Con la determinazione n. 164179, ACN, l'Agenzia per la cybersicurezza nazionale, ha stilato le “misure di sicurezza di base”. Ad adottare queste misure di sicurezza sono tenuti i cosiddetti “soggetti Nis 2” e cioè le imprese e le pubbliche amministrazioni censite, in attuazione del D.Lgs. 138/2024 nell'elenco nazionale presso l'ACN e obbligate a realizzare un livello elevato di sicurezza informatica.

Si tratta di una grande quantità di compiti, di elevata complessità, che imprese e p.a. obbligate dovranno aver terminato entro 18 mesi (ottobre 2026) dalla ricezione della comunicazione di inserimento nell'elenco nazionale Nis.

I soggetti Nis 2 devono, dunque, mettersi subito al lavoro, considerato che alla scadenza dovranno essere in possesso di una lunga serie di documenti, che possono essere classificati per natura dell'atto: elenchi, inventari, piani, politiche (policy), procedure e registri.

Si riportano di seguito gli obblighi principali per imprese e pubbliche amministrazioni.

Pgr: piano gestione dei rischi

Il soggetto Nis 2 deve scrivere e aggiornare un piano di gestione dei rischi per la sicurezza informatica per identificare, analizzare, valutare, trattare e monitorare i rischi.

Valutazione dei rischi

Gli organi di amministrazione e direttivi devono approvare (e aggiornare con cadenza biennale e in caso di incidente) un documento di valutazione dei rischi, che soppesa analiticamente i rischi cybersecurity per l'organizzazione, gli asset e le persone.

Tali organi devono, poi, approvare e aggiornare un piano di trattamento del rischio e un piano di adeguamento, che identifichi gli interventi necessari ad assicurare l'attuazione delle politiche di sicurezza.

Gestione crisi, ripristino, continuità operativa

Gli organi di amministrazione e direttivi devono approvare e aggiornare (ogni due anni e in caso di incidente) i piani di continuità operativa, di ripristino in caso di disastro e di gestione delle crisi.

Documento organizzativo

Con deliberazioni delle posizioni più elevate di imprese e p.a. deve essere definito il documento relativo all'organizzazione per la sicurezza informatica, comprensiva della specificazione di ruoli e responsabilità. Il documento va aggiornato almeno ogni due anni e in occasione di incidenti.

Policy di cybersecurity

Gli organi di amministrazione e direttivi devono adottare policy di sicurezza informatica, che devono coprire almeno 16 ambiti. Le policy devono essere aggiornate almeno una volta all'anno e in caso di incidente.

Piano formazione personale

Consigli di amministrazione, amministratori e organi direttivi devono firmare il piano di formazione del personale.

Il personale deve essere sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity. Deve essere mantenuto un elenco dei dipendenti che hanno ricevuto la formazione, i relativi contenuti e l'elenco delle verifiche se previste.

Fonte: Determinazione ACN n. 164179