del nostro Paese, ma la procedura operativa è la medesima per quelli essenziali, tranne che per l'incremento di alcune attività ed adempimenti che sono certamente superiori per quest'ultimi.

E' importante non lasciarsi ingannare dal tempo di adegumento fissato ad Ottobre 2026, perchè come vedremo le attività sono tantissime e molte aziende e PA giustamente hanno iniziato ad eseguire l'implementazione delle misure di base previste.

Documentazione necessaria

Il soggetto NIS, ai fini dell'attuazione delle misure di sicurezza e per attestare l'effettiva implementazione di queste, deve redigere una serie di documenti di seguito indicati e descritti in una FAQ da ACN:

1. elenchi: personale dell'organizzazione di sicurezza informatica, configurazioni di riferimento (solo per soggetti essenziali), sistemi ai quali è possibile accedere da remoto;
2. inventari: apparati fisici, servizi, sistemi e applicazioni software, flussi di rete (solo per soggetti essenziali), servizi erogati dai fornitori, fornitori;
3. piani: piano di gestione del rischio, piani di business continuity e disaster recovery, piano di trattamento del rischio, piano di gestione delle vulnerabilità, piano di adeguamento, piano per la valutazione dell'efficacia delle misure di gestione del rischio (solo per soggetti essenziali), piano di formazione in materia di sicurezza informatica, piano di risposta agli incidenti;
4. politiche: definite per almeno i requisiti riportati nella tabella 1 in appendice agli Allegati 1 (soggetti importanti) e 2 (soggetti essenziali) della Determinazione del Direttore Generale dell'Agenzia per la cybersicurezza nazionale 164179;
5. procedure: in relazione agli specifici requisiti per i quali sono richieste;
6. registri: esiti del riesame delle politiche, attività formazione dei dipendenti, manutenzioni effettuate.

Come implementare questa documentazione?

Sul sito di ACN nella sezione NIS sono presenti le modalità specifiche di base, dove sono elencati i files utili alla stesura delle procedure, politiche, configurazioni, sia per i soggetti importanti che dovranno far riferimento alle misure di sicurezza indicate nell’Allegato 1 che per quelli essenziali inseriti nell’Allegato 2.

Come indicato nella FAQ MSB.10, le specifiche dell'adeguamento riguardano sia la sezione amministrativa che implementa la gestione, l'organizzazione, la documentazione e il controllo di processi e attività che quella tecnica con l'adozione e l'utilizzo di strumenti tecnologici, come ad esempio la cifratura dei dati, l'aggiornamento del software o l'impiego di modalità di autenticazione multi-fattore.

Le politiche di sicurezza

All'art. 1 identificato come GOVERNO delle misure di sicurezza di base per i soggetti importanti (Allegato 1) al comma 1.4.1 indicato dal codice GV.PO-01, vengono descritte l'insieme delle politiche per la gestione del rischio di cybersecurity stabilite in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità.

In particolare, ogni azienda o ente dovrà adottare e documentare le politiche di sicurezza informatica per almeno i seguenti ambiti:

1. gestione del rischio;
2. ruoli e responsabilità;
3. affidabilità delle risorse umane;
4. conformità e audit di sicurezza;
5. gestione dei rischi per la sicurezza informatica della catena di approvvigionamento;
6. gestione degli asset;
7. gestione delle vulnerabilità;
8. continuità operativa, ripristino in caso di disastro e gestione delle crisi;
9. gestione dell'autenticazione, delle identità digitali e del controllo accessi;
10. sicurezza fisica;
11. formazione del personale e consapevolezza;
12. sicurezza dei dati;
13. sviluppo, configurazione, manutenzione e dismissione dei sistemi informativi e di rete;
14. protezione delle reti e delle comunicazioni;
15. monitoraggio degli eventi di sicurezza;
16. risposta agli incidenti e ripristino.

L'approccio nell'implementazione documentale e tecnica, dovrà seguire queste politiche ed ogni codice inserito nell'Allegato 1 rappresenta il riferimento con la relativa descrizione del requisito da adottare e verificare.

Come già indicato, l'ACN ha concesso per questa fase un tempo pari a 18 mesi dalla comunicazione all'Ente o azienda con scadenza fissata entro Ottobre 2026, proprio perché l'adempimento di tali misure è cospicuo e l'approccio è simile all'iter di certificazione di norme ISO come la 27001 sulla Gestione della Sicurezza delle Informazioni, dove si parla di politiche, riesami, audit, etc.

