Decreto Legislativo 138/2024 — il recepimento italiano di NIS2

Il decreto 138 ha allargato significativamente l'ambito rispetto al precedente regime NIS. In scope come entità essenziali: energia, trasporti, banche, infrastrutture mercato finanziario, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione servizi ICT (B2B), pubblica amministrazione (centrale e regionale). Entità importanti: poste/corrieri, gestione rifiuti, chimica, alimentare, manifatturiero di dispositivi medici/elettronica/macchinari/veicoli, provider digitali, ricerca.

In pratica, la maggior parte delle organizzazioni italiane medio-grandi in settori regolati sono ora in scope. La soglia esatta è determinata dagli atti di esecuzione e dal registro ACN; se non sei sicuro, l'assunzione operativa sicura per il 2026 è che tu lo sia.

L'articolo 23 del decreto introduce uno shift significativo: i membri dell'organo di governo (CdA, vertice) sono ora personalmente responsabili di assicurare che le misure di cybersecurity siano adeguate, proporzionate ed efficaci. La non conformità può attivare sanzioni amministrative a livello corporate E responsabilità personale.

Questo cambia la conversazione di procurement. Un CISO che porta una proposta di security tooling al board non sta più argomentando solo sul merito tecnico — il board ha un interesse diretto, personale, nel vedere evidenza documentale che il tooling scelto riduca dimostrabilmente il gap tra efficacia dichiarata e operante dei controlli.

Il Title 13 del decreto operazionalizza la cadenza di reporting incidenti NIS2:

• 24 ore dal momento in cui "avresti dovuto sapere" di un incidente significativo: early warning ad ACN/CSIRT Italia con classificazione preliminare.
• 72 ore dallo stesso start: notifica completa con valutazione impatto, indicatori di compromissione, root-cause analysis iniziale.
• 1 mese: report finale con root-cause completa, status remediation, lessons learned.

Il countdown parte da "avresti dovuto sapere", non da "hai saputo" — significa che se il regolatore conclude che una detection efficace avrebbe fatto emergere l'incidente prima di quando è emerso, la timeline è calcolata all'indietro da quel punto. È il motivo operativo per cui la detection continua (non la cadenza batch del SIEM) diventa necessità regolatoria, non solo preferenza tecnica.

ACN (Agenzia per la Cybersicurezza Nazionale) è l'autorità competente. CSIRT Italia, all'interno di ACN, è il CSIRT nazionale — destinatario delle notifiche incidenti e fonte di threat intelligence settoriale.

ACN può condurre ispezioni on-site o remote, richiedere documentazione e auditare l'efficacia delle misure dichiarate. La richiesta pratica più comune è vedere la chain di evidenza di un controllo specifico su un periodo definito — esattamente l'artefatto che un Trust Center con evidenze firmate (ECDSA, log timestampati) produce di default e che un processo GRC manuale fatica ad assemblare.

Il decreto 138 non esiste nel vuoto. Interagisce con:

• Circolari AgID sulla qualificazione cloud per la PA (livelli QC1-QC4, requisiti di data locality).
• Perimetro di Sicurezza Nazionale Cibernetica (PSNC) — regime separato, più ristretto, per operatori nazionalmente critici; i prodotti in produzione richiedono valutazione CVCN.
• DORA — per le entità finanziarie, gira in parallelo a NIS2 con timeline e requisiti TLPT propri.
• GDPR — ogni incidente che coinvolge dati personali attiva anche il regime di notifica 72h art. 33; le notifiche multi-regime sono comuni.

Le organizzazioni in scope dovrebbero mappare i loro controlli una volta sola e riusare la chain di evidenza tra regimi, invece di ricostruirla per ogni audit.