Nell’era del GDPR e della NIS 2, la capacità operativa non corrisponde all’adempimento documentale. Un assioma che dovrebbe essere ormai consolidato nella cultura aziendale di imprese private e PA.

Invece, nelle ultime settimane molte organizzazioni, pubbliche e private, si sono accorte improvvisamente che dal mese di gennaio 2026è scattato l’obbligo di notificare gli incidenti di sicurezza all’ACN. Da lì, la reazione istintiva: produrre in fretta una procedura di incident management, spesso assemblata:

1. recuperando template già pronti;
2. adattandoli superficialmente;
3. archiviando il problema come “risolto”.

È proprio qui che si consuma l’equivoco più pericoloso della NIS 2: scambiare l’adempimento documentale con la capacità operativa.

La falsa sicurezza dei documenti “last minute”

I documenti predisposti all’ultimo momento hanno un tratto comune: sono ordinati, ben scritti, ricchi di riferimenti normativi. Eppure tradiscono un limite strutturale perché raccontano come dovrebbe funzionare un sistema ma non dimostrano come funziona davvero quando l’incidente accade.

Ora, la NIS 2 non richiede l’esistenza di una procedura in astratto ma di gestire i rischi cyber connessi alla gestione degli incidenti di sicurezza. Questo può essere realizzato solo dotandosi della capacità di:

1. riconoscere un incidente;
2. valutarne l’impatto in termini di significatività;
3. decidere rapidamente;
4. coordinare ruoli e responsabilità;
5. conservare evidenze e comunicare verso l’esterno in modo tempestivo e coerente.

Ovviamente, tutto questo non si improvvisa e non si costruisce in pochi giorni, ma necessita a monte di una pianificazione e di un sistema di valutazione e verifica, anche attraverso audit, del modello adottato.

NIS 2 e ISO 27001: piani diversi, finalità diverse

Una parte della confusione nasce dall’uso indistinto di standard internazionali come, ad esempio, la ISO/IEC 27001:2022.

La ISO/IEC 27001 è certamente uno standard solido e prezioso ma ha una funzione precisa: costruire un sistema di gestione della sicurezza delle informazioni; quindi: governance, ruoli, responsabilità, controllo e miglioramento continuo.

La NIS 2, invece, guarda prima di tutto alla capacità di risposta e quindi non prevede che l’organizzazione sia “ben certificata” ma che sia in grado di governare un evento critico quando si manifesta.

Usare documenti ISO come risposta diretta agli obblighi NIS 2 significa sovrapporre livelli che dovrebbero restare distinti e complementari.

Inoltre, le linee guida ACN pubblicate a dicembre 2025 introducono un insieme di variabili e criteri che esulano dal perimetro tipico della gestione degli incidenti così come delineato dalla ISO/IEC 27001:2022.

Questo comporta un disallineamento strutturale tra i due approcci.

Va poi chiarito un punto spesso frainteso: non tutti gli incidenti in cui può incorrere un’organizzazione soggetta alla NIS 2 sono oggetto di notifica ad ACN. Diversamente, tutti gli incidenti che incidono sulla sicurezza delle informazioni devono essere comunque gestiti in modo sistematico e documentato, nel rispetto del requisito 10 e dei controlli da 5.24 a 5.28 della ISO/IEC 27001:2022, indipendentemente dall’obbligo di notifica.

NIS 2 e gestione incidenti: la logica ACN e il NIST CSF 2.0

L’impostazione seguita dall’Agenzia per la Cybersicurezza Nazionale è chiara e coerente. Le linee guida, seppur arrivate forse un po’ tardi, si muovono lungo la traiettoria del NIST Cybersecurity Framework 2.0.

Il FNCDP 2.1 ne è una traduzione nazionale evidente: non è un modello di certificazione ma una guida operativa che serve a capire se, davanti a un incidente reale, l’organizzazione sa:

1. cosa fare;
2. chi decide;
3. chi comunica;
4. chi conserva le prove;
5. chi risponde delle scelte compiute.

Il rischio delle semplificazioni consulenziali

In vari e organizzazioni questo equivoco è amplificato da un’abitudine diffusa: applicare template standardizzati, come se fossero una soluzione universale.

È una scorciatoia comprensibile ma davvero pericolosa.

È probabile, anzi è certo che ACN, in fase ispettiva, non chiederà l’esibizione di documenti “belli” né riferimenti normativi ridondanti ma andrà a cercare:

1. coerenza operativa;
2. capacità di dimostrare le decisioni prese;
3. tracciabilità delle azioni;
4. governo consapevole dell’incidente.

Quando la procedura è pensata solo per “esserci”, il rischio è quello di mancare completamente l’obiettivo della NIS 2.

Occorre, infine, tenere presente che la scadenza fissata dall’ACN non implica, sul piano formale, l’obbligo di predisporre una procedura dedicata.

Tuttavia, la complessità del processo di notifica è tale che, in assenza di una procedura strutturata e specifica, risulta estremamente difficile – se non impraticabile – effettuare una notifica corretta e tempestiva in caso di incidente significativo, considerata la quantità e la natura delle variabili che devono essere valutate.

Gestione incidenti: il vero cambio di passo richiesto dalla NIS 2

La NIS 2 impone un vero cambio di mentalità, perché sposta l’attenzione dal presidio meramente formale alla prontezza operativa.

Non è più sufficiente affermare che un incidente verrà gestito: diventa necessario dimostrare, in modo concreto e verificabile, che l’organizzazione è realmente in grado di farlo, nel momento in cui l’evento si manifesta.

In questa prospettiva, l’integrazione corretta non riguarda solo la gestione degli incidenti in senso stretto, ma più in generale l’intero sistema di sicurezza delle informazioni. Così:

1. la ISO/IEC 27001 fornisce l’architettura organizzativa e le regole del sistema di gestione;
2. il NIST CSF 2.0 accompagna e orienta i processi operativi, rendendo leggibile la capacità di prevenire, rilevare, rispondere e ripristinare;
3. l’ACN, infine, valuta se questo impianto regge nella realtà, quando l’incidente accade davvero, e non quando l’organizzazione ha il tempo e la comodità di prepararsi.

Conclusioni

Ridursi all’ultimo momento per “mettersi a posto” con la gestione degli incidenti è un segnale chiaro: non si è pronti.

La notifica all’ACN non è un adempimento burocratico ma l’atto finale di una catena di decisioni, azioni e responsabilità che deve esistere prima dell’incidente.

La NIS 2 non richiede più carta ma maturità organizzativa.

Chi continuerà a rispondere con documenti standardizzati forse potrebbe anche superare una scadenza ma rischia di fallire alla prima crisi reale.

In conclusione, non è nei template che oggi si misura la vera compliance.