Programma Beta Aperto — Audit di sicurezza gratuito per le prime 10 aziende Candidati →
NIS2

Adeguamento NIS2.
Determina ACN 379907/2025.

Verifichiamo la conformità della tua azienda a tutte le 43 misure e 116 requisiti previsti dalla Determina ACN. Check tecnici automatizzati su 16 misure, revisione documentale sulle restanti 27. Report conforme al D.Lgs. 138/2024.

La Normativa

D.Lgs. 138/2024

Il D.Lgs. 138/2024 recepisce la Direttiva UE 2022/2555 (NIS2) in Italia. La Determina ACN del 18 dicembre 2025 stabilisce le specifiche di base obbligatorie: 43 misure di sicurezza con 116 requisiti per i soggetti essenziali, 37 misure con 87 requisiti per i soggetti importanti.

Le scadenze sono tassative: 18 mesi dalla comunicazione di inserimento nell'elenco per le misure di sicurezza, 9 mesi per la notifica degli incidenti. Gli organi di amministrazione e direttivi sono direttamente responsabili delle violazioni.

Non si tratta di best practice — si tratta di legge. La non conformità comporta sanzioni amministrative rilevanti e responsabilità personale dei dirigenti.

Le 6 Funzioni — Cosa Verifichiamo

Framework Nazionale

Le misure ACN seguono il Framework Nazionale per la Cybersecurity, organizzato in 6 funzioni. Per ciascuna, eseguiamo check tecnici e verifica documentale:

  • GOVERNO (GV) — 11 misure: Politiche di sicurezza, organizzazione, gestione rischi, catena di approvvigionamento. 9 documenti richiedono approvazione formale del CdA. Verifichiamo l'esistenza e l'adeguatezza di ogni documento obbligatorio
  • IDENTIFICAZIONE (ID) — 8 misure: Inventari hardware/software, valutazione del rischio, gestione vulnerabilità, piani di continuità. Eseguiamo network scan per verificare gli inventari e vulnerability assessment automatizzato con nuclei per la misura ID.RA-01
  • PROTEZIONE (PR) — 13 misure: Autenticazione, controllo accessi, cifratura dati, logging, sviluppo sicuro, firewall. 8 check tecnici automatizzati: verifica TLS/SSL, header di sicurezza, esposizione dati sensibili, misconfigurazioni, CVE note, segmentazione di rete, stato firewall
  • RILEVAMENTO (DE) — 2 misure: Monitoraggio continuo reti e endpoint. Verifichiamo la presenza di strumenti di rilevamento e la definizione dei livelli di servizio attesi (SL) per la rilevazione degli incidenti significativi
  • RISPOSTA (RS) — 2 misure: Piano gestione incidenti, comunicazione. Verifichiamo il piano di notifica al CSIRT Italia (pre-notifica 24h, notifica 72h, relazione finale 30gg) e le procedure di comunicazione
  • RIPRISTINO (RC) — 1-2 misure: Procedure di ripristino e comunicazione. Per i soggetti essenziali, anche la comunicazione interna sulle attività di recovery

Soggetti Essenziali vs Importanti

Art. 6 D.Lgs. 138/2024

La Determina distingue due livelli di obblighi in base alla classificazione del soggetto NIS:

  • Soggetti Importanti: 37 misure, 87 requisiti, 3 tipi di incidenti significativi (IS-1: perdita riservatezza, IS-2: perdita integrità, IS-3: violazione livelli di servizio)
  • Soggetti Essenziali: 43 misure, 116 requisiti, 4 tipi di incidenti (anche IS-4: accesso non autorizzato). 6 misure aggiuntive esclusive: inventario flussi di rete, formazione ruoli specializzati, configurazioni hardened, manutenzione hardware, comunicazioni di emergenza, comunicazione ripristino
  • 29 requisiti in più per gli essenziali sulle misure condivise: vulnerability assessment e penetration test obbligatori, backup cifrati con test di ripristino, monitoraggio accessi e parametri per rilevare abusi di privilegi, test aggiornamenti critici in ambiente di test

Il nostro audit si adatta automaticamente alla tipologia del soggetto, verificando esattamente i requisiti previsti dalla Determina per la tua categoria.

