Ho scritto un articolo dal titolo "Nis2, ecco le misure dell’Acn per la sicurezza delle imprese": https://www.agendadigitale.eu/sicurezza/nis2-ecco-le-misure-dellacn-per-la-sicurezza-delle-imprese/.
Mi ha aiutato Monica Perego, Idraulica della privacy.
Nulla di nuovo, nulla di innovativo. Se qualcuno ha però qualcosa da segnalarmi, lo prego di farlo.
Copio e incollo direttamente dalla newsletter di Project:IN Avvocati:
Non poteva mancare una determina il giorno di chiusura del periodo di notifica dei dati da parte di soggetti essenziali e importanti ai sensi della "Direttiva NIS 2": così ACN ha pubblicato la determina n. 283727 del 22 luglio 2025 che sostituisce la n. 136117 del 10 aprile 2025. Il testo aggiusta e amplia le precedenti posizioni dell'Agenzia, ponendo le basi per l'implementazione pratica ed effettiva delle norme di cybersicurezza poste a protezione del "perimetro nazionale", in particolare riguardo all'utilizzo della piattaforma digitale di comunicazione tra soggetti NIS e Autorità.
Di mio aggiungo il link alla pagina web di ACN: https://www.acn.gov.it/portale/nis/aggiornamento-informazioni.
Non ho trovato nulla di particolarmente significativo.
E' stato pubblicato il DPCM 111 del 2025 che aggiorna il DPCM 81 del 2021: https://www.normattiva.it/eli/id/2025/08/01/25G00116/ORIGINAL.
In sostanza, quando le organizzazioni del PSNC notificano un incidente, devono anche classificarlo secondo una tassonomia stabilita dal DPCM 81 del 2021 (che aveva 19 tipi), ora aggiornata con il DPCM 111 del 2025. La modifica è stata l'aggiunta di un solo tipo, ossia il "Accesso non autorizzato o con abuso dei privilegi concessi".
Non ho mai apprezzato questa tassonomia, in troppi punti troppo generica (però non l'avevo mai studiata con attenzione). Avevo ragione a non apprezzare, visto che l'accesso abusivo prima non ci fosse e ci abbiano messo 4 anni a intervenire.
ACN ha pubblicato il "Vademecum: Buone pratiche di cybersecuritydibase per i dipendenti delle PP.AA.": https://www.acn.gov.it/portale/vademecum-dipendenti.
Si tratta, a farla breve, di una presentazione di 28 slide divisa in due parti: la prima riguarda il perché la sicurezza informatica è importante, la seconda presenta 12 "buone pratiche".
Nulla di nuovo sotto il sole, ma mi pare materiale ben fatto. Per chi ha già del materiale proprio, può valere la pena verificare se include tutte e 12 le buone pratiche. Io dovrò sicuramente inserire qualcosa sull'uso di sistemi IA, prendendo spunto dall'ultima slide.
Visto che mi piace criticare ACN, lo faccio anche adesso:
- il documento non è datato e neanche la pagina web di riferimento; neanche "2025" c'è, accipicchia;
- sono andato sulla home page per cercare questo vademecum (l'avevo inizialmente ignorato, poi però ho pensato che dovevo ripensarci e volevo ritrovarlo) e non l'ho trovato neanche con la ricerca (che mette i documenti in ordine casuale di data); però dalla home page sappiamo che Frattasi ha fatto i complimenti agli italiani delle Cyber olimpiadi e ACN ha incontrato la Repubblica del Mozambico; tutto bene.
