Associati
INTERVISTA
A colloquio con il Prefetto Milena Antonella Rizzi,
Capo del Servizio Regolazione
dell'Agenzia per la Cybersicurezza Nazionale
Laurea in Giurisprudenza con lode, Università degli studi di Genova e abilitazione all’esercizio della professione forense. Master in “Cittadinanza europea e amministrazioni pubbliche”, SSAI/Terza Università di Roma. Master in “Sicurezza economica, geopolitica ed intelligence”, SIOI. First Certificate in English, Università di Cambridge e Diploma Superiorde Español, Università di Salamanca. Dottore di ricerca in Studi Giuspubblicistici, Università di Roma Tor Vergata.
Carriera oltre trentennale presso il Ministero dell’interno, molteplici incarichi a livello periferico, centrale ed in ambito europeo (Commissione Europea, DG HOME e Rappresentanza Permanente d’Italia presso l’Unione Europea). Dal 2016 al 2021 Capo Staff di diversi uffici del Gabinetto del Ministro dell’interno, tra cui dal 1° agosto 2020 Capo della Segreteria Tecnica del Ministro. Cdm 12/01/2022 nominata Prefetto. Cdm 31/10/2022 collocata fuori ruolo presso l’Agenzia per la cybersicurezza nazionale; dal 7/11/2022 Capo del Servizio Regolazione (già Autorità e sanzioni).
Molteplici incarichi di docenza in materia di prevenzione antimafia, di governo locale della sicurezza, di normazione anche tecnica nel settore della cybersicurezza (Università Luiss e Università Sapienza di Roma). Autrice di pubblicazioni in materia di prevenzione antimafia per le case editrici Dike e Giappichelli nonché in materia di cybersicurezza e cyberresilienza per la Rivista Italiana di Informatica e Diritto.
Al fine di agevolare le imprese nel comprendere meglio la NIS2 (dubbi interpretativi, quesiti e incertezze), quali azioni ha sviluppato ACN e quali ha in programma, anche attraverso la collaborazione con le associazioni?
La Direttiva UE 2022/2555, meglio nota come NIS2, ha rafforzato l’approccio alla sicurezza informatica per le Istituzioni e le aziende che rientrano nel suo rinnovato ambito di applicazione che risponde all’evoluzione della minaccia cyber, ormai interessata a soggetti diversi dalle classiche “infrastrutture critiche”.
Sono direttamente impattati dalla nuova disciplina, recepita con il decreto legislativo 4 settembre 2024, n. 138, c.d. decreto NIS, oltre 80 tipologie di soggetti operanti in almeno uno dei 18 settori, di cui 11 altamente critici (originariamente erano 8) e 7 critici (che non erano contemplati dalla precedente Direttiva 2016/1148, alla quale va comunque riconosciuto il merito di essere stata la prima normativa europea orizzontale in materia di sicurezza informatica.).
Stiamo parlando di oltre 20.000 soggetti che sono tenuti ad applicare le misure di sicurezza su tutta la loro infrastruttura digitale e quindi anche a protezione degli assetti ritenuti meno rilevanti, che spesso sono la porta di accesso sfruttata dagli attaccanti per avvicinarsi, tramite i c.d. movimenti laterali, al tesoro digitale dell’impresa presa di mira.
In questo contesto, per favorire concretamente il progressivo rafforzamento della postura di cybersicurezza dei soggetti NIS – molti dei quali operanti in settori precedentemente non attinti dalla normativa cyber – l’Agenzia per la cybersicurezza nazionale, nella sua qualità di Autorità nazionale competente NIS, ha adottato un approccio innovativo, capace di coniugare le esigenze della regolazione con la definizione di un percorso sostenibile per tutti i soggetti coinvolti, in cui le iniziative a sostegno della costituency NIS hanno svolto un ruolo fondamentale.
In particolare, al fine di fornire supporto ai soggetti NIS, il sito istituzionale dell’Agenzia per la cybersicurezza è stato arricchito con una sezione dedicata alla nuova disciplina, nonché un ampio catalogo di risposte a domande frequenti.
