Supporto dedicato agli enti FUORI perimetro NIS2 – Legge 90/2024

Sei fuori dal perimetro NIS2 e Legge 90/2024? Hai comunque bisogno di un piano.

Se il tuo ente non rientra negli obblighi NIS2 né nella Legge 90/2024, potresti pensare di non doverti preoccupare della cybersecurity.

Ma il rischio di un attacco — e le conseguenze in caso di incidente — sono esattamente le stesse.

La NIS2 (D.Lgs. 138/2024) e la Legge 90/2024 si applicano solo ad alcuni soggetti: i comuni sopra i 100.000 abitanti, le ASL di grandi dimensioni, i soggetti nel Perimetro di Sicurezza Nazionale Cibernetica, e altre categorie specifiche.

Se sei un comune sotto i 100.000 abitanti, un ordine professionale, un gestore di servizi pubblici o una società a controllo pubblico di dimensioni contenute, probabilmente non rientri in questi obblighi.

Ma questo non significa che sei al sicuro. Significa solo che nessuno ti obbliga a prepararti.

Se domani subisci un attacco ransomware, le conseguenze le paghi comunque.

La metodologia di riferimento: le Linee Guida CAD

Le Linee Guida CAD sulla gestione degli incidenti, pubblicate da ACN a ottobre 2025, forniscono la metodologia di riferimento per tutti i soggetti dell’articolo 2, comma 2 del Codice dell’Amministrazione Digitale:

• Pubbliche amministrazioni (art. 1, comma 2, D.Lgs. 165/2001) — tutti i comuni, di qualsiasi dimensione, gli ordini professionali, le ASL, le autorità portuali, le autorità indipendenti
• Gestori di servizi pubblici — comprese le società quotate che erogano servizi di pubblico interesse
• Società a controllo pubblico (D.Lgs. 175/2016) — le in-house e le partecipate

Queste Linee Guida non prevedono sanzioni dirette per la mancata adozione. Ma se domani hai un incidente e non hai un piano documentato, il Garante Privacy può sanzionarti tramite il GDPR per misure di sicurezza inadeguate.

Le conseguenze: cosa rischi davvero in caso di incidente

Facciamo chiarezza su cosa succede quando un ente subisce un attacco informatico senza avere documentazione e procedure adeguate.

Sanzioni GDPR (il precedente esiste già)

Il Garante Privacy ha già dimostrato che le misure minime AgID del 2017 non sono più sufficienti. In un provvedimento del 2025, un ordine professionale è stato sanzionato per circa 30.000 € dopo un attacco ransomware, perché non aveva implementato l’autenticazione multifattore (MFA).

Il Garante ha ritenuto che quelle misure, emanate nel 2015, non tengono conto dell’evoluzione del rischio cibernetico.

La chiave è questa: la sanzione non è arrivata per violazione delle Linee Guida CAD, ma per violazione del GDPR (articoli 5 e 32) in occasione di un data breach.

Se gestisci dati personali — e tutti gli enti pubblici lo fanno — sei esposto a questo rischio.

Responsabilità dirigenziale

Se domani il tuo ente subisce un attacco ransomware e tu non hai un piano di gestione incidenti documentato, chi risponde?

L’assenza di procedure formalizzate significa nessuna prova di diligenza.

Il dirigente resta esposto personalmente, senza scudo documentale.

Danno operativo e reputazionale

Un incidente senza piano significa panico e improvvisazione: nessuno sa cosa fare, chi chiamare, in che ordine agire.

I tempi di ripristino si dilatano, le decisioni vengono prese sotto pressione, e poi arriva la stampa locale.

La reputazione si perde in un giorno; ricostruirla richiede anni.

La soluzione? Prepararti oggi con la metodologia giusta.

Non ti serve la complessità della NIS2.

Ti serve un sistema documentale snello e operativo, calibrato sulle reali esigenze di un ente delle tue dimensioni.

Le Linee Guida CAD forniscono la metodologia di riferimento: un modello in cinque fasi — Preparazione, Rilevamento, Risposta, Ripristino, Miglioramento — che puoi adottare senza stravolgere la tua organizzazione.

