Una guida tecnica per la corretta applicazione del Regolamento UE 2024/2690 sui requisiti di gestione del rischio previsti dalla NIS2: è quella pubblicata da Enisa e che segna un cambio di passo nel percorso di attuazione della direttiva europea.

Non si tratta di un semplice commento al Regolamento di esecuzione (UE) 2024/2690 ma di un vero e proprio strumento operativo che accompagna enti, imprese e autorità nell’implementazione concreta delle misure richieste dalla Direttiva NIS 2.

Perogni requisito normativo, la guida propone azioni realizzabili, evidenze documentabili, riferimenti agli standard europei e internazionali. È una risorsa viva, pratica, che riduce l’ambiguità e aiuta a trasformare la conformità in azione, la sicurezza in affidabilità e la norma in cultura organizzativa.

Una vera e propria estensione naturale del regolamento di esecuzione che ne traduce l’impianto giuridico in strumenti operativi.

Chi vuole davvero rafforzare la propria resilienza trova in questo documento un alleato concreto e certamente non un esercizio teorico.

La norma non bastava più: serviva una direzione vera

Ormai è chiaro a tutti: con la Direttiva NIS 2 è cambiato tutto. Non siamo più nell’epoca dei principi generici e delle buone intenzioni. Siamo entrati nel tempo delle responsabilità reali, documentate e dimostrabili.

La NIS 2, infatti, ha allargato il campo d’azione: coinvolge più soggetti, chiede di più, e lo fa con una logica più vicina alla realtà dei rischi digitali che affrontiamo ogni giorno.

Ma per tanti soggetti essenziali e importanti – in particolare quelli attivi nei settori digitali, dove tutto è connesso – non bastavano più le linee guida nazionali, spesso troppo diverse da un Paese all’altro.

Serviva qualcosa di più. Serviva una rotta chiara. Una mappa affidabile per orientarsi e agire con metodo, senza improvvisare.

Non parliamo dell’ennesimo documento di principi ma di una guida capace di trasformare le regole in scelte operative.

È a questo punto che entra in gioco il Regolamento di esecuzione (UE) 2024/2690. Con questo testo, l’Europa fa un passo avanti: non si limita a dire cosa bisogna fare, ma spiega come farlo. Porta i requisiti di sicurezza dentro l’organizzazione, li articola per settori specifici, li collega a standard europei e internazionali, li trasforma in struttura, in metodo e in responsabilità diffusa.

Per attori critici come i fornitori di servizi cloud, i gestori DNS, i data center, le piattaforme social, i mercati digitali e i provider di servizi fiduciari, questa non è solo una lista di obblighi. È una mappa per orientarsi. Un manuale per costruire resilienza. In breve, è una risposta concreta all’incertezza.

Poi, con la guida tecnica pubblicata da ENISA il 27 giugno 2025, questa direzione si consolida, perché ogni requisito viene spiegato passo dopo passo. Vengono forniti esempi pratici, evidenze da raccogliere, riferimenti agli standard di settore. Perché oggi, la sicurezza ha bisogno di basi solide, linguaggio chiaro, percorsi praticabili.

Ora, è vero che una norma, da sola, non cambia le cose. Ma se quella norma diventa direzione, se diventa strumento di lavoro quotidiano, se entra nella cultura operativa di chi guida le organizzazioni, allora può davvero fare la differenza.

Come usare davvero la guida tecnica di ENISA

La guida tecnica pubblicata da ENISA non è fatta per essere semplicemente letta. È pensata per essere usata. Ogni pagina serve a trasformare le dichiarazioni di principio in azioni concrete. Non basta più dire “abbiamo un sistema di sicurezza”. Ora bisogna dimostrarlo. E questa guida è lo strumento giusto per farlo.

A ogni requisito corrispondono tre strumenti pratici che aiutano a progettare, mettere in pratica e documentare in modo chiaro la conformità:

1. orientamenti operativi: indicazioni chiare, concrete e subito applicabili su cosa fare per rispettare davvero ogni requisito;
2. esempi di evidenze: prove che si possono raccogliere per dimostrare che un requisito è stato messo in atto sul serio, non solo sulla carta;
3. mappature intelligenti: collegamenti ben costruiti tra le richieste normative e gli standard tecnici più diffusi, le buone pratiche europee, i riferimenti nazionali. In questo modo, la guida diventa un ponte tra teoria e realtà operativa.

In sintesi: è un manuale per agire, non un documento da archiviare.

Non è legge, ma tutti la useranno per giudicare il tuo operato

La guida tecnica di ENISA non è una norma. Non impone obblighi. Non ha valore giuridico vincolante. Ma chi vive davvero il campo della sicurezza sa una cosa: ignorarla significa esporsi.

Perché, nei fatti, è probabile che questa guida diventi il riferimento implicito per capire se un’organizzazione ha agito con serietà e consapevolezza.