16 Check Tecnici Automatizzati

Scansione Attiva

Per 16 misure su 43, eseguiamo verifiche tecniche automatizzate che producono evidenze oggettive:

  • ID.AM-01/02/03: Network scan per verificare inventari hardware, software e flussi di rete. Confronto con quanto dichiarato dall'organizzazione
  • ID.RA-01: Vulnerability assessment con nuclei: CVE note, misconfigurazioni, esposizioni. Report delle vulnerabilità con livello di impatto
  • PR.AA-01/03/05: Verifica meccanismi di autenticazione, MFA, controllo accessi, pannelli admin esposti, segmentazione di rete
  • PR.DS-01/02: Verifica protezione dati: file sensibili esposti, configurazione TLS/SSL, cipher suite, HSTS, certificati, header di sicurezza
  • PR.PS-01/02/04/06: Audit configurazioni, patch management (CVE attive), verifica logging, artefatti di sviluppo esposti
  • PR.IR-01: Verifica firewall con ACK scan, filtraggio porte, protezione perimetrale
  • DE.CM-01/09: Verifica strumenti di monitoraggio e protezione endpoint

Gestione Incidenti e Notifica CSIRT

Art. 25 D.Lgs. 138/2024

La Determina definisce obblighi precisi per la gestione e notifica degli incidenti significativi al CSIRT Italia. Verifichiamo che la tua organizzazione sia pronta:

  • Pre-notifica (24 ore): Verifichiamo l'esistenza di procedure per segnalare al CSIRT Italia entro 24 ore dall'evidenza dell'incidente, indicando se risulta da atti illegittimi o ha impatto transfrontaliero
  • Notifica (72 ore): Verifichiamo le procedure per la notifica completa con valutazione iniziale di gravità e impatto, comprensiva degli indicatori di compromissione
  • Relazione finale (30 giorni): Verifichiamo la capacità di produrre la relazione finale con descrizione dettagliata, root cause, misure adottate e impatto transfrontaliero
  • Referente CSIRT: Verifichiamo la designazione del Referente CSIRT e dei sostituti, con le competenze richieste dalla determinazione

Cosa Ricevi

Deliverable

Al termine dell'audit ricevi un pacchetto documentale completo, allineato alla struttura della Determina ACN:

  • Report di Conformità NIS2: Stato di ogni requisito (conforme, non conforme, parziale, non verificabile) con evidenze tecniche e documentali. Organizzato per le 6 funzioni del Framework Nazionale
  • Matrice Clausole Risk-Based: Per i 34 requisiti soggetti a clausole di proporzionalità, analisi dell'applicabilità in base ai sistemi informativi e di rete rilevanti della tua organizzazione
  • Checklist Documenti CdA: Stato dei 9 documenti che richiedono approvazione formale degli organi di amministrazione e direttivi, con template per quelli mancanti
  • Piano di Adeguamento: Priorità e tempistiche per ogni non conformità, calibrate sulla scadenza dei 18 mesi. Costo stimato e responsabilità per ogni azione
  • Assessment Incidenti: Verifica della preparazione alla gestione dei 3-4 tipi di incidenti significativi, con gap analysis sulle procedure di notifica CSIRT

Domande frequenti sull'adeguamento NIS2

Cos'è la NIS2 e chi riguarda?

La NIS2 (Direttiva UE 2022/2555) è la normativa europea sulla cybersecurity, recepita in Italia con il D.Lgs. 138/2024. Riguarda migliaia di aziende italiane in settori critici ed importanti: energia, trasporti, sanità, infrastrutture digitali, servizi ICT, manifattura, alimentare, servizi postali, gestione rifiuti, produzione chimica, ricerca e pubblica amministrazione. Se la tua azienda opera in uno di questi settori e supera determinate soglie dimensionali, sei un soggetto NIS.

Cos'è la Determina ACN 379907/2025?

La Determina 379907/2025 del Direttore Generale dell'Agenzia per la Cybersicurezza Nazionale (ACN), che aggiorna e sostituisce la precedente n. 164179 del 14 aprile 2025, stabilisce le specifiche di base obbligatorie per la NIS2 in Italia. Definisce 43 misure di sicurezza con 116 requisiti per i soggetti essenziali e 37 misure con 87 requisiti per i soggetti importanti, organizzate secondo il Framework Nazionale per la Cybersecurity. La Determina si applica dal 15 gennaio 2026.

Qual è la differenza tra soggetti essenziali e importanti?

I soggetti essenziali hanno obblighi più stringenti: 6 misure aggiuntive (tra cui inventario flussi di rete, formazione ruoli specializzati, configurazioni hardened), 29 requisiti in più sulle misure condivise (come vulnerability assessment e penetration test obbligatori), e un quarto tipo di incidente significativo (IS-4: accesso non autorizzato o abuso di privilegi). La classificazione dipende dal settore e dalle dimensioni dell'azienda.

Quali sono le scadenze per l'adeguamento NIS2?

