Aggiornamenti NIS 2: nuove Linee Guida ACN sulle specifiche di base

Pubblicato il - 05/09/2025

DCP cybersicurezza, Normativa

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato il 4 settembre 2025 le“Linee Guida NIS – Specifiche di base: Guida alla lettura”, ossia un documento volto a supportare i soggetti NIS, siano essi essenziali che importanti, nell’interpretazione e nell’applicazione delle specifiche di base (misure di sicurezza da adottare e tipologie di incidenti significativi da notificare) come illustrate dalla Determinazione 164179/2025 e rispettivi allegati, pubblicati lo scorso aprile.

Le Linee Guida chiariscono, altresì, che le misure di sicurezza, sviluppate in accordo al Framework nazionale e organizzate in funzioni, categorie, sottocategorie e requisiti,  seguono un approccio basato sul rischio e che i requisiti tengono in considerazione il differente grado di esposizione al rischio che caratterizza ogni sistema informativo e di rete. A tal fine, sono individuate delle clausole specifiche per i requisiti che prevedono casi di maggiore complessità

Il documento si conclude con 4 appendici:

  • Appendice A – corrispondenza elementi misure: contiene la mappatura tra le misure di sicurezza e gli elementi di cui all’articolo 24, comma 2, del decreto NIS;
  • Appendice B – requisiti con clausole basate sul rischio: elenca i requisiti per i quali sono previste le clausole relative all’approccio basato sul rischio;
  • Appendice C – documenti approvati dagli organi di amministrazione e direttivi: elenca i documenti che devono essere approvati dagli organi di amministrazione e direttivi;
  • Appendice D – glossario: riporta le definizioni dei termini peculiari che ricorrono nelle specifiche di base

Tali Linee Guida rappresentano un riferimento utile per i soggetti NIS che sono tenuti ad adempiere a quanto previsto dagli articoli 23, 24 e 25 del D.Lgs. 138/2024 (Decreto NIS).

 

Il testo completo è disponibile sul sito ufficiale ACN al seguente link: www.acn.gov.it

Ricordiamo le Prossime Scadenze

  • Entro 9 mesi dall’iscrizione nell’elenco NIS è fissato il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base.
  • Entro 18 mesi dall’iscrizione nell’elenco NIS è fissato il termine per l’adozione delle misure di sicurezza di base.

DCP ti supporta!

DCP può supportare le aziende nel processo di adeguamento agli obblighi previsti dal Decreto NIS e dall’Agenzia per la Cybersicurezza Nazionale.

Per avere ulteriori informazioni sugli adempimenti scrivi a