Incidenti significativi NIS per ACN (parte 2)

Il 17 gennaio avevo scritto un posto sulla definizione di "incidente significativo" fornita da ACN per i soggetti NIS nelle "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS": https://blog.cesaregallotti.it/2026/01/incidenti-significativi-nis-per-acn.html.

Ho avuto un interessante scambio di email con Marco Manganiello. Infatti mi ha ricordato che la definizione di ACN dovrebbe essere letta insieme a quella presente nel D. Lgs. 138 del 2024 (art. 25, comma 4), che è norma primaria. Una Determinazione ACN non può innovare rispetto a essa.

Pertanto, la definizione di incidente significativo IS-1 ottenuta dalla somma di D. Lgs. 138 e Determinazione dovrebbe essere: “Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale. Tale evento ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; o ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli”.

Similmente andrebbero tradotte le IS-2, IS-3 e IS-4.

Rimane il fatto che un’email inviata all'indirizzo sbagliato potrebbe sempre rientrare in questa definizione perché non blocca il servizio, ma può incorrere in una sanzione del Garante con “perdite finanziarie per il soggetto interessato”.

Alcune considerazioni:

• potevano dircelo meglio, piuttosto che lasciare a noi il bricolage, non ignorare completamente il testo del D. Lgs. 138;
• nelle linee guida potevano aiutare di più con l’interpretazione di queste definizioni (inclusa l'interpretazione di "verso l'esterno", termine decisamente vago);
• l’implementing act della CE specifica molto meglio cosa si intende per “grave perturbazione operativa” e "perdite finanziarie", fornendo parametri quantitativi; mi sembra che dovesse essere quella la strada da seguire, non una frase generica “un evento che porta a perdita di riservatezza, integrità o disponibilità”.

Incidenti significativi NIS per ACN

Come già detto, ACN ha aggiornato le "Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS": https://www.acn.gov.it/portale/nis/la-normativa.

Ho avuto quindi modo di rileggere le definizioni di incidenti significativi e sono rimasto perplesso.

Il primo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di riservatezza, verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Quindi rientrano tutti i casi di perdita di riservatezza di dati digitali, a prescindere dalla loro criticità (o classificazione): l'email inviata all'indirizzo sbagliato, il vicino sul treno che spia lo schermo del pc, il vocale ascoltato in viva voce sul metrò, eccetera. Mi sembra un po' eccessivo, però vuolsi così colà ove si puote ciò che si vuole e più non dimando.

Il secondo tipo di incidente significativo è quando "Il soggetto NIS ha evidenza della perdita di integrità, con impatto verso l'esterno, di dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Anche qui si capisce che anche un record corrotto, a prescindere dalla sua criticità, va notificato. O anche quello con qualche carenza, come la certificazione unica senza la seconda pagina.

Il terzo tipo introduce, finalmente, qualche criterio di criticità: "Il soggetto NIS ha evidenza della violazione dei livelli di servizio attesi dei suoi servizi e/o delle sue attività, sulla base dei livelli di servizio atteso (SL) definiti ai sensi della misura DE.CM-01".

Qui val la pena ricordare che i fornitori di servizi IT possono (e devono) ricavare questi SL dal Regolamento di esecuzione (UE) 2024/2690 della Commissione (ma sappiamo che ACN ignora completamente questo Regolamento, anche nelle FAQ, lasciandoci così con mille dubbi).

Infine, solo per i soggetti essenziali, è un incidente significativo quando "Il soggetto NIS ha evidenza, anche sulla base dei parametri quali-quantitativi definiti ai sensi della misura DE.CM-01, dell'accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di sua proprietà o sui quali esercita il controllo, anche parziale".

Quindi, assurdamente, un'azienda chimica registrato come soggetto NIS importante (o anche essenziale, a ben vedere) ha evidenza di un'intrusione sui propri sistemi OT e non lo deve dichiarare entro 24 al CSIRT. Questo anche se ACN ha detto che una delle ragioni per chiedere una notifica entro le 24 ore era quella di avere notizia di eventi che potrebbero propagarsi o ripetersi e quindi poter intervenire.

Traduzione: è possibile un intervento tempestivo per l'email inviata all'indirizzo sbagliato e non per un'intrusione a degli impianti di produzione.

O io non ho capito o la categorizzazione degli incidenti "significativi" potrebbe essere migliorata.

Gli uomini possono fare tutto (Gennaio 2026)

Durante le vacanze di Natale e Capodanno, un mio virgulto ha detto: "Mi piace cucinare e stirare".

Poi non è che abbia cucinato e stirato molto, ma è già un inizio. 

Quindi: buon 2026 a tutti.

PS: purtroppo i maschi possono anche ammazzare per una ragazza o una donna, come successo recentemente. Come se la scelta della ragazza o donna sia frutto di inganni di uno e non perché non si trova bene con l’altro. Come se, così facendo, miracolosamente la ragazza o donna possa cambiare idea. O, peggio, supponendo che manchi di cervello, si adegui a stare con quello rimasto vivo.

Articolo 2086 del Codice Civile, sicurezza delle informazioni e continuità

Non conoscevo l'articolo 2086 del Codice Civile. In particolare, il D. Lgs. 14 del 2019 ha aggiunto il secondo comma:

L'imprenditore [...]ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell'impresa, anche in funzione della rilevazione tempestiva della crisi dell'impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l'adozione e l'attuazione di uno degli strumenti previsti dall'ordinamento per il superamento della crisi e il recupero della continuità aziendale. 

Inutile segnalare cosa questo vuol dire per chi si occupa di sicurezza delle informazioni, qualità e continuità.

