HomeGuide › Misure ACN NIS2

Le misure di sicurezza ACN per la NIS2: come è fatto il quadro e da dove cominciare

Aggiornato al 7 luglio 2026 · a cura di NIS2Suite · informazione operativa, non consulenza legale

Le misure di sicurezza di base della NIS2 italiana non sono un elenco inventato da ciascun consulente: sono definite dall'ACN con la Determinazione n. 379907/2025 e organizzate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP), allineato al NIST CSF. Conoscere la struttura del quadro serve a parlare la stessa lingua dell'Agenzia: nelle verifiche, nei documenti e nei report ai clienti.

La struttura: 6 funzioni, categorie, sottocategorie

Il quadro è gerarchico. In cima ci sono 6 funzioni, che raccontano il ciclo di vita della sicurezza:

CodiceFunzioneDi cosa si occupa
GVGovernoRuoli, politiche, responsabilità degli organi di amministrazione, fornitori
IDIdentificazioneCensimento di sistemi, dati, dipendenze e rischi
PRProtezioneControlli preventivi: accessi, autenticazione, dati, piattaforme
DERilevamentoAccorgersi degli eventi anomali e degli incidenti
RSRispostaGestione e comunicazione degli incidenti
RCRipristinoTornare operativi dopo un incidente

Ogni funzione contiene categorie e sottocategorie con un codice ufficiale. Esempio di lettura: GV.PO-01 significa funzione Governo (GV), categoria Politica (PO), prima sottocategoria (01): la politica per la gestione del rischio di cybersecurity è stabilita, comunicata e applicata. Ogni sottocategoria si traduce poi in requisiti puntuali negli allegati ACN.

Quante sono e per chi

Per i soggetti NIS2 il quadro di base si articola in 43 sottocategorie: 37 si applicano ai soggetti importanti e 6 ulteriori si aggiungono per i soggetti essenziali (ad esempio su formazione del personale specialistico e comunicazioni di ripristino). I soggetti essenziali hanno quindi un perimetro più ampio, oltre a requisiti più stringenti su alcune sottocategorie comuni.

⚠️ Ricordarsi la differenza tra sottocategorie e requisiti: una sottocategoria (es. PR.AA-03 sull'autenticazione) contiene più requisiti operativi puntuali. Nei documenti verso i clienti conviene sempre citare il codice ufficiale: è quello che l'ACN si aspetta di ritrovare.

Le aree dove le PMI cadono più spesso

Un metodo pratico in 4 passi

  1. Perimetro: tipologia del soggetto (essenziale o importante), settore, sistemi in ambito. Determina quali sottocategorie si applicano.
  2. Gap assessment: per ogni sottocategoria, stato attuale (conforme, parziale, non conforme, non applicabile), con note e priorità.
  3. Piano di adeguamento: azioni ordinate per priorità e scadenza, con responsabili. Il termine di legge per le misure di base è il 31 ottobre 2026.
  4. Evidenze: per ogni misura attuata, il documento o la prova che la sostiene, con data e fonte. È il materiale che difende il lavoro davanti a un'ispezione.
Fai questo lavoro per più di un'azienda? NIS2Suite ha l'assessment già impostato sulle 43 sottocategorie con i codici ufficiali FNCDP, il registro evidenze collegato alle misure e i report white-label. Quando il quadro ACN si aggiorna, la piattaforma segnala quali valutazioni rivedere, cliente per cliente. Scopri la piattaforma →

Fonti normative: D.Lgs. 4 settembre 2024, n. 138 · Determinazione ACN n. 379907/2025 e relativi allegati (misure di sicurezza di base) · Determinazione ACN n. 127437/2026 (fornitori rilevanti) · Framework Nazionale per la Cybersecurity e la Data Protection · acn.gov.it. I contenuti sintetizzano il quadro a fini operativi: fanno fede i testi ufficiali.