NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Guida alle norme e alle determinazioni dell’Agenzia per la Cybersicurezza Nazionale
di Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri
scopri di più
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.
Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti.
- Quadro normativo europeo “all-in-one”
Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.
- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2
Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).
- Requisiti minimi e misure di sicurezza spiegati punto per punto
Ampio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).
- Protezione dei dati personali, domini e obblighi di notifica
Integrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.
- Governance aziendale e responsabilità degli organi di gestione
Capitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).
- Condivisione delle informazioni e notifiche degli incidenti al CSIRT Italia
Analisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).
- Crittografia e transizione post-quantum
Approfondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.
- Vigilanza ACN, ispezioni e sanzioni
Commento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.
- Cooperazione nazionale, CSIRT e gestione delle crisi
Trattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).
- Riforma dei reati informatici e del D.Lgs. 231/2001
Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001.
Perché non puoi farne a meno ora
Con l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.
Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative.
Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
| Pagine | 374 |
| Data pubblicazione | Novembre 2025 |
| ISBN | 8891671226 |
| ean | 9788891671226 |
| Tipologia prodotto | Cartaceo |
| Sottotitolo | Guida alle norme e alle determinazioni dell’Agenzia per la Cybersicurezza Nazionale |
| Collana | Cyber |
| Editore | Maggioli Editore |
| Dimensione | 17x24 |
Prefazione, di Bruno Frattasi
PARTE I - INTRODUZIONE E AMBITO DI APPLICAZIONE
Capitolo I – Il quadro normativo europeo della cybersecurity e l’evoluzione dalla NIS 1 alla NIS 2
di Pierluigi Perri e Lucrezia Falciai
1. Premessa
2. La Direttiva NIS 1
3. Il Cybersecurity Act
4. Il Digital Operational Resilience Act
5. La Direttiva CER
6. Il Cyber Resilience Act
7. Il Cyber Solidarity Act
8. La Direttiva NIS 2
Capitolo II – Ambito di applicazione e categorie di soggetti
di Gerardo Costabile
1. Premessa
2. Eccezioni all’ambito di applicazione
3. Poteri dell’ACN sull’ambito di applicazione
4. Distinzione tra soggetti essenziali e importanti
5. Un possibile strumento di autovalutazione
5.1. Step 1: Determinazione della giurisdizione nazionale
5.2. Step 2: Determinazione della dimensione dell’organizzazione
5.3. Step 3: Riconducibilità alle tipologie di soggetto
Capitolo III – La strategia nazionale di cybersicurezza e il ruolo di ACN
di Gian Luca Berruti
1. Premessa
2. La strategia nazionale di cybersicurezza
2.1. Obiettivi fondamentali della strategia: protezione, risposta e sviluppo
2.2. Le misure previste e il piano di attuazione
2.3. Articolazione settoriale e territoriale
3. Il ruolo dell’Agenzia per la Cybersicurezza Nazionale nella strategia nazionale
4. L’approccio risk-based nella strategia nazionale
5. La convergenza tra sicurezza fisica e cybersicurezza nella strategia nazionale
6. Awareness e cultura della cybersicurezza nella strategia nazionale
7. Prospettive strategiche sulla cybersicurezza
Bibliografia
PARTE II - REQUISITI E MISURE DI SICUREZZA
Capitolo I – Requisiti minimi di sicurezza: gestione del rischio informatico per i soggetti essenziali e importanti