Sono venuto a conoscenza di ciò grazie a questo articolo: https://www.filodiritto.com/art-2086-cc-e-adeguati-assetti-organizzativi-governance-cybersicurezza-e-responsabilita-degli-amministratori.

Guida EDPS per la gestione del rischio per i sistemi IA

Andrea Solimeno di Selexi mi ha segnalato il documento "Guidance for Risk Management of Artificial Intelligence systems": https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-11-11-guidance-risk-management-artificial-intelligence-systems_en.

E' estremamente interessante perché mette insieme, in modo chiaro, i rischi "propri" dell'IA, ossia quelli di spiegabilità, di bias, di inaccuratezza, di raccolta dei dati, di riservatezza e privacy (ovviamente).

Ministero del lavoro: Linee guida per l'implementazione dell'IA

Il Ministero del lavoro e delle politiche sociali ha pubblicato le "Linee guida per l’implementazione dell’IA nel mondo del lavoro": https://trasparenza.lavoro.gov.it/archivio28_provvedimenti-amministrativi_0_414_725_1.html.

Il documento riporta molte cose utili per affrontare meglio l'introduzione e l'uso dell'IA. Nulla di troppo pratico, però. Sono elencati "strumenti", ma senza che ne siano forniti esempi o link. Mi sembra quindi che abbiano lavorato al documento soprattutto consulenti, nel bene e nel male. 

Fa riferimento, per la formazione, al Pact for skills della Commissione europea (https://pact-for-skills.ec.europa.eu/index_en), ma non ho capito bene come aderire. Forse dovrei avere più pazienza, ma il materiale che ho intravisto non mi ha convinto a dedicarci più tempo.

Però ne raccomando la lettura perché riassume alcune cose che è bene sapere bene: i principi guida, i rischi e come affrontarli (almeno secondo l'AI Act), gli accorgimenti. C'è anche altro. 

Il documento l'ho ricevuto direttamente in pdf, mentre io preferisco riportare la pagina web da dove scaricarlo. Cercando questa pagina web, ho trovato tante pagine relative alla consultazione per produrlo, in particolare quella di ParteciPA; peccato che nessuna riporti anche il link per la versione definitiva. Come se ci fosse una corsa alle bozze e non alla versione finale, in questo e in altri contesti.

SA 8000:2026 - Standard per il lavoro dignitoso

Andrea Berni, degli Idraulici della privacy, mi ha segnalato la pubblicazione della nuova versione della SA 8000 " Standard for decent work": https://sa-intl.org/resources/sa8000-standard/.

Riporto il commento di Andrea:

Il SAI ha emesso la nuova versione dello standard SA 8000, è lo standard più diffuso in materia di Corporate Social Responsibility. Nella nuova versione dello standard è stata introdotta, nei Core Criteria, la privacy come nuovo requisito; pertanto questo sistema di gestione, che copre i temi giuslavoristici e di salute e sicurezza, ora si estende anche alla protezione dei dati.

 

NIST SP 800-61 Rev. 3 su gestione degli incidenti e CSF 2.0

Chiara Ponti, degli Idraulici della privacy, mi ha segnalato la pubblicazione della NIST SP 800-61 Rev. 3 "Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile": https://csrc.nist.gov/pubs/sp/800/61/r3/final.

In sostanza, correla le misure del CSF 2.0 al processo di gestione degli incidenti. 

Tutto giusto e tutto bello, però mi sembra soprattutto un esercizio di stile. Lo dico perché la pubblicazione cerca di collegare tutte le misure del CSF alla gestione degli incidenti (si tratta di un tabellone da pagina 19 a pagina 43), forzando il lettore a leggere un sacco di roba inutile. Sarebbe stato più efficace, forse, concentrarsi sulle misure specifiche di gestione degli incidenti (e sarebbe forse diventata una guida più utile della troppo ponderosa ISO/IEC 27035).

 

Aggiornamento misure di base ACN per soggetti NIS

ACN ha pubblicato la Determinazione 379907/2025 del 19 dicembre 2025, che aggiorna quella sulle misure di sicurezza del 14 aprile.

Per scaricarla (grazie a Riccardo Lora per la segnalazione): https://www.acn.gov.it/portale/nis/la-normativa. 

Per sapere quali sono le modifiche, si può leggere la FAQ DSB.1 (grazie a Filippo Bianchini per la segnalazione): https://www.acn.gov.it/portale/faq/nis/misure-notifiche-base.

Non mi sembrano cambiamenti da urlo perché si tratta di piccoli raffinamenti. Però io dovrò aggiornare il VERA: anche se si tratta di poche cose, è meglio ridurre gli errori. 

Linee guida ACN sulla gestione degli incidenti

ACN ha pubblicato " NIS2, Linee Guida sul processo di gestione degli incidenti di sicurezza informatica. Indicazioni non vincolanti per l’attuazione delle misure di sicurezza di base": https://www.acn.gov.it/portale/w/nis2-linee-guida-sul-processo-di-gestione-degli-incidenti-di-sicurezza-informatica.

Ci sono cose interessanti, anche se non penso che possa veramente aiutare chi non ha esperienza in questo campo. 

Ho trovato interessanti, in mezzo a troppi elementi da fuffaware (politiche, riferimenti incrociati ad altre misure, ecc.):

- il punto 2.2 elenca esempi di eventi di sicurezza informatica;

-  il punto 2.3.4 elenca attività da prevedere per l'eradicazione.

Ringrazio gli Idraulici della privacy (e in particolare Giovanni Ciano) per la segnalazione.