NIS2 - Dicembre 2025: le indicazioni operative di ACN

Per molti mesi la NIS2 è stata percepita come una riforma ancora “in costruzione”. Il decreto di recepimento c’era, il perimetro si stava definendo, ma per molte organizzazioni mancava ancora un elemento decisivo: la traduzione operativa degli obblighi.

Dicembre 2025 è il mese in cui questo vuoto viene colmato.

In poche settimane, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato e aggiornato una serie di documenti che, nel loro insieme, trasformano la NIS2 da cornice normativa a sistema concretamente applicabile.

Dalle regole alle aspettative

Il primo segnale forte arriva con la determinazione sugli obblighi di base, che aggiorna e sostituisce la precedente di aprile. Qui ACN chiarisce quali sono le misure minime di sicurezza e le tipologie di incidenti che i soggetti NIS devono essere in grado di gestire e notificare.

Il messaggio implicito è molto netto: non basta dichiarare di essere “allineati alla NIS2”, occorre dimostrarlo su elementi specifici e verificabili.

Capire la norma per applicarla

Accanto alla determinazione, ACN ha aggiornato la Guida alla lettura delle specifiche di base. Non è un documento giuridico, ma è probabilmente uno dei più importanti per chi deve lavorare sull’adeguamento, in quanto chiarisce che cosa ACN si aspetta davvero quando parla di conformità.

È un passaggio fondamentale perché riduce l’ambiguità: meno spazio all’interpretazione soggettiva, più attenzione alla coerenza del percorso.

Gli incidenti non sono più un evento “eccezionale”

Un altro tassello chiave è la pubblicazione delle Linee guida sul processo di gestione degli incidenti di sicurezza informatica.

Qui emerge chiaramente la logica sottesa all'impianto della NIS2: l’incidente non è un evento raro da gestire in emergenza, ma una possibilità strutturale da governare con processi definiti.

Preparazione, rilevamento, risposta, ripristino, miglioramento: la gestione degli incidenti diventa una capacità organizzativa continua, non una reazione improvvisata.

Dicembre 2025 - Indicazioni concrete per scelte concrete

Dicembre 2025 segna un passaggio preciso nell’attuazione della NIS2.È il momento in cui, attraverso i documenti pubblicati e aggiornati, ACN chiarisce che il tempo delle letture astratte e delle interpretazioni dilatate sta lasciando spazio all’operatività.

Da questo punto in avanti, la NIS2 non è più soltanto un riferimento normativo, ma un quadro di aspettative concrete, rispetto alle quali le organizzazioni saranno chiamate a dimostrare coerenza nelle scelte, maturità nei processi e capacità di governo del rischio.