NIS2 entra nella fase operativa: cosa significano le determinazioni ACN per le PMI
Il 24 dicembre 2025 l’Agenzia per la Cybersicurezza Nazionale ha pubblicato due determinazioni che segnano il passaggio dalla registrazione burocratica all’operatività vera della direttiva NIS2. Le determinazioni ACN 379887 e 379907 introducono obblighi concreti che riguardano la designazione del referente CSIRT, la gestione strutturata degli incidenti e le tempistiche di notifica al CSIRT Italia. Per le PMI italiane che rientrano nel perimetro NIS2, gennaio 2026 rappresenta il momento in cui la compliance smette di essere un esercizio documentale e diventa un processo operativo quotidiano. Capire cosa è cambiato e come adeguarsi è fondamentale per evitare sanzioni che possono raggiungere i dieci milioni di euro o il due percento del fatturato mondiale annuo. La keyword primaria NIS2 ACN gennaio 2026 riflette esattamente questa transizione: dalla teoria alla pratica.
Il referente CSIRT: un ruolo operativo, non un adempimento formale
La determinazione 379887 introduce l’obbligo di designazione del referente CSIRT, una persona fisica con responsabilità dirette nella gestione degli incidenti. Non si tratta di una funzione generica da assegnare al responsabile IT già oberato di lavoro: il referente CSIRT deve possedere competenze specifiche in sicurezza informatica e gestione incidenti, conoscenza approfondita dei sistemi informativi dell’organizzazione, capacità di interlocuzione con il CSIRT Italia e disponibilità operativa anche oltre l’orario lavorativo. L’aspetto più rilevante per la governance aziendale è che il referente riferisce direttamente al vertice gerarchico e agli organi di amministrazione. Questo sposta formalmente la cybersecurity da tema puramente tecnico a tema di governance aziendale. Il board deve approvare formalmente il piano di gestione degli incidenti, le policy di sicurezza, le misure implementate e il budget dedicato alla cybersecurity. La mancata nomina comporta le sanzioni previste dall’articolo 37 del decreto legislativo 138/2024.
Gestione incidenti e notifiche: il processo in cinque fasi con tempistiche rigide
Le linee guida ACN introducono un modello strutturato di gestione incidenti articolato in cinque fasi obbligatorie: preparazione, rilevazione e analisi, contenimento, risoluzione e ripristino, miglioramento continuo. Ogni fase richiede documentazione specifica, matrici RACI con ruoli definiti e procedure di escalation interna ed esterna. Il piano deve essere formalizzato e approvato dagli organi di vertice. Il processo di notifica al CSIRT Italia prevede tempistiche rigide. La pre-notifica deve avvenire entro 24 ore dalla rilevazione dell’incidente e include l’identificazione del soggetto NIS, la tipologia dell’incidente secondo la tassonomia ACN e la prima valutazione dell’impatto. La notifica completa deve arrivare entro 72 ore con indicatori di compromissione, misure di contenimento e stima dei servizi impattati. La relazione finale è richiesta entro un mese con root cause, timeline completa e lesson learned. L’obbligo di notifica scatta quando l’organizzazione ha evidenza dell’incidente, senza necessità di conoscere la causa iniziale.
Un aspetto spesso sottovalutato riguarda la fase di contenimento durante un incidente. Le linee guida ACN richiedono di bilanciare due esigenze apparentemente contrastanti: fermare l’attacco il prima possibile e preservare le evidenze forensi necessarie per l’analisi successiva e per la relazione finale. Questo richiede procedure predefinite che il team deve conoscere e aver testato prima che si verifichi un incidente reale. Il ripristino non significa semplicemente riaccendere i server, ma segue un processo controllato che include l’eliminazione della causa, la verifica dell’integrità dei sistemi, il ripristino graduale con monitoraggio continuo e la documentazione completa di ogni passaggio.
Cosa fare concretamente: la checklist per le PMI italiane
Per le PMI italiane che devono adeguarsi, le azioni prioritarie si concentrano su cinque aree. Sul fronte del referente CSIRT è necessario verificare che la designazione sia completata sul portale ACN, che le competenze siano documentate, che i sostituti siano designati e che il canale di comunicazione con il CSIRT Italia sia testato. Per il piano di gestione incidenti servono la formalizzazione con approvazione del vertice, l’implementazione delle cinque fasi secondo le linee guida, la definizione di matrici RACI e la preparazione dei template di notifica. I sistemi di rilevazione devono garantire monitoraggio continuo, alerting configurato, log centralizzati e capacità di generare timeline degli eventi. La governance richiede che il board sia informato sugli obblighi operativi, che il piano sia approvato formalmente e che il budget cybersecurity 2026 sia stanziato. Infine, test e formazione devono includere almeno una simulazione di incidente nel primo trimestre 2026 e la formazione specifica del team tecnico sulle procedure di notifica.
Punti chiave per le PMI
- Il referente CSIRT è una persona fisica con responsabilità operative dirette, non una funzione delegabile genericamente: deve avere competenze specifiche e disponibilità anche fuori orario
- Le notifiche al CSIRT Italia seguono tempistiche rigide di 24 ore per la pre-notifica, 72 ore per la notifica completa e un mese per la relazione finale
- La gestione incidenti è un processo strutturato in cinque fasi obbligatorie che richiede documentazione formale approvata dal vertice aziendale
- Le sanzioni per non conformità arrivano fino a dieci milioni di euro per i soggetti essenziali e sette milioni per quelli importanti
- Il primo trimestre 2026 è il momento giusto per pianificare una simulazione di incidente e verificare che tutte le procedure funzionino nella pratica
Da compliance burocratica a resilienza operativa
Le determinazioni ACN segnano un punto di svolta nella maturità della cybersecurity italiana. La NIS2 non è più una scadenza da rispettare con un documento, ma un processo continuo che richiede persone dedicate, procedure testate e governance attiva. Le organizzazioni che affrontano questo percorso come opportunità di miglioramento costruiscono una resilienza reale, capace di reggere l’impatto di incidenti sempre più frequenti e sofisticati. 10punto10 supporta le PMI italiane nell’implementazione operativa della NIS2, dalla designazione del referente CSIRT alla strutturazione dei processi di gestione incidenti.