Data protection

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

L’Autorità per la cybersicurezza nazionale (ACN) ha pubblicato la Determina 164179 del 14 aprile 2025, di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo.

L’art. 31 “Proporzionalità e gradualità degli obblighi” al comma 1 stabilisce che ai fini di cui agli articoli 23, 24, 25, 27, 28 e 29 l’Autorità nazionale competente NIS stabilisce obblighi proporzionati tenuto debitamente conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.

Mentre il secondo comma dispone che l’Autorità nazionale competente NIS stabilisce termini, modalità, specifiche e tempi graduali di implementazione degli obblighi di cui al comma 1, secondo le modalità di cui all’articolo 40, comma 5, anche differenziandoli in relazione:

a) alle categorie di rilevanza di cui all’articolo 30, comma 2, delle attività e dei servizi che i sistemi informativi e di rete supportano, svolgono o erogano;

b) al settore, al sotto settore e alla tipologia di soggetto, tenendo conto del grado di maturità iniziale nell’ambito della sicurezza informatica;

c) all’individuazione del soggetto quale essenziale o importante.

Il comma 5 dell’art. 40 “Attuazione”, prevede che con una o più determinazioni dell’Agenzia per la cybersicurezza nazionale, sentito il Tavolo per l’attuazione della disciplina NIS:

l) sono stabiliti obblighi proporzionati e graduali, a valenza multisettoriale e, ove opportuno, settoriale, di cui all’articolo 31, le modalità di applicazione dei medesimi obblighi per i soggetti che svolgono attività in più settori o sotto settori e per i soggetti di cui all’articolo 32, commi 1 e 2.

Mentre l’Art. 42 “Fase di prima applicazione” prevede al comma 1, lett. c) che in fase di prima applicazione sino al 31 dicembre 2025, il termine per l’adempimento degli obblighi di cui all’articolo 25[1] è fissato in nove mesi dalla ricezione della comunicazione di cui all’articolo 7, comma 3, lettere a) e b), e il termine per l’adempimento degli obblighi di cui agli articoli 23, 24 e 29 è fissato in diciotto mesi dalla medesima comunicazione. Ai fini di cui al primo periodo, l’Autorità nazionale competente NIS può stabilire modalità e specifiche di base per assicurare la conformità dei soggetti essenziali e dei soggetti importanti.

In estrema sintesi riportiamo di seguito quali sono le specifiche di base in materia di sicurezza informatica e notifica degli incidenti.

In materia di misure di sicurezza informatica è prevista l’adozione delle specifiche entro ottobre 2026. Si tratta di implementare 37 misure, declinate in 87 requisiti, per i soggetti importanti sviluppate nel contesto del Framework Nazionale per la Cybersecurity e la Data Protection[2].

Nell’ingegneria e nella programmazione del software, un framework è una raccolta di componenti software riutilizzabili che rendono più efficiente lo sviluppo di nuove applicazioni. Il riutilizzo dello sviluppo e della ricerca esistenti è un principio fondamentale in tutti i campi dell’ingegneria.

ll rischio legato al verificarsi di attacchi informatici che possano compromettere la sicurezza di informazioni o operazioni è una realtà con cui tutte le organizzazioni, sia pubbliche che private ed operanti nei più diversi settori produttivi, si confrontano ormai giornalmente. Il forte impulso allo spostamento online delle attività di business, causato da maggiori opportunità di sviluppo, piuttosto che da fattori contingenti come il perdurare dell’emergenza sanitaria provocata dal COVID, ha causato, indirettamente, anche un aumento del numero e della magnitudo degli attacchi informatici.

All’interno del panorama nazionale italiano il Framework Nazionale per la Cybersecurity e la Data Protection rappresenta un punto di riferimento adottato da realtà fortemente eterogenee (dalla grande P.A. alla piccola impresa) come strumento per l’organizzazione della propria strategia di difesa rispetto alle minacce cibernetiche. Le recenti evoluzioni normative (e.g. NIS e recente “perimetro nazionale di sicurezza cibernetica”), che in diversi settori hanno imposto vincoli legati alla gestione della sicurezza dei sistemi ICT, hanno ulteriormente messo al centro dell’attenzione il Framework. Qualunque sia la natura del framework di cybersecurity che un’organizzazione adotta, la stessa si confronterà inevitabilmente con la necessità di valutare quanto le misure di sicurezza attualmente implementate le permettano di soddisfare i requisiti stabiliti dall’obiettivo finale. Questa pratica è nota con il nome di cybersecurity assessment, e permette di valutare periodicamente il progresso nell’implementazione di un programma volto all’incremento del livello di sicurezza.

