Decreto NIS2 e Linee Guida ACN settembre 2025: perché chi ha scelto il framework completo ora è in vantaggio!

Ed è anche comprensibile che molti enti si stiano ora chiedendo come evitare di trovarsi nella stessa situazione tra 6 mesi.

La risposta non sta nel correre più veloce…

Ma nel scegliere una soluzione progettata per durare nel tempo, costruita su fondamenta solide fin dall’inizio.

Cosa prevede la direttiva NIS2 per la pubblica amministrazione: il problema nascosto delle 43 misure

Quando ACN ha pubblicato le prime indicazioni (nel mese di aprile di quest’anno), parlava di 43 misure minime di sicurezza ICT.

Sembrava gestibile.

Molti fornitori si sono precipitati a creare tool “conformi” basati su quelle (prime) indicazioni.

Il mercato si è così riempito velocemente di soluzioni che promettevano conformità immediata alla NIS2.

C’era solo un “piccolo” un problema…

Quelle 43 misure erano SOLO i codici principali (te lo spiego nel corso delle prossime righe con esempi concreti).

Nelle linee guida complete di settembre, infatti, ogni misura è stata espansa in multipli punti operativi.

La misura GV.RR-04, ad esempio, ha ben 5 punti distinti per i soggetti essenziali.

La DE.CM-01 ne ha invece 6.

Facciamo insieme due conti…

Sommandole tutte, abbiamo raggiunto più di 100 azioni concrete da implementare per la cybersicurezza all’interno della pubblica amministrazione.

Questo significa che chi si è fermato alle indicazioni di aprile, dovrà ora ristrutturare completamente il proprio approccio.

[Nota per dirigenti: questo significa che gli investimenti fatti su soluzioni affrettate rischiano di essere vanificati, con conseguente necessità di nuovi budget e risorse]

Non è stato un errore di ACN…

Ma il normale processo di affinamento normativo che avviene con ogni decreto di recepimento di una direttiva europea.

Il vero problema sta in chi, per battere la concorrenza sui tempi, ha scelto di interpretare le indicazioni preliminari come definitive.

Come adeguarsi alla direttiva NIS2: perché avevo già tutto pronto

La regola che seguo è semplice ma potente: costruisco sempre sul framework completo, mai sulle indicazioni minime.

Già a marzo avevo strutturato il sistema Scudoc sul framework nazionale completo con 108 misure (non sulle 43 indicate preliminarmente).

Questa scelta, che sei mesi fa sembrava eccessiva, si è rilevata oggi lungimirante.

Gli enti che stiamo seguendo dovranno semplicemente aggiornare qualche dettaglio, invece di ricominciare da zero.

E se ti stessi chiedendo come sia possibile, eccoti accontentato.

Ho “semplicemente”:

• studiato quello che stava succedendo negli USA con il NIST…
• analizzato l’evoluzione normativa europea…
• e osservato i pattern degli attacchi cyber rivolti agli enti pubblici italiani

Devi sapere infatti che il framework nazionale di cybersicurezza su cui si basano le linee guida NIS2 deriva direttamente dal NIST americano, uno standard ormai maturo e stabile.

E dentro di me immaginavo che ACN non si sarebbe inventata nulla di nuovo, ma avrebbe adattato best practice consolidate.

Ora, per gli enti che hanno già scelto Scudoc, tutto questo si traduce in una differenza sostanziale.

I Comuni inclusi all’interno del perimetro NIS2, ad esempio, hanno già tutto mappato e organizzato secondo le 6 funzioni (Govern, Identify, Protect, Detect, Respond, Recover).

Mentre le aziende sanitarie pubbliche hanno già la distinzione tra soggetti importanti ed essenziali integrata nativamente nel sistema.

Chi deve adottare NIS2 e quali sono i requisiti: cosa ho fatto di diverso

Mentre altri correvano per lanciare soluzioni “conformi” ad aprile, io ho fatto una scelta apparentemente controcorrente.

Ho investito tempo nell’analizzare il quadro completo.

Non solo le indicazioni ACN, ma anche le direttive europee, gli standard ISO 27001, il framework NIST, le implementazioni negli altri paesi EU.

Era chiaro che le 43 misure minime di sicurezza ICT per le PA fossero solo l’antipasto.