Infatti gli adempimenti non riguardano solo l'adozione "una tantum" di queste misure tecniche e gestionali, ma necessitano di riesami periodici, con audit annuali e/o biennali a seconda se si parla di verifiche delle politiche, valutazione del rischio, etc.

Inoltre, come per le norme ISO, le politiche (e non solo) devono essere approvate dagli organi direttivi e di amministrazione, quindi c'è un coinvolgimento attivo anche dei vertici dell'ente o azienda.

La Gestione del Rischio

Tra le tante politiche sopra elencate, vogliamo soffermarci su quella della gestione del rischio, che è tra le più cruciali per l'implementazione delle misure minime di sicurezza informatica, perché differisce da ogni ente o azienda, visto che l'hardware, software, fornitori, ubicazione, etc. possono essere totalmente diversi.

Un professionista che redige un piano per la gestione del rischio della sicurezza informatica deve poter vagliare ogni aspetto del cliente e non può sottovalutare o non considerare attentamente tutti i dettagli.

Il codice ID.RA-06, dettagliato anche nella Tabella 2, identifica un piano di trattamento del rischio che contempla almeno le seguenti specifiche:

1. le opzioni di trattamento e le misure da attuare in merito al trattamento di ciascun rischio individuato e le relative priorità;
2. le articolazioni competenti per l'attuazione delle misure di trattamento dei rischi e le tempistiche per tale attuazione;
3. la descrizione e le ragioni che giustificano l'accettazione di eventuali rischi residui al trattamento.

I requisiti della gestione dei rischi tengono conto della catena di approvvigionamento, con l'indicazione dell'impatto dei fornitori sulla sicurezza informatica e di rete, degli utenti utilizzatori di servizi ed hardware dell'ente o società, della riservatezza, l'integrità e la disponibilità dei dati memorizzati su tutti i dispositivi fissi e mobili con i vari supporti removibili, degli aggiornamenti dei software e di quelli dei sistemi di protezione per il rilevamento di codice malevolo.

Come si evince dall'articolazione di questa politica è fondamentale un approccio con una fase iniziale di ascolto del cliente che, conoscendo bene i compiti, i ruoli e l'organizzazione, può fornire dettagli utilissimi che devono essere necessariamente correlati con altri professionisti, spesso esterni dell'ente o azienda, come consulenti informatici, DPO e valutare anche fornitori che, sempre più spesso impattano nelle decisioni sulla sicurezza delle informazioni.

Conclusioni e cosa può fare lo Studio Tarantelli

Come avrai potuto intuire l'implementazione delle misure di sicurezza di base è certamente complesso, lungo ed articolato, visto che coinvolge non solo gli ambiti procedurali e tecnici, ma anche organizzativi di tutto l'ente o azienda. Non è qualcosa che si esegue con pochi giorni e l'adempimento è un obbligo di legge per i soggetti importanti ed essenziali definiti da ACN.

Non basta preparare una semplice documentazione che, come a volte è capitato nelle varie consulenze eseguite dal nostro Studio si è rilevato eseguito dal cliente autonomamente con un "copia-incolla" da internet o come di recente con l'ausilio dell'IA, perché le valutazioni, le gestioni, etc., sono proprie di ogni realtà ed ogni scelta tecnica ed operativa va analizzata, ponderata e comunicata al cliente, perchè strutturata sulla base degli effettuali rischi individuati.

Mirko Tarantelli, oltre alla preparazione tecnica e professionale da ingegnere nel settore informatico e telecomunicazioni è abilitato alla professione di Auditor/Lead Auditor per la ISO/IEC 27001, standard internazionale per la Gestione della Sicurezza delle Informazioni (SGSI).

Il nostro studio collabora con partner professionisti in ambito privacy, legale, commerciale, tecnico, etc., che può supportare ogni PA o azienda nell'adempimento ed adeguamento NIS. Inoltre l'Ing. Mirko Tarantelli è iscritto su MePA da molti anni ed ha una consolidata esperienza con clienti PA nella progettazione, consulenza, supporto RTD, etc.

Se pensi che questo articolo sia utile ai tuoi amici, condividilo sui social network.

Aggiungi Studio Tarantelli al tuo feed di Google News.

17-07-2025

Autore: Mirko Tarantelli - Ingegnere delle Telecomunicazioni - consulente informatico e SEO - Data Scientist

© Tutti i diritti sono riservati. È vietato qualsiasi utilizzo, totale o parziale dei contenuti qui pubblicati.