Misure di sicurezza NIS2: come il Regolamento UE 2024/2690 e le specifiche ACN definiscono gli obblighi di compliance

La disciplina NIS 2 si presenta, allo stato attuale dell’attuazione europea e nazionale, come un sistema normativo multilivello, nel quale fonti eurounitarie di diverso rango si intrecciano con il recepimento interno e con atti amministrativi a contenuto tecnico-regolatorio adottati dall’autorità nazionale competente.

In tale contesto, la corretta ricostruzione dei rapporti tra direttiva (UE) 2022/2555, Regolamento di esecuzione (UE) 2024/2690, d.lgs. 138/2024 e specifiche di base ACN assume rilievo per delimitare gli obblighi di gestione del rischio, le soglie di notificazione e, più in generale, il modello di compliance richiesto agli enti. Il contributo chiarisce natura, funzione e collocazione delle diverse fonti, evidenziando come, per i soggetti rientranti nel relativo perimetro applicativo, il Regolamento europeo costituisca il parametro armonizzato per la definizione delle misure tecniche e metodologiche di sicurezza e per la qualificazione dell’incidente significativo, mentre la disciplina nazionale conserva un ruolo sul piano organizzativo, documentale e procedurale.

Le misure di sicurezza NIS2 tra requisiti europei e attuazione nazionale

La chiave interpretativa corretta, in un’ottica giuridico-sistematica, è distinguere tra atti normativi eurounitari “di base” (direttive e regolamenti), atti eurounitari “di esecuzione” e atti nazionali di recepimento e attuazione amministrativa. La NIS2, in quanto direttiva, vincola lo Stato membro sul risultato, lasciando margini di scelta quanto a forma e mezzi del recepimento; al contempo, essa contiene clausole abilitative per l’adozione di atti di esecuzione e di atti delegati su profili specifici.

Nello specifico, l’art. 21, par. 5, NIS2 prevede l’adozione di atti di esecuzione della Commissione europea per stabilire requisiti tecnici e metodologici delle misure di gestione dei rischi per determinate categorie di soggetti (tra cui DNS, cloud, data center, servizi gestiti, piattaforme online), prevedendo la procedura d’esame (comitatologia). Accanto a ciò, l’art. 24 NIS 2 contempla un potere di atti delegati per integrare la direttiva in tema di obblighi di utilizzo di categorie certificate di prodotti/servizi TIC, mostrando la distinzione funzionale tra “delegated acts” (integrazione/modifica di elementi non essenziali) e “implementing acts” (condizioni uniformi di esecuzione)[1].

Sul piano nazionale, il decreto legislativo svolge la funzione di recepimento delle previsioni della direttiva, definendo l’architettura istituzionale italiana, la delimitazione soggettiva e settoriale, gli obblighi e il regime sanzionatorio; esso, tuttavia, è anche una disciplina quadro di attuazione che abilita ulteriori fonti secondarie. In particolare, l’attuazione è completata mediante decreti del Presidente del Consiglio dei ministri su aspetti specifici (art. 40), tra cui sono già stati adottati atti attuativi e su criteri di clausola di salvaguardia ex art. 3, commi 4 e 12 (vedi DPCM GU 10 febbraio 2025).

Parimenti, risultano atti di settore che danno attuazione all’art. 11 del decreto, designando la Presidenza del Consiglio dei ministri quale autorità di settore NIS in ambiti determinati (ad esempio gestione dei servizi TIC, spazio, pubbliche amministrazioni, società in house/controllo pubblico). Tale stratificazione nazionale è rilevante perché colloca le determinazioni tecniche dell’autorità competente in un contesto che, sebbene amministrativo, è funzionalmente normativo: esso produce obblighi generalizzati e verificabili verso una pluralità indeterminata di destinatari.