Ti riporto un esempio concreto, per farti capire la differenza.

All’interno delle nuove linee guida c’è grande enfasi sulla gestione post-cessazione del personale (il punto GV.RR-04.4 per i soggetti essenziali).

L’avevo già inserita nei template di Scudoc 4 mesi fa.

Il motivo è semplice: il 70% degli incidenti gravi deriva da account di ex-dipendenti mai disattivati.

Non serviva aspettare ACN per scoprirlo…

Bastava guardare i dati internazionali sulla cybersicurezza nella pubblica amministrazione.

[Nota per dirigenti: questo approccio proattivo riduce drasticamente il rischio di sanzioni e di data breach, proteggendo sia l’ente che la responsabilità personale dei vertici]

La piattaforma Scudoc include già tutti i documenti che secondo l’Appendice C delle nuove linee guida devono essere approvati dagli organi direttivi: dal piano di gestione vulnerabilità al piano di ripristino, dalla valutazione del rischio al piano formazione.

Chi (ri)parte ora, dovrà creare 11 documenti da zero.

Gli enti che stiamo seguendo, dovranno solo perfezionarli.

Misure minime di sicurezza AGID e decreto NIS2: i segnali d’allarme per chi deve scegliere

Se il tuo ente è ancora alla ricerca di una soluzione per il decreto NIS2, presta attenzione a questi campanelli d’allarme.

Primo segnale: la soluzione è stata lanciata subito dopo le indicazioni di aprile.

Probabilmente è stata costruita sul minimo normativo di quel momento: richiederà quasi certamente aggiornamenti sostanziali man mano che la normativa verrà consolidata.

Secondo segnale: il fornitore parla solo di “conformità” senza mai menzionare il framework sottostante.

La conformità è un obiettivo mobile: quello che è conforme oggi, potrebbe non esserlo domani.

Un framework solido fornisce una struttura che assorbe i cambiamenti normativi senza stravolgimenti.

Terzo segnale: promesse di conformità immediata con pochi click.

La NIS2 richiede un approccio sistemico alla sicurezza, non una checklist da spuntare.

È quindi fondamentale che la soluzione includa:

• la distinzione nativa tra soggetti importanti ed essenziali (come prevede la direttiva NIS2)
• la copertura di tutte le 6 funzioni del framework
• strumenti operativi concreti oltre alla documentazione (io fornisco 6 allegati Excel pronti all’uso)
• un piano di evoluzione chiaro per i prossimi aggiornamenti normativi

[Nota per dirigenti: diffidate da chi promette zero sforzo – la sicurezza richiede impegno, ma la soluzione giusta lo rende gestibile]

La gestione della cyber security nella pubblica amministrazione: cosa sto facendo adesso

Con l’uscita delle linee guida definitive, sto completando gli ultimi aggiornamenti per gli enti che stiamo seguendo.

Le modifiche sono minime, perché la struttura era già in gran parte corretta.

Sto inserendo una colonna nell’Allegato A per marcare esplicitamente i sistemi rilevanti NIS2.

Aggiungo un foglio nell’Allegato B per la gestione post-cessazione del personale.

Integro la sezione “Lessons Learned” nell’Allegato F per il miglioramento continuo, come richiesto dalla misura ID.IM-01.

Questi aggiornamenti saranno pronti entro i prossimi 15 giorni.

Chi ha già adottato ScuDoc, non dovrà rifare nulla.

I dati inseriti, le valutazioni fatte, i documenti prodotti…

Tutto resta valido e verrà solo arricchito.

Questo è possibile perché ho costruito un sistema basato su fondamenta solide fin dall’inizio, non su indicazioni provvisorie che possono cambiare ogni trimestre.

Chi è il responsabile della sicurezza informatica nelle pubbliche amministrazioni: il valore di anticipare

Scegliere una soluzione robusta per il decreto NIS2 non significa solo evitare problemi futuri.

Significa (anche) costruire una cultura della sicurezza in grado di andare oltre la compliance.

Gli enti che stiamo seguendo stanno scoprendo, giorno dopo giorno, benefici che vanno oltre la conformità normativa alle misure minime di sicurezza ICT per le pubbliche amministrazioni.

Il personale IT si sta abituando a ragionare in termini di sicurezza sistemica, non di adempimenti puntuali.

