L'Agenzia per la Cybersicurezza Nazionale (ACN) e il cuore pulsante della strategia italiana di difesa cibernetica. Istituita nel 2021, ha assunto con la NIS2 un ruolo centrale: e l'autorita competente per la vigilanza, le ispezioni e le sanzioni nei confronti dei soggetti obbligati.
Ma cosa fa esattamente l'ACN? Come interagisce con le aziende? E soprattutto, cosa succede quando bussa alla tua porta? Facciamo chiarezza su un'istituzione che molti conoscono solo di nome.
Cos'e l'ACN e qual e il suo mandato
L'Agenzia nasce dal D.L. 82/2021 con un mandato ampio: proteggere gli interessi nazionali nel campo della cybersicurezza. Con il recepimento della NIS2 attraverso il D.Lgs. 138/2024, l'ACN e diventata l'autorita NIS nazionale, il punto di riferimento unico per tutte le organizzazioni soggette alla direttiva.
A differenza di altri paesi europei che hanno frammentato le competenze tra piu enti, l'Italia ha centralizzato tutto. L'ACN gestisce la registrazione, le ispezioni, le notifiche e le sanzioni. Un unico interlocutore per oltre 15.000 organizzazioni.
Le funzioni dell'ACN nella NIS2
- Registrazione — gestisce la piattaforma dove i soggetti NIS2 devono registrarsi
- Classificazione — determina se un'organizzazione e essenziale o importante
- Vigilanza — monitora il rispetto degli obblighi tramite audit e ispezioni
- Sanzioni — irroga sanzioni amministrative fino al 2% del fatturato
- Supporto — pubblica linee guida e alert su minacce emergenti
- Coordinamento — si interfaccia con CSIRT Italia e autorita europee
I poteri ispettivi dell'ACN
L'ACN ha poteri ispettivi significativi, esercitabili sia in modo programmato che a sorpresa. Puo richiedere documentazione, accedere ai locali aziendali, intervistare il personale e commissionare audit tecnici a spese dell'organizzazione controllata.
Per i soggetti essenziali (energia, trasporti, sanita, finanza, PA), le ispezioni possono essere sia preventive che reattive. Per i soggetti importanti, le ispezioni sono tipicamente ex post — scattano dopo una segnalazione, un incidente o un'evidenza di non conformita.
Come interagire con l'ACN
Il primo contatto avviene attraverso la piattaforma di registrazione. Ogni soggetto NIS2 deve registrarsi indicando dati aziendali, servizi erogati, punto di contatto e informazioni sull'infrastruttura. Dopo la registrazione, la comunicazione avviene tramite piattaforma e PEC.
Un consiglio pratico: non trattare l'ACN come un nemico. Le aziende che collaborano attivamente, segnalano tempestivamente e dimostrano buona fede ricevono un trattamento molto diverso da quelle che cercano di nascondere le carenze.
ACN e CSIRT Italia: ruoli complementari
Molti confondono ACN e CSIRT Italia, ma hanno ruoli distinti. L'ACN e l'autorita di vigilanza e regolazione. Il CSIRT Italia e l'unita operativa che riceve le notifiche di incidente, fornisce assistenza tecnica e condivide informazioni sulle minacce.
Quando un'azienda subisce un incidente significativo, la notifica va al CSIRT (entro 24 ore la pre-notifica, entro 72 ore la notifica completa). Il CSIRT valuta e offre supporto. L'ACN valuta se l'azienda aveva misure adeguate e ha rispettato gli obblighi.
Le linee guida dell'ACN
L'ACN pubblica periodicamente linee guida e raccomandazioni. Non sono vincolanti in senso stretto, ma seguirle e fortemente consigliato: in caso di ispezione, aver seguito le raccomandazioni e un punto a favore. Tra i documenti piu rilevanti: linee guida sulla registrazione, raccomandazioni per la gestione incidenti, indicazioni sulle misure tecniche minime.
Cosa aspettarsi nei prossimi mesi
L'ACN sta costruendo il proprio apparato di vigilanza. Le prime ispezioni sistematiche sono attese nel 2026, con focus iniziale sui soggetti essenziali. Per i soggetti importanti, la vigilanza sara graduale con approccio risk-based. Il consiglio: monitorare le comunicazioni dell'Agenzia e non aspettare l'ultimo momento.