Reg. (UE) 2024/2690: oggetto, ambito e tecnica normativa

Il Regolamento, adottato il 17 ottobre 2024, dichiara nel suo art. 1 un duplice oggetto: fissare requisiti tecnici e metodologici delle misure di gestione dei rischi di cui all’art. 21, par. 2, NIS 2 e specificare ulteriormente i casi in cui un incidente è “significativo” ai sensi dell’art. 23, par. 3, NIS2, limitatamente ai “soggetti pertinenti” individuati dal regolamento stesso. L’ambito soggettivo è dunque funzionale alla ratio dell’atto: coprire il cuore dell’ecosistema digitale europeo, in cui la compromissione o indisponibilità di servizi infrastrutturali (DNS, TLD), di servizi cloud e di data center, di CDN, di managed services e managed security services, e di piattaforme online può produrre effetti a cascata transfrontalieri.

Il regolamento si caratterizza per la tecnica normativa adottata: da un lato, articoli che fissano criteri oggettivi di significatività di un incidente (artt. 3–14) con soglie quantitative; dall’altro, un allegato che organizza requisiti tecnici e metodologici per ciascuna categoria dell’art. 21, par. 2, NIS2, strutturandoli in un impianto altamente analitico.

Assai rilevante, dal punto di vista della proporzionalità e di accountability, che lo stesso regolamento incorpori una clausola di adattabilità metodologica. L’art. 2, oltre a ribadire la necessità di un livello di sicurezza adeguato ai rischi[2] e di considerare esposizione, dimensioni, probabilità e gravità degli incidenti, prevede espressamente che, ove l’allegato richieda l’applicazione di un requisito “se opportuno”, “se applicabile” o “nella misura del possibile”, il soggetto che ritenga non opportuna/applicabile/possibile l’applicazione debba documentare in modo comprensibile le ragioni della decisione.

Con riferimenti ai criteri per la classificazione di un incidente come significativo, l’art. 3, par. 1, fornisce evidenza di una maggiore “oggettivazione” di tali criteri rispetto alle tassonomie nazionali basate su categorie di evento. Si tratta di una scelta che riduce l’area grigia interpretativa: l’incidente “significativo” è perimetrato mediante soglie e condizioni verificabili, includendo anche la disciplina degli “incidenti ricorrenti” (art. 4) e l’esclusione di interruzioni programmate e manutenzioni pianificate.

Confronto giuridico e tecnico tra specifiche di base ACN e Reg. (UE) 2024/2690

Il confronto deve essere condotto lungo assi distinti, perché il rischio di equivoco deriva dal sovrapporre “tecnicità” e “gerarchia”, “ampiezza” e “prescrittività”.

Sotto il profilo della natura giuridica e della collocazione gerarchica, il Reg. (UE) 2024/2690 è un regolamento di esecuzione adottato per assicurare condizioni uniformi di esecuzione di obblighi NIS2, e in quanto regolamento europeo esso è direttamente applicabile. La sua vincolatività non è mediata dal diritto interno: esso entra nel patrimonio normativo applicabile agli operatori dei settori indicati e l’Autorità nazionale è tenuta a farne applicazione nel proprio enforcement, anche come criterio tecnico-giuridico per verificare l’adempimento degli obblighi di gestione del rischio e di segnalazione.

Le “specifiche di base” nazionali, invece, sono state adottate mediante determinazione del direttore generale dell’Agenzia per la cybersicurezza nazionale in attuazione di una base legale nazionale (artt. 31, commi 1 e 2, e 40, comma 5, lett. l, del decreto NIS, richiamati testualmente nella Determinazione n. 379907/2025) sono dotate di efficacia vincolante in base alla “delega” contenuta nel decreto con cui si attribuisce all’autorità il potere di “stabilire” obblighi proporzionati e di fissare, in prima applicazione, modalità e specifiche di base[3].

Passando invece ai contenuti, dal confronto tra l’allegato del Regolamento e le specifiche di base ACN per i soggetti NIS essenziali emerge che i due testi non si pongono sullo stesso piano redazionale né sul medesimo livello di dettaglio. Il Regolamento costruisce un catalogo tecnico-metodologico unitario, articolato in tredici famiglie di controlli, con un livello di prescrittività molto elevato soprattutto sulle modalità di attuazione delle misure; le specifiche di base, invece, traducono tali esigenze in una griglia di requisiti minimi operativi, fortemente orientati alla governance, alla documentazione e alla dimostrabilità organizzativa dell’adempimento.