È facile immaginare chi la utilizzerà:

1. le autorità di controllo, per valutare se sono stati adottati comportamenti diligenti;
2. le assicurazioni, per stabilire premi, coperture o risarcimenti;
3. i consulenti tecnici, quando si tratterà di ricostruire responsabilità dopo un incidente;
4. le aziende stesse quando dovranno motivare decisioni, investimenti, scelte operative.

Chi sarà colpito da un attacco dovrà rispondere esattamente alle domande a cui questa guida consente già oggi di rispondere, con metodo. Ecco perché, anche se non è una legge, questa guida sarà il metro con cui tutti misureranno il grado di responsabilità degli operatori. È lo standard che separa l’improvvisazione dalla professionalità.

Struttura pratica e subito utilizzabile: i 13 blocchi della guida

Il cuore operativo della guida tecnica ENISA è composto da 13 blocchi tematici. Ognuno di questi blocchi corrisponde a una delle aree indicate nell’Allegato del Regolamento (UE) 2024/2690, e rappresenta un pezzo fondamentale della strategia di sicurezza informatica da costruire.

La forza della guida sta proprio nella sua chiarezza: ogni blocco segue la stessa struttura, facile da leggere e da mettere in pratica. Sempre così:

1. il requisito da rispettare: cosa serve davvero fare;
2. la guida operativa: come farlo in modo concreto;
3. gli esempi di evidenze: cosa dimostra che è stato fatto davvero;
4. i riferimenti normativi: da dove nasce l’obbligo.

Una struttura così aiuta chi deve progettare, chi deve realizzare e anche chi dovrà controllare.

Ed ecco l’intera architettura della guida:

1. Politica di sicurezza dei sistemi di rete e informazione (pp. 13–20)

1.1 Politica di sicurezza

1.2 Ruoli, responsabilità e autorità

2. Politica di gestione del rischio (pp. 21–31)

2.1 Framework di gestione del rischio

2.2 Monitoraggio della conformità

2.3 Verifica indipendente della sicurezza

3. Gestione degli incidenti (pp. 32–50)

3.1 Politica di gestione degli incidenti

3.2 Monitoraggio e logging

3.3 Event reporting

3.4 Classificazione degli eventi

3.5 Risposta agli incidenti

3.6 Analisi post-incidente

4. Continuità operativa e gestione delle crisi (pp. 51–65)

4.1 Piano di continuità e disaster recovery

4.2 Backup e ridondanza

4.3 Gestione della crisi

5. Sicurezza della supply chain (pp. 66–75)

5.1 Politica di sicurezza della supply chain

5.2 Elenco fornitori e service provider

6. Sicurezza nell’acquisizione, sviluppo e manutenzione (pp. 76–106)

6.1 Acquisti ICT sicuri

6.2 Ciclo di sviluppo sicuro

6.3 Gestione delle configurazioni

6.4 Change management

6.5Test di sicurezza

6.6 Gestione delle patch

6.7 Sicurezza della rete

6.8 Segmentazione della rete6.

6.9 Protezione da malware

6.10 Gestione delle vulnerabilità

7. Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio in materia di cybersicurezza (pp. 107–110)

8. Igiene informatica di base e formazione (pp. 111–116)

8.1 Sensibilizzazione e igiene informatica

8.2 Formazione alla sicurezza

9. Crittografia (pp. 117–121)

10. Sicurezza delle risorse umane (pp. 122–129)

10.1 Sicurezza delle risorse umane

10.2 Verifica dei precedenti (background check)

10.3 Procedure di cessazione o cambio incarico

10.4 Disciplinare

11. Controllo degli accessi (pp. 130–147)

11.1 Politica di controllo degli accessi

11.2 Gestione dei diritti di accesso

11.3 Account privilegiati e account di amministrazione di sistema

11.4 Sistemi amministrativi

11.5 Identificazione

11.6 Autenticazione

11.7 MFA

12. Gestione degli asset (pp. 148–156)

12.1 Classificazione

12.2 Gestione degli asset

12.3 Policy per i supporti removibili

12.4 Inventario degli asset

12.5 Consegna, restituzione o cancellazione dei beni al termine del rapporto di lavoro

13. Sicurezza ambientale e fisica (pp. 157–164)

13.1 Utilities

13.2 Minacce fisiche e ambientali

13.3 Controllo degli accessi fisici

Allegati

Annex I – Framework nazionali (p. 165)

Annex II – Glossario (p. 167)

La guida ENISA come metro per la gap analysis

Per poter approvare il piano di gestione del rischio, come richiesto dall’art. 23 del D.lgs. 138/2024, i vertici di un’organizzazione devono partire da una Gap Analysis seria e ben strutturata. Ed è qui che la guida tecnica di ENISA si rivela uno strumento prezioso.

Quindi, non serve solo come supporto pratico: può diventare il criterio oggettivo su cui costruire tutta l’analisi.

Utilizzare la guida ENISA come base per la Gap Analysis significa ancorare il processo a uno schema autorevole, indipendente e riconosciuto a livello europeo, difficilmente contestabile da terze parti.

