Quante misure prevede l'art. 24 c. 2 del DLgs 138/2024?

Dieci misure minime, elencate alle lettere a) fino a i) e l) — la lettera 'j' non esiste nell'alfabeto italiano, quindi il decreto usa la 'l' per la decima misura (autenticazione multi-fattore e comunicazioni sicure) dove la Direttiva NIS 2 usa la lettera (j).

Le Misure ACN sono già definite in modo completo?

Parzialmente. L'ACN pubblica le Determinazioni progressivamente. Le misure tecniche e i termini sono già fissati (Det. 379907/2025 + 127434/2026); la piattaforma e i fornitori rilevanti sono disciplinati dalla Det. 127437/2026; le categorie di rilevanza dalla Det. 155238/2026. Reglyze etichetta lo stato 'Parziale' e aggiorna la dashboard man mano che l'ACN pubblica.

Entro quando bisogna adottare le Misure ACN?

Per la coorte di soggetti inseriti nel 2026, i termini sono fissati: le misure dell'art. 24 c. 2 vanno adottate entro il 31 luglio 2027, mentre l'obbligo di notifica decorre dal 1° gennaio 2027 (Det. ACN 127434/2026 + 379907/2025). I termini decorrono dalla comunicazione individuale di inserimento nell'elenco.

Reglyze

Conformità NIS 2 / DLgs 138/2024 — Misure ACN

Misure ACN — le misure di sicurezza del DLgs 138/2024

Le Misure ACN sono le misure di gestione del rischio di cibersicurezza che i soggetti essenziali e importanti devono adottare ai sensi dell'art. 24 c. 2 del DLgs 138/2024 (decreto NIS). L'ACN — Agenzia per la Cybersicurezza Nazionale — le specifica progressivamente con proprie Determinazioni. Questa pagina spiega lo stato attuale, le 5 macro-funzioni del Framework Nazionale, le 10 misure minime e come Reglyze anticipa il catalogo definitivo.

⚠ Stato Parziale — pubblicazione progressiva delle Determinazioni

A differenza di un quadro pubblicato in un'unica volta, l'ACN pubblica le Misure ACN tramite Determinazioni successive. Reglyze mantiene lo stato "Parziale" e aggiorna la dashboard man mano che escono nuove Determinazioni. Può monitorare la fonte ufficiale su acn.gov.it.

Cosa sono le Misure ACN?

L'art. 24 c. 2 del DLgs 138/2024 elenca dieci categorie di misure di sicurezza (gestione del rischio, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, crittografia, controllo degli accessi, MFA, formazione, igiene di base, valutazione dell'efficacia). Il decreto fissa il cosa; l'ACN, con la Determinazione 379907/2025, definisce il come — i requisiti tecnici e organizzativi specifici, distinti per soggetti essenziali e importanti.

La struttura delle Misure ACN segue il Framework Nazionale per la Cybersecurity ed. 2025 (CINI + ACN), basato sul NIST Cybersecurity Framework. Poiché il Framework Nazionale precede il NIST CSF 2.0 (febbraio 2024), usa 5 macro-funzioni — Identifica, Proteggi, Rileva, Rispondi, Ripristina — senza la funzione "Governa" introdotta dal CSF 2.0: i contenuti di governance restano dentro la funzione Identifica.

Le Misure ACN non sono una norma di certificazione: sono requisiti regolamentari. I soggetti certificati ISO/IEC 27001 o allineati al NIST CSF possono dimostrare conformità equivalente per molte misure, ma l'adozione delle Misure ACN secondo le Determinazioni resta l'obbligo di legge.

Le 5 macro-funzioni del Framework Nazionale

Struttura allineata al NIST Cybersecurity Framework (pre-2.0). I nomi in italiano (Identifica / Proteggi / Rileva / Rispondi / Ripristina) sono le designazioni canoniche del Framework Nazionale per la Cybersecurity.

ID — Identify
Identifica
Governance della cibersicurezza, inventario degli asset, valutazione del rischio, gestione della catena di approvvigionamento. Copre art. 23 (organi direttivi) + art. 24 c. 1 (quadro di gestione del rischio) del DLgs.
PR — Protect
Proteggi
Controllo degli accessi, crittografia, MFA, formazione, sicurezza dei dati. Copre art. 24 c. 2 lett. a), e), g), h), i), l) del DLgs.
DE — Detect
Rileva
Monitoraggio continuo, rilevazione delle anomalie, processi di identificazione degli incidenti. Allineato all'art. 24 c. 2 lett. c) del DLgs.
RS — Respond
Rispondi
Gestione degli incidenti, comunicazioni, analisi della causa radice. Copre art. 24 c. 2 lett. b) e i doveri di notifica dell'art. 25 del DLgs.
RC — Recover
Ripristina
Continuità operativa, ripristino dei backup, gestione delle crisi. Copre art. 24 c. 2 lett. c) del DLgs.