Sotto il profilo della governance e della compliance interna, la normativa nazionale appare per alcuni aspetti più penetrante. Essa insiste in modo molto marcato sull’adozione formale di politiche per singolo ambito, sull’approvazione da parte degli organi di amministrazione e direttivi, sulla tenuta di registri aggiornati, sulla formalizzazione di piani dedicati e sulla tracciabilità del riesame. Questa impostazione è coerente con il Regolamento, che già pretende una policy di sicurezza dei sistemi informativi e di rete, l’indicazione dei ruoli, degli indicatori di monitoraggio e la revisione periodica con documentazione dell’esito, ma il documento nazionale accentua la dimensione probatoria e organizzativa dell’obbligo, trasformando molti principi in deliverable documentali verificabili.

Sul piano strettamente tecnico la profondità del Regolamento è nettamente superiore in diversi ambiti (ciclo di vita dello sviluppo sicuro, gestione della configurazione, change management, ecc.), mentre le specifiche di base – probabilmente proprio per la loro stessa natura di essere “di base” – coprono questi stessi domini spesso per nuclei essenziali. Ne deriva che il testo nazionale è mediamente meno profondo e meno analitico del Regolamento, il quale richiede un livello di maturità tecnica più sofisticato.

La stessa asimmetria si coglie nella continuità operativa e nella resilienza. A livello nazionale sono richiesti piani distinti di continuità operativa, disaster recovery e gestione delle crisi, con approvazione formale e riesame periodico; a livello europeo è specificato con maggior dettaglio il contenuto di tali adempimenti, includendo obiettivi di ripristino, completezza e correttezza dei backup ecc. Anche qui, dunque, il documento nazionale è più “amministrativo” nella struttura dell’obbligo, mentre il regolamento è più “tecnico” nella sostanza del presidio.

Nell’ambito della supply chain il quadro è più equilibrato, ma con una differenza di accento. Il Regolamento si focalizza di più sulla sicurezza della catena di approvvigionamento, richiedendo criteri di selezione dei fornitori, clausole contrattuali specifiche su notifiche, audit, vulnerabilità, subappalto e cessazione del rapporto, oltre a processi di acquisizione sicura di servizi e prodotti TIC lungo l’intero ciclo di vita. ACN, da parte sua, appare particolarmente attenta all’integrazione della sicurezza nei procedimenti di approvvigionamento, anche pubblicistici, al coinvolgimento dell’organizzazione per la sicurezza informatica già nella fase di definizione della fornitura, all’inventario dei fornitori critici e all’inserimento dei requisiti di sicurezza nella documentazione di gara e nei contratti.

Significativo sul punto, è l’approccio che un ente, soggetto ad entrambe le normative, dovrebbe avere: dato che il Regolamento è direttamente applicabile in tutti i suoi elementi, dovrebbe essere considerato come obiettivo di compliance: le specifiche di base in questo senso vanno considerate come un passaggio intermedio per raggiungerlo. Ne discende che, una volta implementate le misure di sicurezza entro ottobre 2026, il percorso di adeguamento dovrà tendere verso le misure del Regolamento.

L’incidente significativo e l’incidente significativo “di base”

Un punto di frizione potenziale riguarda la qualificazione di “incidente significativo”. Le specifiche di base ACN definiscono per i soggetti importanti tre categorie di incidenti significativi “di base” (IS-1 perdita di riservatezza verso l’esterno; IS-2 perdita di integrità con impatto verso l’esterno; IS-3 violazione dei livelli di servizio attesi, basata sugli SL definiti nella misura DE.CM-01). Per i soggetti essenziali, la tassonomia include le medesime categorie e aggiunge IS-4, relativo all’evidenza di accesso non autorizzato o con abuso dei privilegi a dati digitali.

Le categorie individuate da ACN costruiscono una soglia di emersione dell’incidente significativo particolarmente anticipata e, in termini applicativi, assai bassa: tale soglia non richiede, almeno dal dato letterale, una soglia minima quantitativa di soggetti coinvolti o valutazioni circa l’impatto economico dell’incidente: ne deriva che anche la compromissione riferibile a un solo utente, a un solo dato o a una sola posizione individuale potrebbe integrare l’obbligo di segnalazione, purché ricada nella categoria descritta.