Questo approccio porta tre vantaggi fondamentali:

1. più oggettività: con un modello tecnico chiaro e standardizzato, si eliminano interpretazioni arbitrarie e si rafforza la coerenza dell’analisi;
2. più credibilità: usare un documento ufficiale dell’Unione Europea conferisce autorevolezza a tutto il processo e protegge le scelte fatte;
3. più trasparenza: seguire un criterio pubblico e condiviso rende più facile spiegare e rendicontare le decisioni, sia all’interno che all’esterno.

In breve, la guida ENISA può diventare il punto fermo su cui costruire un piano credibile, approvabile e utile.

Un alleato negli audit: per vedere, capire, dimostrare

La guida tecnica ENISA non è utile solo per attuare i requisiti normativi o costruire una Gap Analysis. È anche uno strumento prezioso per chi deve eseguire audit, interni o esterni.

Chi svolge un audit trova nella guida un punto di riferimento pratico e autorevole. Ogni requisito è accompagnato da una guida operativa che indica cosa guardare, quali processi analizzare, quali documenti verificare. Questo rende più facile capire se le misure sono davvero in atto e dove ci sono margini di miglioramento.

Non solo: gli esempi di evidenze suggeriti aiutano concretamente a raccogliere prove chiare e verificabili, sia leggendo documenti, sia osservando sul campo.

E, quando ci sono, i suggerimenti integrativi offrono spunti per rendere l’audit ancora più solido e completo.

In sintesi: chi usa questa guida per fare audit lavora meglio, con più chiarezza, più rigore, più difendibilità. E soprattutto con uno strumento già allineato agli standard europei.

Esempio concreto: usare la guida ENISA per fare audit

Prendiamo un caso reale.

La sezione 6.1 – Sicurezza nell’acquisizione di servizi o prodotti ICT prevede una misura molto chiara:

“Le entità devono stabilire e attuare processi per gestire i rischi connessi all’acquisto di servizi o prodotti ICT critici per la sicurezza delle reti e dei sistemi informativi, sulla base della valutazione dei rischi prevista al punto 2.1, considerando l’intero ciclo di vita e i fornitori coinvolti”.

Bene. Questo è il requisito. Ma cosa significa attuare davvero questa misura?

La linea guida di supporto fornisce indicazioni molto pratiche:

1. inserire la sicurezza informatica in modo stabile nel processo di acquisto, con una sezione dedicata anche al software open source (FOSS);
2. documentare tutto il processo di acquisizione sicura di servizi, sistemi o prodotti ICT, incluse le procedure operative;
3. fare riferimento agli standard riconosciuti nel settore.

E ancora, quale utilità è offerta a chi deve fare audit? Ci sono anche esempi di evidenze che orientano il lavoro sul campo. Ad esempio:

1. modelli di documentazione per gare e appalti in ambito sicurezza ICT;
2. processi scritti basati su standard e buone pratiche.

In fase di audit, il team potrà quindi verificare se:

1. esiste un processo documentato che descriva l’intero ciclo di vita dell’acquisizione di prodotti o servizi ICT, in chiave sicurezza;
2. sono stati applicati standard riconosciuti per rendere sicuro quel processo.

E se mancano questi elementi? Si può arrivare a rilievi precisi come:

1. Non Conformità: “Non è definito un processo documentato che descriva il ciclo di vita dell’acquisizione ICT nel contesto della sicurezza, come richiesto dalla linea guida sul requisito 6.1”.
2. Raccomandazione: “Si raccomanda di documentare gli standard applicati per rendere sicuro il processo di acquisto di prodotti e servizi ICT”.

Ma attenzione: tutto questo valore, tutta questa utilità concreta, sono possibili perché la guida è pensata bene, è costruita con intelligenza ed efficacia.

Lo abbiamo già detto, ma vale la pena ribadirlo: ogni requisito è arricchito da tre strumenti pratici che fanno la differenza sul campo:

1. linee guida attuative, che offrono indicazioni chiare su come mettere in pratica il requisito;
2. esempi di evidenze, che aiutano a capire cosa verificare in fase di audit e cosa documentare;
3. suggerimenti aggiuntivi, pensati per chi vuole fare un passo in più, andando oltre il minimo indispensabile.

Conclusioni

Da quanto fin qui evidenziato, è agevole indurre come la guida tecnica pubblicata da ENISA il 27 giugno 2025 non sia solo un chiarimento normativo ma una vera e propria cassetta degli attrezzi, pensata per aiutare le organizzazioni a diventare più resilienti, gestire meglio il rischio, affrontare con metodo la gap analysis e condurre audit efficaci.

In un mondo dove l’incertezza è all’ordine del giorno e la fiducia è una risorsa preziosa, questa guida è un alleato concreto. Non serve solo a “essere conformi”: aiuta a comportarsi in modo serio, verificabile e credibile.

Siamo davanti a un cambio di paradigma: la NIS 2 non resta più sulla carta, ma prende forma concreta grazie a un lavoro tecnico autorevole, chiaro e subito utilizzabile.

Ora la scelta è nelle mani di imprese, pubbliche amministrazioni e professionisti: restare spettatori, oppure agire.

Libera traduzione, dalla linea guida Enisa, a cura degli autori.