Inizialmente pubblicata nel mese di dicembre 2024 con chiarimenti di carattere generale, con il progressivo sviluppo dell’attività regolamentare sono state pubblicate ulteriori sezioni inerenti alle specifiche di base in materia di misure di sicurezza, alle notifiche di incidente e all’uso dei servizi NIS resi disponibili tramite il Portale dei Servizi.
Il patrimonio informativo messo a disposizione degli utenti risiede oggi in 150 risposte a domande frequenti, suddivise per argomento tematico in 4 sezioni e 30 sottosezioni costantemente aggiornate.
Inoltre, per accompagnare i soggetti NIS nella comprensione e interpretazione del testo delle “Specifiche tecniche di base”, adottate, in via definitiva, con la determinazione del Direttore generale di ACN, n. 379907 del 19 dicembre 2025, sono state pubblicate due Linee guida, recanti, rispettivamente, la “Guida alla lettura” e la “Definizione del processo di gestione degli incidenti di sicurezza informatica”. In particolare, tale documento suggerisce un modello per il processo di gestione degli incidenti e descrive la relazione tra le fasi del processo e le misure di sicurezza di base.
A complemento del supporto documentale, l’Agenzia ha inoltre attivato un c.d. service desk tramite il quale i soggetti possono porre quesiti e richiedere assistenza per difficoltà di carattere tecnico-procedurale. Nel corso del 2025, sono state evase oltre 45.000 richieste, di cui circa il 60% relative a chiarimenti tecnico-procedurali per l’interazione con il Portale dei Servizi che, nell’ottica della semplificazione dei procedimenti amministrativi, rappresenta lo strumento tramite il quale i soggetti NIS assolvono agli obblighi di comunicazione con l’Autorità nazionale competente NIS.
Una particolare menzione, per il valore aggiunto apportato all’interazione con i soggetti NIS, a complemento delle attività istituzionali condotte nel contesto dei Tavoli settoriali, va effettuata con riferimento alla collaborazione con le associazioni di categoria e le realtà istituzionali e locali, con le quali, nel corso del 2025, è stato organizzato il 25% delle 60 iniziative realizzate nel corso dell’anno.
Tali attività si sono concretizzate, tra l’altro, in eventi informativi e formativi, incontri di approfondimento tematico, momenti di confronto tecnico e iniziative di assistenza e chiarimento, di cui l’85% è stato realizzato in presenza e il restante 15% videoconferenza.
La sinergia con le associazioni rappresentative di categoria ha favorito il rafforzamento della conoscenza del quadro regolatorio applicabile, un’interpretazione uniforme delle disposizioni vigenti contribuendo a promuovere elevati livelli di conformità e responsabilità operativa.
Questo proficuo e strutturato dialogo con gli stakeholder, mediato dalle associazioni di categoria, proseguirà nel 2026 con ulteriori iniziative di confronto, in un’ottica di sinergico scambio di informazioni e buone pratiche capace di favorire l’emersione di potenziali elementi da valutare nelle successive fasi dell’attività legislativa e regolamentare di attuazione.
La NIS2 riguarda anche le PMI, soprattutto quali parte di una supply chain. Il rischio è che si scarichi su di loro un onere di compliance sproporzionato, rispetto alle loro capacità sia economiche che organizzative. Assintel più volte ha lanciato questo allarme. A suo avviso ACN, insieme alle associazioni di categorie e al Governo, come potrebbe collaborare per supportare tali difficoltà?
Innanzitutto, va evidenziato che le PMI, in quanto (potenziali) parti di una supply chain, non sono automaticamente attratte nell’ambito di applicazione della nuova disciplina NIS, fatta eccezione per i fornitori c.d. sistemici che saranno individuati nel corso del 2026.
In merito al paventato rischio di un onere sproporzionato di compliance a carico dei fornitori va premesso che, in continuità con quanto fatto nel percorso di attuazione della direttiva NIS1 e in coerenza con quanto previsto dall’attuale quadro normativo nazionale in materia di cybersicurezza, anche le misure di sicurezza NIS2, rientranti nei 10 ambiti di sicurezza fissati dalla direttiva europea stessa, sono state definite nel contesto del framework nazionale per la cybersecurity e la data protection.