In tal senso la disciplina nazionale introdotta nelle specifiche di base, eliminando i requisiti quantitativi e non offrendo però criteri di valutazione dell’incidente (come, in verità, sembrerebbe richiesto anche dal testo del decreto legislativo NIS2) appare molto più prudenziale e anticipatoria, trasformando in incidente significativo notificabile anche eventi di estensione estremamente circoscritta, senza subordinare la rilevanza dell’evento a parametri dimensionali come invece avviene, in più punti, nel Regolamento.

Nello specifico, infatti, il Regolamento tipizza la dimensione quantitativa e l’impatto, includendo soglie temporali di indisponibilità e criteri economici e di utenza, oltre a definire regole su incidenti ricorrenti e su metriche di calcolo: per i soggetti pertinenti, si considera significativo un incidente per ragioni economiche (perdita finanziaria diretta superiore a 500.000 euro o al 5% del fatturato), per esfiltrazione di segreti commerciali, per eventi con conseguenze su salute o vita, per accesso non autorizzato sospettato malevolo in grado di causare gravi perturbazioni operative, oltre che in base a criteri specifici per tipologia di servizio (artt. 5–14).

A parità di “evento”, quindi, la qualificazione di significatività può divergere.

Entrando nel dettaglio, il problema (in teoria) non si pone in tutte le ipotesi in cui nel sistema delineato dal Regolamento, la perdita di riservatezza o la compromissione dell’integrità dei dati non presuppone necessariamente, ai fini della significatività dell’incidente, un impatto diffuso su una pluralità di utenti. Ciò accade, in particolare, in tutte le ipotesi nelle quali il legislatore unionale descrive la compromissione in termini qualitativi, senza ancorarla a soglie percentuali o numeriche minime, come avviene in presenza di un’azione sospettata malevola.

Diversamente, quando il Regolamento collega la compromissione della riservatezza, dell’integrità o dell’autenticità a un impatto su oltre il 5% degli utenti dell’Unione, o su oltre un milione di utenti, ovvero, per i servizi fiduciari, su oltre lo 0,1% degli utenti o delle relying parties o su oltre 100 soggetti, la significatività non è più compatibile con un pregiudizio riferibile a una sola persona, ma richiede, per definizione normativa, una propagazione dell’effetto lesivo oltre una soglia quantitativa determinata.

Ora, la compresenza, nel sistema NIS 2, della tassonomia nazionale ACN e dei criteri di significatività dettati dal Regolamento impone, soprattutto per i soggetti rientranti nell’ambito di applicazione di quest’ultimo, una lettura coordinata che eviti tanto la disapplicazione integrale della disciplina interna quanto l’attribuzione a quest’ultima di un effetto sostanzialmente derogatorio rispetto alla fonte unionale.

Il giurista attento avrà già compreso che ci si trovi di fronte ad un’antinomia, ossia un conflitto tra norme che dovrebbe essere risolto disapplicando il diritto interno a favore di quello unionale, in virtù del primato del diritto europeo e di gerarchia delle fonti.

Tale approccio potrebbe però risultare semplicistico alla luce del fatto che, in primo luogo, potrebbe esporre l’ente a un contrasto con l’Autorità e, inoltre, trascurare il disposto dell’art. 5 della direttiva NIS 2, il quale garantisce la facoltà per gli Stati membri “di adottare o mantenere disposizioni che garantiscano un livello più elevato di cibersicurezza, a condizione che tali disposizioni siano coerenti con gli obblighi degli Stati membri stabiliti dal diritto dell’Unione”. Sul punto, è possibile fornire due interpretazioni: o si considera la soglia interna come coerente con il diritto unionale in quanto volta ad estendere l’obbligo di notifica, oppure la si considera contraria alla ratio del Regolamento[4].