Il punto è avere ruoli chiari, procedure scritte e una matrice di responsabilità che ti permetta di reagire in modo ordinato quando (non se) qualcosa andrà storto.

Adottare questa metodologia non è formalmente obbligatorio, ma ti protegge su due fronti: in caso di incidente, dimostri al Garante Privacy di aver agito con diligenza; in caso di controllo AgID sul Piano Triennale, sei allineato agli obiettivi 7.1 e 7.4.

ScuDoc Light è il pacchetto documentale che abbiamo progettato specificamente per enti fuori dal perimetro NIS2.

Deriva dalla nostra esperienza con oltre 500 enti pubblici e si concentra su ciò che serve davvero:

• Modelli di assessment per asset e infrastruttura — i template pronti (per il tuo sistemista IT interno o esterno) con la mappatura delle tue risorse critiche, simile a quella che abbiamo creato per gli enti NIS2 (ma semplificata per non impazzire)
• Organizzazione semplificata — tre ruoli essenziali (Responsabile Cybersicurezza, Responsabile Comunicazione, Responsabile Gestione Incidenti) che possono essere ricoperti anche dalla stessa persona
• Piano di Gestione Incidenti — focalizzato sugli scenari ransomware, con procedure operative e playbook già pronti come vuole ACN
• Matrice RACI — chi fa cosa in ogni fase dell’incidente, senza ambiguità e con estrema chiarezza

Il tutto si compila in circa un’ora del tuo tempo, attraverso un unico file Excel guidato.

Noi ci occupiamo di trasformare i tuoi dati in documentazione professionale, allineata alla metodologia delle Linee Guida CAD, che poi trasformiamo in formazione specifica per il tuo personale.

Non è un software da gestire.

Non ti vendiamo una piattaforma che devi imparare a usare e mantenere aggiornata. Ti consegniamo documenti pronti, personalizzati sulla tua realtà, che puoi conservare e aggiornare con i tuoi strumenti abituali. Utilizziamo solo il nostro software PianoTD per poter tenere traccia delle attività e gestire scadenze e aggiornamenti (come facciamo per il piano triennale ICT da diversi anni).

Non è consulenza generica.

Non ti mandiamo un report di 200 pagine che finisce in un cassetto. Ti diamo procedure operative concrete: cosa fare nei primi 15 minuti di un attacco, chi chiamare, come comunicare all’esterno, come ripristinare i sistemi: il tutto compilato con i tuoi dati.

Non richiede competenze tecniche avanzate.

Il nostro processo è pensato anche per chi non ha un reparto IT dedicato. Le domande sono chiare, gli esempi sono pratici, e noi siamo disponibili per i chiarimenti durante tutto il percorso.

Se hai un reparto IT dedicato, è tutto ancora più semplice: meno tempo perso a spiegare cose che il tuo personale tecnico specializzato conosce già!

Durata totale: 2-4 settimane, con 2-3 appuntamenti (contro i molteplici di un progetto NIS2 completo).

Il perimetro NIS2 può essere esteso con decreto del Presidente del Consiglio.

Se il tuo ente dovesse rientrare in futuro, ScuDoc Light diventa la base su cui costruire. L’Allegato A (assessment) è identico, i processi sono compatibili, e tu parti già avanti rispetto a chi deve iniziare da zero.

In pratica: ScuDoc Light funziona come soluzione autonoma se resterai sempre fuori dal perimetro, oppure come entry point se un domani dovrai evolvere verso la conformità NIS2 completa.

Scopri se ScuDoc Light fa al caso tuo

Scrivici a info@scudoc.it per una valutazione della tua situazione.

Se il tuo ente rientra nel perimetro NIS2 (comuni sopra 100.000 abitanti, soggetti essenziali o importanti) o è soggetto alla Legge 90/2024, hai obblighi più stringenti e tempistiche definite.

La soluzione per te è ScuDoc – Supporto NIS2: il percorso completo per la conformità, con tutti gli allegati richiesti da ACN, le notifiche obbligatorie e il supporto continuativo.

Non perderti gli aggiornamenti e le novità più importanti!