di Stefano Aterno e Paola Patriarca
1. Le principali novità della normativa
2. L’approccio basato sul rischio: adeguatezza e proporzionalità delle misure di gestione del rischio informatico
3. Le specifiche di base: la determinazione n. 164179 del 14 aprile 2025
4. Le misure di sicurezza di base
4.1. Le misure di sicurezza di base per i soggetti essenziali: la cybersecurity governance
4.2. L’identificazione degli asset, gap analysis e pianificazione degli interventi
4.3. Il rafforzamento dell’assetto di cybersicurezza
4.4. La gestione degli incidenti informatici
4.5. Le misure di sicurezza di base per i soggetti importanti
Capitolo II – Protezione dei dati personali
di Stefano Marzocchi
1. Premessa
2. Conoscere per proteggere
3. La procedura di notifica
4. I nomi a dominio
5. Sinergia o sovrapposizione?
6. Conclusioni
Capitolo III – Obblighi di governance aziendale in materia di cybersicurezza
di Pierluigi Perri
1. Premessa
2. L’organo di gestione come fulcro della gestione del rischio in materia di sicurezza cibernetica
3. Le responsabilità dei membri dell’organo di amministrazione e organi direttivi
4. Conclusioni
Capitolo IV – Condivisione delle informazioni sulla sicurezza informatica e notifica degli incidenti
di Manuela Italia
1. Premessa
2. Art. 16 – Divulgazione coordinata delle vulnerabilità
3. Art. 17 – Accordi di condivisione delle informazioni sulla sicurezza informatica
4. Art. 20 – Rete di CSIRT nazionale
5. Art. 25 – Obblighi in materia di notifica incidente
6. Linee guida ACN su tassonomia cyber
Capitolo V – Novità in materia di obblighi di notifica degli incidenti e di operatività dell’Agenzia per la Cybersicurezza Nazionale
di Lucrezia Falciai
1. Novità in materia di notifica degli incidenti
1.1. I soggetti tenuti alla notifica
1.2. Gli eventi da notificare
1.3. Il processo di notifica
1.3.1. La notifica obbligatoria
1.3.2. La guida alla notifica degli incidenti al CSIRT Italia
1.3.3. La notifica volontaria
1.4. La decorrenza degli obblighi di notifica
1.5. Le sanzioni
1.6. Esenzione dagli obblighi di notifica
1.7. Raccordo con il perimetro di sicurezza nazionale cibernetica
2. Novità in materia di operatività dell’Agenzia per la Cybersicurezza Nazionale
2.1. Competenze relative alle vulnerabilità
2.2. Raccolta ed analisi dei dati relativi agli incidenti informatici
2.3. Il Nucleo per la Cybersicurezza
Capitolo VI – Rafforzamento delle misure di sicurezza dei dati attraverso la crittografia
di Ciro Di Leva
1. Premessa
2. Rafforzamento delle misure di sicurezza dei dati attraverso la crittografia
2.1. Obbligo di verifica e conformità
2.2. Il Centro Nazionale di Crittografia
2.3. Verso una governance consapevole della crittografia nazionale
3. Linee guida ACN e Garante della Privacy in materia di funzioni crittografiche
3.1. Crittografia e protezione dei dati personali
3.2. La sfida normativa: identità digitale e crittografia
3.3. Linee guida
4. La crittografia nel nuovo quadro normativo NIS 2
5. Il ruolo della crittografia nella protezione delle informazioni e nella conformità normativa
6. La transizione crittografica post-quantum
6.1. Il rischio sistemico della rottura crittografica nell’era quantistica
6.2. Quantum computing e crittografia: una minaccia ancora in divenire
6.3. Quanto è lontana la minaccia quantistica? Stime e requisiti
7. Strategia nazionale e piano operativo nazionale
8. Conclusioni
Bibliografia
PARTE III - POTERI DELLE AUTORITÀ COMPETENTI: SANZIONI E MISURE CORRETTIVE