Ciò ha consentito di valorizzare gli esiti delle interlocuzioni avviate con le Autorità di settore nell’ambito dei tavoli settoriali e con le associazioni di categoria resesi disponibili a realizzare concrete forme di partenariato pubblico privato, attraverso il coinvolgimento degli operatori ad esse associati, i cui contributi sono stati presi in considerazione nel processo di elaborazione delle cennate misure.
Va poi osservato che nella declinazione degli obblighi sono stati tenuti in considerazione i principi di proporzionalità e di gradualità, l’ampiezza della platea dei soggetti cui si indirizzano (la maggior parte dei quali senza alcuna pregressa esperienza in materia o competenza interna), il periodo di riferimento per la loro attuazione e il severo impianto sanzionatorio.
Nell’elaborazione dei citati obblighi, è stato fatto uno sforzo di calibrazione e chiarimento che, con particolare riferimento alle previsioni concernenti la catena di approvvigionamento – considerata la sua rilevanza per le ripercussioni sistemiche che possono essere causate da un incidente subìto da un fornitore – si è giovato del contributo di un gruppo di lavoro ristretto, composto da rappresentanti del tessuto imprenditoriale e di alcune organizzazioni rappresentative di categoria.
In particolare, per la definizione delle misure di sicurezza a protezione della catena di approvvigionamento, è stato delineato un processo che prevede 4 fasi:
- valutazione del rischio associato alla fornitura, ogni fornitura è infatti caratterizzata da un proprio rischio, non solo per via della sua tipologia (servizio ICT, fornitura Cloud, consulenza, etc.) ma anche in base al sistema informativo e di rete sul quale verrà impiegata;
- definizione dei requisiti di sicurezza, la sicurezza della fornitura è realizzata tramite la previsione di requisiti di sicurezza definiti sulla base del rischio associato alla fornitura;
- enforcement dei requisiti di sicurezza, ovvero garantire che i requisiti definiti siano applicati, prevedendo l’inserimento dei requisiti nei bandi di gara, nei contratti e in generale negli accordi con i fornitori;
- verifica dei requisiti di sicurezza, per validare che le specifiche indicate dai requisiti siano effettivamente soddisfatte, attraverso la verifica della conformità delle forniture ai requisiti di sicurezza definiti.
In accordo con tale processo sono state quindi definite 5 misure di sicurezza per la supply chain nelle quali i requisiti specificano cosa è richiesto ai soggetti ai fini dell’implementazione della misura, favorendo così una più omogenea applicazione della disciplina che si traduce in una riduzione degli oneri amministrativi di compliance.
La NIS2 introduce responsabilità dirette per gli organi di gestione delle imprese. Come si coordina questo principio con il sistema di responsabilità previsto dal diritto societario italiano e quali saranno i criteri con cui ACN valuterà l’adeguatezza delle misure adottate dai board?
Anche in questo caso va preliminarmente evidenziato che il principio di responsabilità, stabilito dall’articolo 23 del decreto NIS, non è un “aliquid novi” ma si inserisce nel solco tracciato dalla disciplina della responsabilità amministrativa degli enti, operata con il decreto legislativo n.231/2001, dalla riforma del diritto societario del 2003 e dalla riforma del Codice della Crisi d’impresa e dell’insolvenza, entrata in vigore il 15 luglio 2022.
In sostanza, l’adozione dell’approccio basato sul rischio, nel rispetto di quanto stabilito dagli articoli 2381 e 2392 del codice civile, postula l’esigenza della definizione, da un lato, di ruoli, responsabilità, procedure, attribuzione di compiti e poteri, e dall’altro, di una politica di gestione del rischio cyber che sia coerente con gli esiti della ricognizione della robustezza delle difese informatiche già poste in essere dal soggetto, il contesto operativo e la strategia generale dell’organizzazione.
In quest’ottica, vale la pena di ricordare che spetta quindi al plenum consiliare, titolare dei poteri di indirizzo strategico dell’ente, procedere all’approvazione di tutte le pianificazioni per la gestione del rischio cyber, elencate nell’appendice C della “Guida alla lettura” sopra citata, supervisionarne la corretta implementazione, seguire una formazione in materia di sicurezza informatica e promuovere la formazione periodica dei loro dipendenti.