I soggetti essenziali, inoltre, dovranno adottare ulteriori 6 misure e 29 requisiti per un totale, di 43 misure e 116 requisiti.

In merito agli obblighi di notifica degli incidenti significativi sono state definite le fattispecie di incidenti che i soggetti dovranno notificare a partire da gennaio 2026. Anche in questo caso per i soggetti essenziali si tratta di indicazioni più stringenti.

Per quanto concerne, invece, le scadenze più immediate, si segnala che dal 12 aprile ACN ha comunicato ai soggetti interessati l’inserimento ne l’elenco dei soggetti NIS.

Entro il 31 maggio 2025 i soggetti NIS sono tenuti ad alcuni adempimenti, quali:

  • Designare il sostituto punto di contatto. Il sostituto punto di contatto è una persona fisica, distinta dal punto di contatto de l’organizzazione.
  • Fornire e aggiornare le informazioni previste dall’articolo 7[3], commi 4 e 5, del decreto NIS. In particolare devono essere segnalati:
    • i componenti degli organi di amministrazione e direttivi,
    • gli indirizzi IP (pubblici e statici)
    • i nomi di dominio, in uso o nella disponibilità del soggetto.

L’art. 7, ai commi 4 e 5 dispone che dal 15 aprile al 31 maggio di ogni anno successivo alla data di entrata in vigore del presente decreto, tramite la piattaforma digitale di cui al comma 1, i soggetti che hanno ricevuto la comunicazione di cui al comma 3, lettere a) e b), forniscono o aggiornano almeno le informazioni seguenti:

a) lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;

b) ove applicabile, l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del presente decreto;

c) i responsabili di cui all’articolo 38, comma 5[4], indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;

d) un sostituto del punto di contatto di cui al comma 1, lettera c), indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.

Mentre, i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network, forniscono all’Autorità nazionale competente NIS, secondo le modalità di cui al comma 4[5], anche:

a) l’indirizzo della sede principale e delle altre sedi del soggetto nell’Unione europea;

b) se non è stabilito nell’Unione europea, l’indirizzo della sede del suo rappresentante ai sensi dell’articolo 5, comma 3, unitamente ai dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.

[1] Art. 25 Obblighi in materia di notifica di incidente 1. I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che, ai sensi del comma 4, ha un impatto significativo sulla fornitura dei loro servizi, secondo le modalità e i termini di cui agli articoli 30, 31 e 32.  2. Le notifiche includono le informazioni che consentono al CSIRT Italia di  determinare un eventuale impatto transfrontaliero dell’incidente. 3. La notifica non espone il soggetto che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente.  4. Un incidente è considerato significativo se: a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli. 5. Ai fini della notifica di cui al comma 1, i soggetti interessati trasmettono al CSIRT Italia: a) senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero; b) senza ingiustificato ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione; c) su richiesta del CSIRT Italia, una relazione intermedia sui pertinenti aggiornamenti della situazione; d) una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda: 1) una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto; 2) il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente;
3) le misure di attenuazione adottate e in corso; 4) ove noto, l’impatto transfrontaliero dell’incidente; e) in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione mensile sui progressi e una relazione finale entro un mese dalla conclusione della gestione dell’incidente. 6. In deroga a quanto previsto dal comma 5, lettera b), un prestatore di servizi fiduciari, in relazione a incidenti significativi che abbiano un impatto sulla fornitura dei suoi servizi fiduciari, provvede alla notifica di cui alla medesima lettera, senza indebito ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo. 7. Fermo restando quanto previsto dall’articolo 15, comma 4, senza ingiustificato ritardo e ove possibile entro 24 ore dal ricevimento della pre-notifica di cui al comma 5, lettera a), il CSIRT Italia fornisce una risposta al soggetto notificante, comprensiva di un riscontro iniziale sull’incidente significativo e, su richiesta del soggetto, orientamenti o consulenza sull’attuazione di possibili misure tecniche di mitigazione. Su richiesta del soggetto notificante, il CSIRT Italia fornisce ulteriore supporto tecnico. 8. Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell’incidente significativo, all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 (Autorità di contrasto). 9. Sentito il CSIRT Italia, se ritenuto opportuno e qualora possibile, i soggetti essenziali e i soggetti importanti comunicano, senza ingiustificato ritardo, ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi. 10. I soggetti essenziali e i soggetti importanti, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, comunicano senza ingiustificato ritardo, ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia informatica significativa, misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia. Inoltre, sentito il CSIRT Italia, se ritenuto opportuno, i soggetti essenziali e i soggetti importanti comunicano ai medesimi destinatari anche la natura di tale minaccia informatica significativa. 11. L’Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorità nazionale competente NIS e di CSIRT Italia, anche sentendo, se del caso, le autorità competenti e gli CSIRT nazionali degli altri Stati membri interessati, può informare il pubblico riguardo all’incidente significativo per evitare ulteriori incidenti significativi o per gestire un incidente significativo in corso, o qualora ritenga che la divulgazione dell’incidente significativo sia altrimenti nell’interesse pubblico. 12. L’Agenzia per la cybersicurezza nazionale adotta mezzi tecnici e relative procedure per semplificare le notifiche di cui al presente articolo e le notifiche volontarie di cui all’articolo 26, informando i soggetti essenziali e i soggetti importanti. Note all’art. 25:- Per i riferimenti all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144 (Misure urgenti per il contrasto del terrorismo internazionale) pubblicato nella Gazzetta ufficiale del 27 luglio 2005, n. 173, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, si veda nelle note all’art. 14.