In tale prospettiva, il fatto che ACN qualifichi espressamente le categorie IS-1, IS-2, IS-3 e IS-4 come “incidenti significativi di base” deve essere inteso nel senso che, sul piano dell’ordinamento nazionale e del circuito procedurale ACN-CSIRT, tali fattispecie sono già di per sé idonee a far emergere l’obbligo di segnalazione e notifica; ciò non esclude, tuttavia, che, per i soggetti disciplinati anche dal Regolamento la nozione di incidente significativo in senso armonizzato resti governata dai criteri unionali, che il Regolamento stesso presenta come ulteriori ed “esaustivi”[5] per il proprio perimetro soggettivo.

Ne consegue che il coordinamento preferibile è quello bifasico: le categorie IS operano come soglia nazionale anticipata di emersione dell’evento e di attivazione cautelativa del procedimento, mentre la soglia unionale opera come parametro di significatività certa in senso pieno; pertanto, ove un incidente ricada in una delle categorie IS ma resti sotto la soglia unionale, la soluzione più prudente non è omettere la notifica, bensì procedere comunque alla comunicazione ad ACN, chiarendo che essa è effettuata in ossequio alla tassonomia nazionale e in chiave conservativa, ferma restando la distinta valutazione della significatività unionale dell’evento[6].

Una simile impostazione consente di conservare entrambe le discipline, attribuendo alla fonte europea la definizione sostanziale e armonizzata della significatività e alla disciplina nazionale una funzione di presidio anticipato e di supporto nella gestione dell’incident in coerenza con le funzioni dello CSIRT Italia. Ne consegue che l’evento sottosoglia unionale non dovrà essere trattato come irrilevante, ma come incidente comunque notificabile sul piano interno anche ai fini della richiesta di intervento del CSIRT Italia a norma dell’art. 24 del Decreto.

È, invece, possibile una lettura coordinata delle normative con riguardo alle ipotesi di indisponibilità di un servizio, che diventa significativa, ai sensi del Regolamento, superata una certa soglia temporale o in caso di impatto su un numero elevato di utenti, mentre la tassonomia nazionale, fondata su “violazione degli SL”, richiede prima la definizione e documentazione dei livelli attesi, con potenziale maggiore rimessione all’autonomia organizzativa della soglia di significatività.

Ne deriva che la categoria IS-3 può rivelarsi, a seconda dei casi, tanto più estesa quanto più restrittiva rispetto alla disciplina unionale: più estesa, ove il soggetto abbia definito SL particolarmente rigorosi e granulari, così facendo emergere come notificabili anche disservizi che non raggiungono ancora la soglia europea; più restrittiva, ove invece gli SL interni siano formulati in termini più generici o meno esigenti rispetto ai criteri fissati dal regolamento.

Proprio per tale ragione, per i soggetti ricadenti nel perimetro applicativo del Regolamento, l’IS-3 non può essere intesa come criterio sostanziale alternativo di significatività dell’incidente, ma soltanto come meccanismo nazionale di rilevazione dell’evento, destinato a cedere ogniqualvolta la sua applicazione conduca a risultati incompatibili con la soglia armonizzata di indisponibilità dettata dal diritto dell’Unione: in altre parole, oltre la soglia unionale l’incidente è sicuramente significativo; al di sotto, non è detto che sia sicuramente non significativo per il sistema nazionale di notifica verso ACN, perché la disciplina italiana opera anche con una logica prudenziale e di emersione anticipata degli eventi.

Conclusioni

In conclusione, la disciplina NIS2, così come oggi si presenta nell’interazione tra direttiva, Regolamento, decreto di recepimento e specifiche di base ACN richiede un’interpretazione sistematica e coordinata, capace di distinguere il piano gerarchico, quello funzionale e quello operativo degli obblighi. Per i soggetti rientranti nel perimetro del Regolamento (UE) 2024/2690, quest’ultimo costituisce il parametro unionale direttamente applicabile per la definizione armonizzata delle misure di gestione del rischio e della significatività degli incidenti; al tempo stesso, le specifiche di base ACN conservano una funzione normativa rilevante sul versante organizzativo, documentale e procedurale, e possono essere lette, nei limiti della coerenza con il diritto dell’Unione, come strumenti di emersione anticipata, presidio prudenziale e rafforzamento dell’accountability.

