Le Nostre News

NIS2 e Determinazione ACN 2025: cosa cambia davvero per le aziende italiane – La sintesi del webinar GENDATA

Il 2025 segna una svolta per la cybersecurity: NIS2, D.Lgs. 138/2024 e Determinazione ACN ridefiniscono obblighi, controlli e responsabilità per tutte le organizzazioni. Nel webinar del 3 dicembre abbiamo chiarito cosa cambia davvero e come prepararsi, dalla gestione degli incidenti alle nuove figure obbligatorie come il Referente CSIRT. In questo articolo trovi la sintesi essenziale per comprendere il nuovo quadro normativo e impostare una strategia di compliance efficace.

Coltiviamo conoscenza, ispirazione ed innovazione

Introduzione: un 2025 decisivo per la cybersecurity


Quello di cui abbiamo parlato oggi durante il webinar rappresenta uno snodo cruciale per tutte le aziende che devono affrontare l’impatto delle nuove norme sulla cybersecurity.

Con l’arrivo della Direttiva NIS2, del D.Lgs. 138/2024 e della Determinazione ACN 333017/2025, il 2025 segna l’inizio di una trasformazione profonda e inevitabile per il sistema di sicurezza informatica nazionale.

Nel corso del nostro webinar del 3 dicembre abbiamo analizzato in modo chiaro e pratico cosa cambia davvero, quali obblighi diventano immediatamente operativi e quali passi devono compiere le organizzazioni per arrivare preparate alle scadenze dei prossimi mesi.

In questo articolo ritrovi la sintesi ragionata di tutti i punti affrontati: un percorso completo per comprendere il nuovo scenario regolamentare e impostare una strategia di conformità realmente efficace.

Nel nostro webinar del 3 dicembre 2025 abbiamo analizzato tutte le novità normative e operative, illustrando anche la roadmap per arrivare preparati alle nuove scadenze.

In questo articolo trovi l’elaborazione completa dei temi trattati.


Dal disordine all’ordine: perché NIS2 nasce per combattere l’entropia digitale

Molte organizzazioni vivono in uno stato di entropia informatica, caratterizzato da:

  • patch rimandate
  • log non centralizzati
  • asset non mappati
  • procedure vecchie o assenti
  • responsabilità poco chiare

La direttiva NIS2 impone invece un approccio sintropico, cioè un modello governato da:

  • processi chiari
  • monitoraggio continuo
  • controlli verificabili
  • ruoli e responsabilità definite
  • tracciabilità documentale

È una trasformazione culturale oltre che tecnologica.


Il nuovo contesto normativo: NIS2, D.Lgs. 138/2024 e ACN

Durante il webinar abbiamo analizzato nel dettaglio i tre pilastri del nuovo sistema normativo:

1. Direttiva (UE) 2022/2555 – NIS2

È il quadro europeo per elevare la resilienza delle infrastrutture critiche e dei servizi essenziali.

2. D.Lgs. 138/2024

Recepisce la direttiva in Italia e definisce obblighi, controlli e sanzioni.

3. Determinazione ACN 333017/2025

Introduce elementi chiave tra cui:

  • nuove figure obbligatorie
  • rafforzamento della governance
  • revisione delle misure minime
  • auditing più severo
  • nuove procedure di notifica incidenti

In pratica: ACN diventa il supervisore della cybersecurity nazionale, con poteri ispettivi e di verifica ampliati.


Obblighi NIS2: cosa deve fare ogni azienda

Le organizzazioni rientranti tra i “soggetti essenziali” o “importanti” devono implementare un insieme di misure tecniche e organizzative, tra cui:

Governance e gestione del rischio

  • policy aggiornate
  • ruoli definiti
  • gestione vulnerabilità
  • continuità operativa e disaster recovery testati

Misure tecniche obbligatorie

  • monitoraggio costante (SOC, SIEM, EDR/NDR, Logging)
  • controllo accessi avanzato
  • logging centralizzato e retention
  • hardening di sistemi e applicazioni


Supply chain e contratti

Obbligatorio introdurre clausole cyber e verifiche periodiche sui fornitori.

