ACN pubblica le misure operative per la sicurezza informatica delle infrastrutture critiche

Il 16 aprile 2025, l'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la determinazione n. 164179, che stabilisce le misure operative per l'attuazione della Direttiva NIS2 (Decreto Legislativo 138/2024). Questo documento fornisce indicazioni precise per le organizzazioni classificate come "essenziali" e "importanti" in settori critici come energia, trasporti, sanità e finanza.

La determinazione, frutto di un processo di consultazione con autorità di settore e associazioni di categoria, si basa sul Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025). Essa introduce quattro allegati tecnici che delineano:

1. Misure di sicurezza di base per i soggetti importanti.

2. Misure di sicurezza di base per i soggetti essenziali.

3. Specifiche per la gestione degli incidenti significativi per i soggetti importanti.

4. Specifiche per la gestione degli incidenti significativi per i soggetti essenziali.

Le misure sono organizzate secondo una struttura gerarchica che facilita l'integrazione nei modelli di governance esistenti. Le tempistiche di implementazione variano: i soggetti essenziali hanno 18 mesi, mentre quelli importanti hanno 24 mesi dalla pubblicazione della determinazione per adeguarsi. Sono previsti regimi transitori per operatori già soggetti alla precedente direttiva NIS, PSNC-NIS e operatori di telecomunicazioni.

Con questa iniziativa, l'ACN mira a rafforzare la resilienza cibernetica nazionale, fornendo alle organizzazioni strumenti concreti per affrontare le sfide della sicurezza informatica.