Il 29 aprile c'è stato l'incontro "NIS2, dalle misure di base alla categorizzazione: guida ai prossimi passi del percorso di adeguamento", organizzato dal Clusit e con Maria Antonia Rizzi, Capo Servizio Regolazione dell'Agenzia per la Cybersicurezza Nazionale (ACN).
Marco Gemo mi ha fatto un ottimo riassunto. Io riporto i punti a mio parere più caldi e mi astengo quanto possibile da fare commenti.
Primo argomento: categorizzazione.
Sappiamo che la determina del 9 aprile 2026 ha introdotto il modello di categorizzazione. Il modello identifica 10 macroaree tecniche. Per semplificare l'adempimento, l'ACN ha suggerito categorie di rilevanza preassegnate, ma il soggetto ha la facoltà di modificarle basandosi sulla propria Business Impact Analysis (BIA). È fondamentale menzionare l'introduzione della "macroarea residua", pensata per accogliere servizi specifici non mappati nelle categorie standard. Qualora il soggetto decida di declassare o elevare una categoria, deve conservare internamente i razionali logici della scelta per eventuali ispezioni future.
I livelli di classificazione sono 4. Le specifiche tecniche di base (quelle con scadenza ottobre 2026) rappresentano quelle per i livelli L1 (Minimo) e L2 (Basso).
Per le misure per i livelli Medio (L3) e Alto (L4), dette anche "a lungo termine", l'ACN pubblicherà il progetto di norma tecnica entro fine ottobre 2026, permettendo alle aziende di visionare i requisiti in tempo per l'allocazione dei budget 2027.
Secondo argomento: notifica degli incidenti
Ha ribadito l'importanza della notifica degli incidenti (che vanno notificati entro le 24 ore dalla rilevazione, non dall'occorrenza!). L'importante non è l'accuratezza immediata della qualificazione del fatto, ma la tempestività della segnalazione una volta che l'evento è riconducibile a una perdita di integrità, disponibilità o riservatezza.
Per quanto riguarda i parametri di soglia per categorizzare gli incidenti (chiamati anche questi "SLA"), non devono coincidere necessariamente con gli SLA contrattuali o con i parametri di business continuity (RTO e RPO). Questi richiesti per la NIS devono permettere di stabilire quando una violazione è un incidente "rilevante" ai fini NIS. Formalizzare queste soglie internamente è l'unico modo per giustificare l'assenza di una notifica in sede di audit.
Terzo argomento: mappatura dei fornitori rilevanti
[Ricordo che, per la determina del 13 aprile 2026, i fornitori da mappare sono di due tipi: quelli informatici (punti 8 e 9 dell'Allegato I del decreto NIS) e quelli non fungibili].
Un fornitore è "rilevante" in ambito informatico se la sua assenza impedisce l'erogazione del servizio NIS. In caso di acquisto tramite rivenditore, se la manutenzione e il supporto sono operati direttamente dal produttore, il soggetto deve listare il produttore.
Un fornitore può essere escluso se esiste fungibilità concreta (linee duplicate e attive) o astratta (clausole contrattuali che garantiscono il risultato tramite terzi).
La mappatura potrebbe rilevare impese (per esempio fornitori di servizi SOC) che avrebbero dovuto registrarsi come soggetti NIS. Si raccomanda quindi di registrarsi, se ricorrono le condizioni, ed evitare sanzioni. La mappatura potrebbe anche rilevare imprese che correttamente non dovevano registrarsi come soggetti NIS, ma potrebbero risultare "fornitori sistemici" ed essere attirati nel perimetro NIS 2 dall'ACN ai sensi dell'Articolo 3, comma 13, qualora gestiscano un numero critico di soggetti NIS.
Quarto argomento: audit e certificazioni
Attualmente non esistono soggetti terzi autorizzati da ACN per audit o certificazioni NIS 2. Quindi diffidare di chi spaccia come tale.
L'Agenzia sta valutando la creazione di schemi per auditor qualificati (modello spagnolo), ma questo percorso non si concluderà prima della fine del 2027. La vigilanza preventiva inizierà solo dopo l'emanazione del DPCM sui poteri di esecuzione.