I processi migliorano perché sono progettati per la sicurezza, non rattoppati per la conformità.

E la documentazione diventa uno strumento di lavoro quotidiano, non un peso burocratico da aggiornare all’ultimo minuto.

[Nota per dirigenti: questo approccio riduce significativamente il carico di lavoro del vostro team IT, permettendo loro di concentrarsi su attività a valore aggiunto invece che su continui aggiustamenti normativi]

L’approccio paga anche in termini di risorse.

Invece di rincorrere ogni circolare con interventi d’emergenza, gli enti che hanno scelto ScuDoc possono pianificare con calma gli adeguamenti.

Il loro team può concentrarsi sul miglioramento continuo invece che sulla gestione delle crisi normative.

E’ vero che l’investimento iniziale potrebbe sembrare superiore alle soluzioni affrettate…

Ma se calcoli il costo totale nel tempo – includendo aggiornamenti, rifacimenti e il tempo del personale speso in continui adeguamenti – la mia soluzione risulta sempre più economica.

Quando entrerà in vigore la NIS2: cosa fare concretamente nei prossimi 30 giorni

Se il tuo ente deve ancora affrontare l’implementazione della direttiva NIS2, ecco un percorso pratico per i prossimi 30 giorni.

Prima settimana: scarica e studia le linee guida complete pubblicate da ACN il 4 settembre.

Non fermarti al riassunto, ma cerca di comprendere la struttura del framework e l’ampiezza reale dei requisiti.

Noterai che sono molto più articolate delle indicazioni di aprile.

Seconda settimana: confronta quello che trovi nelle linee guida con quello che offrono i vari fornitori.

Chiedi specificamente come hanno gestito il passaggio dalle indicazioni di aprile alle linee guida di settembre.

Io ho dovuto fare solo piccoli aggiustamenti. Altri stanno ristrutturando ristrutturare tutto.

Terza settimana: verifica su cosa è costruita l’architettura della soluzione.

Se è basata su framework internazionali consolidati (come ScuDco), assorbirà i cambiamenti futuri senza traumi.

Se invece è costruita sulle indicazioni del momento, dovrai rifare tutto ad ogni evoluzione normativa.

Quarta settimana: prima di prendere una decisione, fai questo test.

Immagina che tra sei mesi ACN pubblichi un nuovo aggiornamento alle linee guida.

La soluzione che stai valutando, ti preoccuperebbe?

Con ScuDoc, ti assicuro che potrai dormire sonni tranquilli.

Cybersecurity e pubblica amministrazione: guardare oltre la compliance immediata

La NIS2 non è l’ultima normativa sulla cybersicurezza che il tuo ente dovrà affrontare.

È solo l’inizio di un percorso che diventerà sempre più stringente e articolato.

Chi oggi sceglie soluzioni minime per “mettersi a posto” con il decreto NIS2 si troverà a dover reinvestire continuamente.

Chi invece investe in una piattaforma robusta e scalabile (come Scudoc) costruisce un asset che aumenterà di valore nel tempo.

Ed io continuerò a fare quello che ho sempre fatto…

Studiare i trend internazionali.

Seguire i gruppi di lavoro europei.

Anticipare le evoluzioni normative, dalla legge 90/2024 alle prossime direttive europee.

Non aspetto che ACN mi dica cosa fare: glielo suggerisco, attraverso le mie implementazioni.

Il tuo ente merita una soluzione che lo protegga (davvero).

Una soluzione che cresca con le tue esigenze, che si adatti ai cambiamenti normativi e che trasformi la sicurezza da costo a investimento.

[Nota finale per dirigenti: la domanda non è se potete permettervi una soluzione completa per le misure minime di sicurezza ICT. È se potete permettervi di non averla, considerando i rischi reputazionali, legali e operativi]

Per scoprire nel dettaglio come Scudoc aveva già implementato le nuove linee guida NIS2 prima che fossero pubblicate, qui trovi la presentazione completa del progetto.

Include l’analisi comparativa tra le indicazioni di aprile e le linee guida di settembre, con evidenza di tutto quello che avevo già previsto.

 

Se hai dubbi, puoi prenotare una telefonata di 30 minuti gratuita e senza impegno qui: Contatti

 

Vuoi rimanere aggiornato sulle notizie legate al tema della cybersicurezza per la PA?