Capitolo I – Ruolo dell’Agenzia per la Cybersicurezza Nazionale: monitoraggio e valutazione della conformità
di Rocco Pastore
1. Premessa
2. Principi generali per lo svolgimento delle attività di vigilanza ed esecuzione
3. Monitoraggio, analisi e supporto
4. Verifiche e ispezioni
4.1. Esiti delle attività di verifica
4.2. Attività di ispezione
4.3. Esiti dell’ispezione
4.4. Assistenza reciproca con le autorità competenti degli altri Stati membri
5. Misure di esecuzione
6. Conclusioni
Capitolo II – Modalità di irrogazione delle sanzioni e strumenti deflativi del contenzioso
di Gian Luca Berruti
1. La funzione della potestà sanzionatoria nel quadro della cybersicurezza europea
1.1. La cybersicurezza come interesse pubblico europeo e la genesi di una potestà sanzionatoria coerente
1.2. La natura sistemica della sanzione: deterrenza, responsabilizzazione e cultura della sicurezza
1.3. Una potestà da costruire: la sfida dell’implementazione e l’esigenza di coerenza
2. Le sanzioni previste dalla Direttiva NIS 2: natura, tipologie e finalità
2.1. Le finalità della sanzione: deterrenza, prevenzione e resilienza sistemica
2.2. Le sanzioni pecuniarie: limiti quantitativi, criteri di proporzionalità e margini di discrezionalità
2.3. Le misure correttive, interdittive e reputazionali: una risposta articolata alle violazioni
3. Modalità di irrogazione nell’ordinamento italiano: il ruolo di ACN e la legge n. 689/1981
3.1. Il quadro normativo italiano e l’attribuzione della potestà sanzionatoria all’Agenzia per la Cybersicurezza Nazionale
3.2. L’adattamento della procedura amministrativa sanzionatoria al contesto cibernetico: accertamento, istruttoria, contraddittorio
3.3. Le misure riparative, la gradazione dell’intervento e il principio di proporzionalità
4. Gli strumenti deflativi del contenzioso e le garanzie per i soggetti destinatari
4.1. Il principio di effettività e la necessità di una giustizia amministrativa sostenibile nel contesto della cybersicurezza
4.2. Strumenti di tipo collaborativo: la cooperazione procedimentale e l’adempimento volontario
4.3. Rimedi giurisdizionali, trasparenza procedimentale e tutela del destinatario della sanzione
Bibliografia
PARTE IV - MISURE DI COOPERAZIONE E RESILIENZA DEI SOGGETTI CRITICI NONCHÉ DISPOSIZIONI IN MATERIA DI COORDINAMENTO E COLLABORAZIONE IN CASO DI ATTACCHI A SISTEMI INFORMATICI O TELEMATICI
Capitolo I – Ruolo e responsabilità dei CSIRT
di Giancarlo Samele
1. Architettura istituzionale e fondamenti normativi
2. Framework di identificazione e vigilanza
3. Dimensione europea e meccanismi di cooperazione
4. Capacità operative e prospettive evolutive
5. Art. 11 - Autorità di settore NIS
5.1. Ratio e architettura del sistema delle autorità di settore
5.2. Mappatura delle competenze settoriali
5.3. Framework operativo e funzioni
5.4. Governance territoriale e sostenibilità organizzativa
6. Art. 15 - Gruppo nazionale di risposta agli incidenti di sicurezza informatica - CSIRT Italia
6.1. Architettura istituzionale e posizionamento strategico del CSIRT Italia
6.2. Framework organizzativo e requisiti infrastrutturali
6.3. Competenze operative e metodologia di intervento
6.4. Ecosistema collaborativo e prospettive evolutive
7. Il Referente CSIRT come interfaccia operativa tra i Soggetti NIS e l’Agenzia
Capitolo II – Cooperazione tra Autorità nazionali
di Manfredi Matassa
1. Premessa
2. Alcuni cenni sull’evoluzione della disciplina tra sicurezza nazionale e cibernetica
3. Il Tavolo per l’attuazione della disciplina NIS (art. 12)