Questo impianto si pone in linea con l’evoluzione dei sistemi di amministrazione e controllo societari e con la moderna concezione del rischio “interno” dell’impresa. Ne deriva la necessità che i componenti del plenum consiliare sviluppino adeguate capacità di valutare l’idoneità delle pianificazioni di mitigazione del rischio cyber sottoposte alla loro approvazione, in modo da poter altresì esercitare una supervisione efficace.
Pertanto, nel rispetto del principio di responsabilità sopra citato, in questa fase, nelle more della pubblicazione di specifiche Linee guida, sarà possibile valutare l’adeguatezza delle misure di gestione del rischio cyber adottate dal soggetto NIS attraverso la verifica del rispetto del contenuto minimo obbligatorio predefinito dalla determinazione del Direttore generale di ACN che ha approvato in via definitiva le Specifiche tecniche di base, tenendo in debito conto, naturalmente, le dimensioni e il grado di esposizione al rischio del soggetto stesso.
Alcune aziende italiane, anche molto piccole, fanno parte di gruppi internazionali europei. L’Italia è una tra le poche nazioni europee che hanno recepito la direttiva comunitaria NIS2. Quando NIS2 verrà recepita anche dagli altri paesi europei, le aziende italiane già NIS2-compliant ma che hanno la capogruppo estera che opera presso altre nazioni quale modello di gestione dovrebbero adottare a livello di Gruppo per evitare incoerenze e duplicazioni?
Questo tema, spesso sollevato dai soggetti NIS aventi sede in Italia e facenti parte di gruppi la cui holding è situata in un altro Stato membro, temo tragga origine da una lettura della Direttiva NIS2 focalizzata sulla struttura societaria del gruppo anziché su quella delle singole “legal entities” che ne fanno parte.
In proposito, l’Agenzia per la cybersicurezza nazionale ha già avuto modo di chiarire che gli obblighi si applicano alle singole “legal entities” secondo la giurisdizione del Paese ove sono ubicate, con la conseguenza che spetta a tali legal entities definire ed approvare le pianificazioni delle misure di gestione del rischio cyber, adottando un modello che, attraverso la mappatura dei singoli requisiti di sicurezza richiesti dai vari Stati membri in cui opera il gruppo societario, assicuri la coerenza con l’impianto regolatorio complessivamente considerato.
Le aziende ed in particolare le PMI sono preoccupate per le sanzioni che ACN potrà applicare in caso di mancato adempimento NIS2, ci può raccontare il processo sanzionatorio?
I poteri di esecuzione, che comprendono l’esercizio della leva sanzionatoria, sono disciplinati nell’ambito del Capo V del decreto NIS che rimette all’adozione di un decreto del Presidente del Consiglio dei ministri la definizione dei criteri, delle procedure e delle modalità per lo svolgimento delle attività, l'esercizio dei poteri e l'adozione dei provvedimenti ivi previsti.
Inoltre, il comma 15 dell’articolo 38, la cui rubrica recita “Sanzioni amministrative”, affida anch’esso all’adozione di un decreto del Presidente del Consiglio dei ministri la definizione delle modalità di applicazione, nell'ambito del procedimento sanzionatorio, degli strumenti deflattivi del contenzioso ivi contemplati.
Nelle more dell’adozione di tali decreti, vale la pena di evidenziare che l’articolo 35, nel disciplinare le attività di monitoraggio, analisi e supporto dell’Autorità nazionale competente NIS, al fine di evitare che possano concretizzarsi i presupposti della violazione, espressamente prevede che nello svolgimento delle suddette attività la predetta Autorità possa “emanare raccomandazioni e avvertimenti relativi a presunte violazioni del presente decreto da parte dei soggetti interessati”, implementando altresì interventi di supporto per i soggetti medesimi, qualora ciò non costituisca un onere sproporzionato o eccessivo.
