Le misure di sicurezza di base della NIS2 italiana non sono un elenco inventato da ciascun consulente: sono definite dall'ACN con la Determinazione n. 379907/2025 e organizzate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP), allineato al NIST CSF. Conoscere la struttura del quadro serve a parlare la stessa lingua dell'Agenzia: nelle verifiche, nei documenti e nei report ai clienti.
Il quadro è gerarchico. In cima ci sono 6 funzioni, che raccontano il ciclo di vita della sicurezza:
| Codice | Funzione | Di cosa si occupa |
|---|---|---|
GV | Governo | Ruoli, politiche, responsabilità degli organi di amministrazione, fornitori |
ID | Identificazione | Censimento di sistemi, dati, dipendenze e rischi |
PR | Protezione | Controlli preventivi: accessi, autenticazione, dati, piattaforme |
DE | Rilevamento | Accorgersi degli eventi anomali e degli incidenti |
RS | Risposta | Gestione e comunicazione degli incidenti |
RC | Ripristino | Tornare operativi dopo un incidente |
Ogni funzione contiene categorie e sottocategorie con un codice ufficiale. Esempio di lettura: GV.PO-01 significa funzione Governo (GV), categoria Politica (PO), prima sottocategoria (01): la politica per la gestione del rischio di cybersecurity è stabilita, comunicata e applicata. Ogni sottocategoria si traduce poi in requisiti puntuali negli allegati ACN.
Per i soggetti NIS2 il quadro di base si articola in 43 sottocategorie: 37 si applicano ai soggetti importanti e 6 ulteriori si aggiungono per i soggetti essenziali (ad esempio su formazione del personale specialistico e comunicazioni di ripristino). I soggetti essenziali hanno quindi un perimetro più ampio, oltre a requisiti più stringenti su alcune sottocategorie comuni.
PR.AA-03 sull'autenticazione) contiene più requisiti operativi puntuali. Nei documenti verso i clienti conviene sempre citare il codice ufficiale: è quello che l'ACN si aspetta di ritrovare.Fonti normative: D.Lgs. 4 settembre 2024, n. 138 · Determinazione ACN n. 379907/2025 e relativi allegati (misure di sicurezza di base) · Determinazione ACN n. 127437/2026 (fornitori rilevanti) · Framework Nazionale per la Cybersecurity e la Data Protection · acn.gov.it. I contenuti sintetizzano il quadro a fini operativi: fanno fede i testi ufficiali.