[2] Framework Nazionale per la Cybersecurity e la Data Protection – Edizione 2025 (v2.1). Il Framework Nazionale per la Cybersecurity e la Data Protection, nato nel 2015 da una collaborazione sinergica tra accademia, enti pubblici, e imprese private, e successivamente aggiornato nel 2019 a fronte dei requisiti introdotti da GDPR in merito alla protezione dei dati personali, fornisce uno strumento operativo per organizzare i processi di cybersecurity adatto alle organizzazioni pubbliche e private, di qualunque dimensione. Gli aggiornamenti introdotti nel 2024 dal NIST al Cybersecurity Framwork (CSF) con la versione 2.0 includono un core ridisegnato e adattato al crescente numero di contesti applicativi del CSF. Il Framework Nazionale per la Cybersecurity e la Data Protection, viene oggi proposto con in una nuova versione che allinea il suo core a quello del NIST CSF. Frutto di una collaborazione tra il Centro di Ricerca CIS di Sapienza Università di Roma ed il Laboratorio Nazionale di Cybersecurity del CINI, con il supporto dell’Agenzia per la Cybersicurezza Nazionale, questa nuova versione del Framework Nazionale per la Cybersecurity e la Data Protection permette alle organizzazioni di lavorare con uno strumento allineato alle best practice internazionali e coerente con le correnti normative di settore. Il Framework Nazionale per la Cybersecurity e la Data Protection è uno strumento di supporto alle organizzazioni e non può in alcun modo essere considerato uno strumento per il rispetto dei regolamenti vigenti. Ciononostante, la sua adozione può aiutare le organizzazioni nel definire un percorso volto alla cybersecurity e alla protezione dei dati coerente con i regolamenti stessi, riducendo i costi necessari e aumentando l’efficacia delle misure realizzate. Inoltre, per le organizzazioni che già implementano misure coerenti con le normative vigenti, il Framework può rappresentare un utile strumento per guidare le necessarie attività di continuo monitoraggio. Link: https://www.cybersecurityframework.it/

[3] Art. 7 Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti.

[4] Art. 38 Sanzioni amministrative Comma 5. Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza.

[5] Art. 38. Comma 4. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS può sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, ai sensi della normativa vigente, di sospendere temporaneamente un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale. Tale sospensione temporanea è applicata finchè il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7. Le disposizioni di cui al presente comma non si applicano alle pubbliche amministrazioni di cui all’allegato III, nonché ai soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

settore sanitario
Intelligenza Artificiale 2

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

governance-sicurezza-digitale
Una guida alla governance delle migliori pratiche per la sicurezza digitale e la relativa gestione del rischio, ad uso delle organizzazioni; pubblicata dalla Governance Institute of Australia.
11 Febbraio 2025
accesso-illegittimo-fse
Accesso illegittimo al portale FSE della Regione Molise. Sanzione da parte del garante.
1 Marzo 2025
informatica
Pubblicato il Piano Triennale per l’Informatica nella PA 2024-2026. I compiti del RTD e gli adempimenti a carico dell’ente.
19 Agosto 2024

Start typing and press Enter to search