Documentazione continua

La sicurezza è di aver tutto deve essere tracciato, registrato e sempre disponibile.

La grande novità: il Referente CSIRT obbligatorio entro il 31 dicembre 2025

Il webinar ha approfondito la figura chiave introdotta da ACN: il Referente CSIRT, responsabile della gestione degli incidenti e interfaccia diretta con CSIRT Italia.


Le sue responsabilità principali

  • reperibilità 24/7 in caso di incidenti significativi
  • coordinamento delle attività durante un incidente
  • raccolta e conservazione delle evidenze
  • classificazione secondo la tassonomia ACN
  • gestione e invio delle notifiche
  • aggiornamento dei registri e dei KPI (24h–72h–30gg)
  • supporto agli audit interni ed esterni
  • garanzia della coerenza documentale

Per molte aziende questo ruolo richiede competenze avanzate che spesso non sono disponibili internamente.


Incident Management NIS2: cosa cambia con le nuove tempistiche ACN

L’Articolo 25 del D.Lgs. 138/2024 impone un modello rigido e standardizzato:

1. Entro 24 ore → Pre-notifica

Segnalazione preliminare all’ACN in presenza di un incidente significativo.

2. Entro 72 ore → Notifica completa

Deve contenere impatto, cause, sistemi coinvolti e misure adottate.

3. Entro 30 giorni → Report conclusivo

Obbligo di documentare tutto nel registro incidenti.

Se sono coinvolti dati personali, è obbligatoria anche la notifica al Garante Privacy ai sensi del GDPR.


Monitoraggio e Audit: i nuovi controlli ACN che le aziende devono aspettarsi

La determinazione ACN introduce tre livelli di verifica:

1. Monitoraggio operativo continuo

  • log, alert e metriche sempre attive
  • vulnerabilità e anomalie sotto costante controllo
  • KPI sulla gestione incidenti

2. Audit interni annuali

Devono verificare la conformità a:

  • Art. 24 (misure)
  • Art. 25 e 26 (notifiche e gestione incidenti)
  • Policy e processi interni

3. Audit ACN

Possono essere:

  • documentali
  • tecnici (vulnerability assessment)
  • ibridi

In caso di non conformità ACN può emettere prescrizioni e sanzioni.


Roadmap 2025–2026: le date da non dimenticare

Durante il webinar abbiamo condiviso un cronoprogramma operativo:

  • 20 nov – 31 dic 2025 → nomina Referente CSIRT
  • 1 gen – marzo 2026 → Esecuzione test di detection e simulazioni incidenti
  • Giugno 2026 → Audit interno
  • Settembre 2026 → Revisione piano di remediation e aggiornamento policy
  • Dicembre 2026 → Audit finale e report a Direzione / ACN

Il supporto GENDATA: un percorso completo verso la conformità NIS2

Abbiamo presentato nel webinar il Programma di Compliance NIS2, che prevede:

  • assessment tecnico
  • gap analysis iniziale
  • piano operativo e definizione delle responsabilità
  • redazione policy e procedure
  • monitoraggio e testing
  • audit interno e validazione finale
  • outsourcing del Referente CSIRT e del DPO
  • implementazione delle misure tecniche richieste
  • formazione su NIS2, GDPR, DORA, AIACT

Un modello che integra tecnologia, governance e competenze, trasformando la compliance in un vantaggio competitivo.


Conclusione: NIS2 è un obbligo e soprattutto un’opportunità di crescita

La NIS2 porta le aziende a un nuovo livello di maturità digitale, dove la cybersecurity diventa parte integrante della strategia.

Questo è il momento in cui le organizzazioni possono decidere il loro futuro:

guidare il caos per costruire un modello governato e sicuro.