18 mesi dalla comunicazione di inserimento nell'elenco ACN per implementare tutte le misure di sicurezza. 9 mesi per essere pronti alla notifica degli incidenti significativi. L'ACN ha iniziato le comunicazioni ad aprile 2025, quindi le prime scadenze cadono tra ottobre 2026 (misure) e gennaio 2026 (incidenti). I termini sono tassativi.

Cosa succede se non mi adeguo alla NIS2?

La non conformità comporta sanzioni amministrative rilevanti. Ma il punto cruciale è che la NIS2 prevede la responsabilità diretta degli organi di amministrazione e direttivi (Art. 23 D.Lgs. 138/2024): i dirigenti sono personalmente responsabili delle violazioni. Inoltre, 9 documenti obbligatori richiedono l'approvazione formale del CdA — non è delegabile all'IT.

Quali sono le multe previste dalla NIS2?

Il D.Lgs. 138/2024 prevede sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per i soggetti essenziali, e fino a 7 milioni di euro o l'1,4% del fatturato per i soggetti importanti. Le sanzioni si applicano per inadempimento delle misure di sicurezza, mancata notifica degli incidenti, e mancata cooperazione con l'ACN.

La mia azienda è una PMI. Devo adeguarmi alla NIS2?

Dipende dal settore. La NIS2 si applica generalmente a medie e grandi imprese nei settori coperti, ma ci sono eccezioni: fornitori di servizi DNS, registri di nomi di dominio, fornitori di servizi fiduciari, fornitori di reti e servizi di comunicazione elettronica sono soggetti indipendentemente dalla dimensione. Inoltre, le autorità possono includere anche imprese più piccole se ritenute critiche. Verifica con l'ACN se la tua azienda è nell'elenco.

Come funziona la notifica degli incidenti al CSIRT Italia?

In caso di incidente significativo: pre-notifica entro 24 ore dall'evidenza (indicando se l'incidente risulta da atti malevoli o ha impatto transfrontaliero), notifica completa entro 72 ore con valutazione di gravità e indicatori di compromissione, relazione finale entro 30 giorni con root cause e misure adottate. Le notifiche si trasmettono tramite il portale segnalazioni.acn.gov.it.

Quali documenti deve approvare il CdA?

La Determina ACN richiede l'approvazione formale degli organi di amministrazione e direttivi per 9 documenti: organizzazione per la sicurezza informatica, politiche di sicurezza, valutazione del rischio, piano di trattamento dei rischi, piano di gestione delle vulnerabilità, piano di adeguamento, piani di continuità operativa/DR/crisi, piano di formazione, piano gestione incidenti e notifica CSIRT.

Cosa sono le clausole risk-based della Determina?

La Determina prevede 4 tipi di clausole di proporzionalità che permettono di calibrare l'implementazione: «per almeno i sistemi informativi e di rete rilevanti» (limita l'ambito), «in accordo alla valutazione del rischio» (calibra modalità e portata), «fatte salve ragioni normative o tecniche» (ammette deroghe documentate con misure compensative), e «forniture con potenziali impatti» (limita l'ambito supply chain). Circa 34 requisiti sono soggetti a queste clausole.

Quanto costa l'adeguamento NIS2?

Dipende dalla dimensione dell'azienda, dalla complessità dei sistemi e dal livello di maturità attuale. Un assessment iniziale identifica i gap e stima l'investimento necessario. Il nostro approccio è pragmatico: sfruttiamo le clausole risk-based per concentrare gli investimenti dove servono davvero, evitando sprechi su misure sproporzionate rispetto al rischio.

OMNEX può fare sia la verifica tecnica che documentale?

Sì. OMNEX esegue 16 check tecnici automatizzati (scansioni di rete, vulnerability assessment, verifica TLS, controllo accessi, analisi configurazioni) e produce il report di conformità per tutti i 116 requisiti. Per i requisiti documentali (politiche, piani, procedure), forniamo la checklist completa, i template e il supporto per la redazione dei documenti mancanti.

Articoli correlati

NIS2: cosa cambia per le PMI italiane

La nuova direttiva europea sulla cybersecurity e il suo impatto sulle aziende italiane.

GDPR e sicurezza informatica: obblighi per le aziende

Cosa prevede il GDPR in materia di sicurezza dei dati e come adeguarsi.

Quanto costa un attacco informatico a una PMI

I costi vanno oltre le sanzioni: reputazione, business perso e recovery.

Il tempo stringe. La scadenza NIS2 è già partita.

18 mesi dalla comunicazione ACN. Scopri a che punto sei e cosa manca per la conformità. Assessment iniziale senza impegno.

Richiedi Assessment NIS2 Contattaci