Non solo. Laddove tali raccomandazioni e avvertimenti non dovessero sortire il risultato atteso, l’articolo 37, la cui rubrica recita “Misure di esecuzione”, prevede che l’Autorità nazionale competente NIS – previa notifica ai soggetti interessati delle conclusioni preliminari sulle attività di monitoraggio e verifica, con la quale deve essere concesso a questi ultimi un termine ragionevole, comunque non inferiore a quindici giorni, per presentare osservazioni – possa rivolgere al soggetto inadempiente specifiche intimazioni, quali quelle indicate dalle lettere d), e) e f) del cennato articolo, indicando modalità e termini ragionevoli e proporzionati per adempiere nonché per riferire circa lo stato di attuazione degli adempimenti.
In caso di inerzia del soggetto, e previa notifica anche in questo caso delle conclusioni preliminari, sarà possibile emettere una formale diffida ad adempiere ai sensi dell’articolo 37, comma 6, del decreto NIS, recante modalità e termini ragionevoli e proporzionati per adempiere nonché per riferire circa lo stato di attuazione degli adempimenti.
Va evidenziato, al riguardo, che ai sensi dell’articolo 38, comma 4, del decreto NIS, l'esercizio dei poteri di cui all'articolo 37 (i.e. intimazione/diffida) non impedisce la contestazione delle violazioni di cui ai commi 8 e 10 del predetto articolo, nonché la relativa irrogazione delle sanzioni amministrative previste dal cennato articolo 38 che, come noto, sono di elevato importo (10 milioni di euro o 2% del fatturato per i soggetti essenziali e 7 milioni di euro o 1,4% del fatturato per i soggetti importanti) cui si affiancano, in taluni casi, specifiche sanzioni accessorie.
In conclusione, è evidente che adempiere agli obblighi proporzionati e graduali imposti dalla nuova disciplina NIS non è solo una questione di compliance ma consente all’organizzazione, dotata di una governance proattiva fondata sulla cultura della resilienza, di conseguire un vantaggio competitivo e proteggere i propri dati, le proprie attività, i propri servizi e la continuità operativa.
Ci può brevemente raccontare il cronoprogramma di ACN in ambito NIS2 e quindi quali saranno i prossimi step che le aziende dovranno svolgere per essere compliant?
Innanzitutto merita di essere ricordato che per i soggetti NIS inseriti nell’elenco 2025, lo scorso gennaio è entrato in vigore l’obbligo di procedere alla notifica degli incidenti significativi di cui agli allegati 3 e 4 alla Determinazione ACN n. 379907/2025, che si è sommato a quello di aggiornare la bozza di Dichiarazione precompilata che è stata resa loro disponibile, tramite la piattaforma digitale NIS, sulla base delle informazioni trasmesse in occasione della registrazione 2025.
Come noto, infatti, dal 1° gennaio ed entro il 28 febbraio di ogni anno i soggetti sono chiamati a registrarsi sulla piattaforma NIS o ad aggiornare la propria dichiarazione di registrazione effettuata nell’annualità precedente.
Entro il mese di aprile 2026, verrà quindi elaborato l’elenco dei soggetti NIS 2026 ai quali verrà inviata formale comunicazione di inserimento e/o permanenza e/o espunzione, al fine di favorire l’attuazione dei successivi adempimenti.
Conseguentemente, dal 15 aprile ed entro il 31 maggio 2026, i soggetti che riceveranno la comunicazione di inserimento/permanenza nell’elenco dei soggetti NIS dovranno effettuare l’aggiornamento annuale delle informazioni di cui all’articolo 7, commi 4 e 5, del decreto NIS, tramite il Servizio NIS/Aggiornamento annuale informazioni.
Inoltre, i medesimi soggetti, dal 1° maggio ed entro il 30 giugno 2026, dovranno comunicare, tramite la piattaforma digitale NIS, l’elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e alla relativa attribuzione di una categoria di rilevanza, secondo quanto previsto dall’articolo 30 del decreto NIS.
Infine, entro ottobre 2026 i soggetti NIS inseriti per la prima volta in elenco nel 2025, dovranno assicurare la completa implementazione delle misure di sicurezza di base di cui agli allegati 1 e 2 alla Determinazione ACN n. 379907/2025, mentre per i soggetti NIS inseriti per la prima volta in elenco nel 2026 l’obbligo di notifica e quello di implementazione delle misure di sicurezza diverrà cogente a partire, rispettivamente, da gennaio 2027 e luglio 2027.