Ne deriva che l’ente dovrebbe impostare la compliance secondo un modello integrato: il Regolamento quale soglia armonizzata e sostanziale minima inderogabile per i soggetti pertinenti, e la disciplina nazionale quale livello interno di attuazione, presidio e cautela, particolarmente rilevante nei rapporti con l’Autorità nazionale competente. In questa prospettiva, la soluzione più difendibile è dunque quella che assume il diritto unionale come criterio ultimo di qualificazione dell’obbligo, valorizzando al contempo la disciplina nazionale come presidio organizzativo e prudenziale.

Riferimenti primari

Trattato sul funzionamento dell’Unione europea (TFUE);

Direttiva (UE) 2022/2555;

Regolamento di esecuzione (UE) 2024/2690;

D.lgs. 4 settembre 2024, n. 138;

Determinazione ACN n. 164179/2025;

Determinazione ACN n. 379887/2025;

Determinazione ACN n. 379907/2025

Note

[1] Questa distinzione, a livello di diritto primario, deriva dagli artt. 290 e 291 TFUE: l’art. 290 consente di delegare alla Commissione il potere di adottare atti non legislativi di portata generale che integrano o modificano elementi non essenziali dell’atto legislativo, mentre l’art. 291 disciplina gli atti di esecuzione quando sono necessarie condizioni uniformi di esecuzione degli atti giuridicamente vincolanti dell’Unione.

Nel caso del Reg. (UE) 2024/2690, la matrice è precisamente quella dell’art. 291 TFUE, poiché l’atto stabilisce requisiti uniformi per l’attuazione di obblighi NIS2 su un sottoinsieme di operatori transfrontalieri e ad alta concentrazione di rischi sistemici.

[2] In riferimento all’analisi del rischio vale anche qui quanto detto a proposito della normativa italiana, in cui la stessa non serve tanto a determinare le misure di sicurezza, già individuate dal legislatore, quanto a determinarne la portata. Per approfondire si veda quanto scritto in precedenza sul punto: https://www.ictsecuritymagazine.com/articoli/adempimenti-nis2/

[3] Esse si atteggiano, sul piano del diritto amministrativo, come atti generali a contenuto tecnico, idonei a incidere su posizioni giuridiche di una pluralità indeterminata di destinatari.

[4] Tale interpretazione sarebbe avallata inoltre dal fatto che l’art. 24, comma 4, del Decreto, prescrive, riproducendo quanto disposto da NIS2, che l’incidente sia considerato significativo se: a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli. Ne consegue che un’interpretazione volta ad estendere l’ambito di notifica sarebbe contra legem.

[5] l’esaustività emerge dal considerando 30 del Regolamento e riguarda i casi in cui un incidente è considerato significativo ai fini dell’art. 23, par. 3, della direttiva NIS 2, per i soggetti compresi nel suo perimetro. Per completezza si riporta il testo del considerando: “Il presente regolamento deve specificare ulteriormente i casi in cui un incidente dovrebbe essere considerato significativo ai fini dell’articolo 23, paragrafo 3, della direttiva (UE) 2022/2555. I criteri dovrebbero essere tali da consentire ai soggetti pertinenti di valutare se un incidente è significativo, al fine di notificarlo conformemente alla suddetta direttiva.

I criteri fissati nel presente regolamento dovrebbero inoltre essere considerati esaustivi, fatto salvo l’articolo 5 della direttiva (UE) 2022/2555. Il presente regolamento specifica i casi in cui un incidente dovrebbe essere considerato significativo stabilendo casi orizzontali e specifici per tipo di soggetto”.

[6] Un’ulteriore interpretazione, rafforzativa della prevalenza della norma unionale, focalizza l’attenzione anche sulla specialità del Regolamento. Lo stesso, oltre che gerarchicamente superiore, è destinato ad una specifica platea di soggetti, potendo ritenersi che. atteso il principio di prevalenza della legge speciale sulla generale, i soggetti su cui gravano gli obblighi del Regolamento devono intendersi esonerati dal dover svolgere delle comunicazioni in caso di incidente al di sotto della soglia unionale