Compliance aziendale e NIS2 - Le Linee Guida dell'ACN per i Soggetti NIS2
In data 4 settembre 2025, l’ACN ha pubblicato delle Linee guida per i soggetti NIS (essenziali e importanti), ovvero un documento di supporto operativo per l’applicazione pratica del Decreto Legislativo 4 settembre 2024, n. 138.
L’obiettivo delle linee guida è aiutare i soggetti NIS (essenziali e importanti) a comprendere e attuare in modo concreto gli obblighi di:
Il Capitolo 1 si focalizza sulle MISURE DI SICUREZZA DI BASE:
viene fornito un quadro generale delle misure di sicurezza, rappresentando l’approccio basato sul rischio secondo cui sono state sviluppate; quindi
Il Capitolo 2 si focalizza sugli INCIDENTI SIGNIFICATIVI DI BASE:
viene fornito un quadro generale degli incidenti significativi e della loro struttura; viene rappresentato il concetto di evidenza dell’incidente e di abuso dei privilegi concessi; quindi
Silvia Moro
Avvocato e Data Protection Officer (DPO) certificato UNI EN 17740:2024
L’obiettivo delle linee guida è aiutare i soggetti NIS (essenziali e importanti) a comprendere e attuare in modo concreto gli obblighi di:
| governance e responsabilità dell’organo di amministrazione; |
| misure tecniche, organizzative e operative per la gestione del rischio; |
| notifica degli incidenti significativi al CSIRT Italia |
Il Capitolo 1 si focalizza sulle MISURE DI SICUREZZA DI BASE:
viene fornito un quadro generale delle misure di sicurezza, rappresentando l’approccio basato sul rischio secondo cui sono state sviluppate; quindi
- Approccio basato sul rischio per la progettazione delle misure;
- Categorie di misure richieste (organizzative, tecniche, operative);
Il Capitolo 2 si focalizza sugli INCIDENTI SIGNIFICATIVI DI BASE:
viene fornito un quadro generale degli incidenti significativi e della loro struttura; viene rappresentato il concetto di evidenza dell’incidente e di abuso dei privilegi concessi; quindi
- Definizioni di incidente significativo;
- Criteri per la classificazione di un evento come incidente significativo;
- Indicatori e soglie per capire quando notificare al CSIRT Italia;
- Tempistiche e modalità di notifica.
| APPENDICE A | corrispondenza elementi misure: con la mappatura tra le misure di sicurezza e gli elementi di cui all’articolo 24, comma 2, del decreto NIS; |
| APPENDICE B | requisiti con clausole basate sul rischio: elenco requisiti per i quali sono previste le clausole relative all’approccio basato sul rischio; |
| APPENDICE C | documenti approvati dagli organi di amministrazione e direttivi; elenco dei documenti che devono essere approvati dagli organi di amministrazione e direttivi; |
| APPENDICE D | Glossario con definizioni dei termini peculiari che ricorrono nelle specifiche di base. |
Silvia Moro
Avvocato e Data Protection Officer (DPO) certificato UNI EN 17740:2024