4. Alcuni cenni sul Quadro nazionale di gestione delle crisi informatiche (art. 13)
5. Le modalità di cooperazione tra Autorità nazionali (art. 14)
6. Coordinamento con la disciplina PSNC (art. 33)
Capitolo III – Rapporti tra l’Agenzia per la Cybersicurezza Nazionale e il Procuratore nazionale antimafia e antiterrorismo, la polizia giudiziaria e il pubblico ministero in caso di attacchi informatici
di Giuseppe Corasaniti
1. L’estensione della qualifica di “pubblico ufficiale” al personale del CSIRT: problematiche possibili e implicazioni
2. La relazione tra “attacchi informatici” e sicurezza informatica dei sistemi di interesse pubblico
3. I rapporti informativi reciproci tra magistratura inquirente e Agenzia per la cybersicurezza nazionale: problematiche e prospettive
4. La dimensione tecnologica delle funzioni di interscambio informativo nei casi di attacchi e di allarmi tra indagini di cybersicurezza e polizia giudiziaria
Capitolo IV – Coordinamento operativo e informativo con i Servizi di informazione per la sicurezza della Repubblica e l’Agenzia per la Cybersicurezza Nazionale
di Eliana Pezzuto
1. Premessa
2. Il differimento degli obblighi informativi e delle attività di resilienza dell’ACN
3. La nuova composizione del Comitato interministeriale per la sicurezza della Repubblica
4. Conclusioni
Capitolo V – Coordinamento tra Stati membri a livello dell’UE
di Gabriele Suffia
1. La cybersicurezza come ecosistema strategico per la sovranità digitale dell’UE
2. La cybersecurity come politica strategica a rilevanza sovranazionale
3. Attività e inquadramento del Gruppo di cooperazione NIS e di EU-CyCLONe
4. Gruppo NIS e CyCLONe: differenze, tensioni e possibili esempi
5. La procedura di revisione tra pari e le comunicazioni all’Unione europea
6. L’assistenza reciproca tra Stati: uno strumento transfrontaliero
7. Conclusioni: la sfida della fiducia
PARTE V - RAFFORZAMENTO DELL’AZIONE DI PREVENZIONE E DI CONTRASTO AI REATI INFORMATICI
Capitolo I – Modifiche al codice penale e al D.Lgs. n. 231/2001
di Benedetta Venturato
1. Le modifiche al codice penale
1.1. Accesso abusivo a un sistema informatico o telematico (art. 615-ter c.p.)
1.2. Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici (art. 615-quater c.p.)
1.3. Le fattispecie a tutela delle comunicazioni (artt. 617-bis, 617-quater, 617-quinquies e 617-sexies c.p.)
1.4. L’introduzione di nuove circostanze attenuanti (artt. 623-quater e 639-ter c.p.)
1.5. L’estorsione mediante reati informatici (art. 629, comma 3, c.p.)
1.6. Gli interventi sulle fattispecie di danneggiamento (artt. 635-bis, 635-ter, 635-quater, 635-quater.1 e 635-quinquies c.p.)
1.7. Le modifiche in materia di truffa (artt. 640, 640-quater, 240 c.p.)
2. Le modifiche al D.Lgs. n. 231/2001
Capitolo II – Modifiche al codice di procedura penale
di Benedetta Venturato
1. Le modifiche al codice di procedura penale (artt. 51, 406 e 407 c.p.p.)
2. Gli interventi in materia di intercettazioni, collaboratori e testimoni di giustizia (D.L. n. 8/1991, D.L. n. 152/2011, L. n. 6/2018)
2.1. Considerazioni preliminari
2.2. L’estensione delle misure a tutela dei collaboratori di giustizia
2.3. L’applicazione delle speciali misure di protezione per i testimoni di giustizia
2.4. Le modifiche alla disciplina in materia di intercettazioni
Gli Autori
-
5%
Le regole dei dati e dell'intelligenza artificialeCartaceoSpecial Price 34,20 €SCONTO 5%5%Anzichè 36,00 € -
5%
Le nuove regole per l'uso primario e secondario dei dati sanitariCartaceoSpecial Price 24,70 €SCONTO 5%5%Anzichè 26,00 €