Le 10 misure minime (art. 24 c. 2)

Le dieci categorie di misure obbligatorie — lettere a) fino a i) e l) (la lettera "j" non esiste nell'alfabeto italiano, quindi il decreto usa la "l" per la decima).

a)Politiche di analisi del rischio e di sicurezza dei sistemi informatici
b)Gestione degli incidenti
c)Continuità operativa e gestione delle crisi
d)Gestione dei rischi della catena di approvvigionamento
e)Sicurezza nell'acquisizione, sviluppo e manutenzione
f)Valutazione dell'efficacia delle misure di gestione del rischio
g)Pratiche di igiene di base e formazione
h)Crittografia e cifratura
i)Sicurezza del personale, controllo dell'accesso e gestione degli asset
l)Autenticazione multi-fattore e comunicazioni sicure

5 aree operative — esplora il dettaglio

Reglyze raggruppa le Misure ACN in cinque aree operative. Apra il dettaglio per vedere quali Determinazioni toccano ogni area, la copertura per ciascun controllo NIS 2 e il deep-link nel suo assessment.

Le Determinazioni ACN rilevanti

Det. ACN 379907/2025 — atto operativo principale: requisiti tecnici e organizzativi delle misure dell'art. 24 c. 2, distinti per soggetti essenziali e importanti, secondo il Framework Nazionale ed. 2025.
Det. ACN 127434/2026 — termini per la coorte 2026: adozione delle misure entro il 31 luglio 2027, obbligo di notifica con decorrenza 1° gennaio 2027.
Det. ACN 127437/2026 — piattaforma digitale ACN e disciplina dei fornitori rilevanti (catena di approvvigionamento, art. 24 c. 2 lett. d).
Det. ACN 155238/2026 — categorie di rilevanza (livelli di impatto alto / medio / basso / minimo) che modulano la proporzionalità degli obblighi.

Come Reglyze anticipa il catalogo

Mentre l'ACN pubblica le Determinazioni, la piattaforma Reglyze opera in modalità Parziale: le 5 macro-funzioni del Framework Nazionale sono lo scheletro, e le 10 misure dell'art. 24 c. 2 sono mappate alle aree operative. I report identificano chiaramente lo stato (badge "Parziale") — adeguato all'uso interno e all'allineamento del team, con la trasparenza richiesta dagli auditor.

La dashboard Misure ACN si attiva automaticamente per le organizzazioni italiane. Lo scoring è per area operativa e i documenti generati dall'IA portano il riferimento alle Misure ACN per allinearsi alla struttura che le Determinazioni adottano.

Domande frequenti

Cosa sono le Misure ACN?: Sono le misure di sicurezza che i soggetti essenziali e importanti devono adottare ai sensi dell'art. 24 c. 2 del DLgs 138/2024. L'ACN le specifica progressivamente con proprie Determinazioni; la Determinazione 379907/2025 è l'atto operativo principale, strutturato secondo il Framework Nazionale per la Cybersecurity ed. 2025.
Quante misure prevede l'art. 24 c. 2?: Dieci misure minime, elencate alle lettere a) fino a i) e l) — la lettera "j" non esiste nell'alfabeto italiano, quindi il decreto usa la "l" per la decima (autenticazione multi-fattore e comunicazioni sicure) dove la Direttiva NIS 2 usa la lettera (j).
Le Misure ACN sono già definite in modo completo?: Parzialmente. L'ACN pubblica le Determinazioni progressivamente (379907/2025, 127434/2026, 127437/2026, 155238/2026). Reglyze etichetta lo stato "Parziale" e aggiorna la dashboard man mano che l'ACN pubblica.
Entro quando bisogna adottare le Misure ACN?: Per la coorte 2026: misure dell'art. 24 c. 2 entro il 31 luglio 2027, obbligo di notifica con decorrenza 1° gennaio 2027 (Det. ACN 127434/2026 + 379907/2025). I termini decorrono dalla comunicazione individuale di inserimento nell'elenco.

Risorse correlate

Diagnosi NIS 2 / DLgs 138/2024 in 2 minuti

Scopra la sua classificazione (Soggetto Essenziale, Soggetto Importante o fuori ambito), poi esplori la dashboard Misure ACN. Senza carta di credito.