Il Framework Nazionale per la Cybersecurity e la Data Protection – Edizione 2025 (FNCDP v2.1) è lo strumento indicato da ACN per l’adeguamento alle misure di sicurezza prescritte dalla NIS 2 e dal decreto legislativo 4 settembre 2024, n.138 con il quale l’Italia ha recepito direttiva europea.

La stessa Agenzia cyber ha, quindi, diffuso il Framework Core, senza però avere ancora pubblicato la metodologia di assessment aggiornata né aver rivisto ufficialmente quella del 2019, che resta comunque disponibile sul sito del FNCDP.

Questo articolo, primo di tre, nasce proprio come proposta originale di un metodo di contestualizzazione del FNCDP 2.1, senza il quale lo stesso Framework resta uno sterile elenco di misure tecniche e organizzative. Con un metodo, invece, diventa governo del rischio, assunzione di responsabilità e leva di cambiamento.

In attesa delle istruzioni ufficiali da parte dell’ACN, il riferimento più stabile resta, ragionevolmente, il NIST CSF 2.0.

È da qui che inizia il percorso per tradurre il FNCDP dalla carta alla realtà.

Una trilogia per contestualizzare il FNCDP nei soggetti essenziali e importanti

Come dicevamo, il Framework Nazionale per la Cybersecurity e la Data Protection – FNCDP 2.1 rappresenta oggi il linguaggio istituzionale della cyber security italiana. L’ACN lo indica come quadro nazionale di riferimento e il NIST lo ha mutuato come Cybersecurity Framework – CSF 2.0.

Tuttavia, come ogni linguaggio, rischia di restare incomprensibile se non è accompagnato da una “grammatica condivisa”, cioè da una metodologia capace di tradurlo nella realtà viva delle organizzazioni.

Al momento, l’ACN ha pubblicato solo il nuovo Framework Core del FNCDP 2.1. Non è stata ancora diffusa la metodologia di assessment aggiornata né è stato rivisto il metodo del 2019, tuttora disponibile sul sito ufficiale.

Quest’ultimo, però, si discosta in modo significativo dall’impostazione del NIST CSF 2.0, a cui il FNCDP 2.1 si ispira chiaramente.

Ora, noi non possiamo sapere quale sarà la metodologia ufficiale che l’ACN adotterà, ma ogni elemento lascia ragionevolmente intendere che la struttura logica seguita sarà quella del NIST CSF 2.0, da cui lo stesso FNCDP 2.1 trae origine e coerenza.

Infatti, se si guarda all’impianto da cui nasce il FNCDP 2.1, è difficile immaginare un’impostazione che non riprenda la logica già collaudata del NIST CSF 2.0.

È da questa convinzione che nasce la trilogia: tre articoli che traducono quel metodo in un percorso concreto di contestualizzazione, per permettere alle organizzazioni di iniziare subito a trasformare il framework in pratica viva, per comprendere come contestualizzare realmente il FNCDP all’interno della loro organizzazione in coerenza con il D.lgs. 138/2024.

Ecco le basi di tutto il percorso, rispondendo alle domande:

• perché serve una metodologia?
• cosa significa “contestualizzare”?
• e quali rischi corre un’organizzazione se non lo fa?

Il FNCDP non si applica, ma si contestualizza

Molte organizzazioni sono tentate di trattare il FNCDP 2.1 come una checklist tecnica, da scorrere e “spuntare”.

Ma questo è un errore profondo perché il FNCDP 2.1 – come il NIST CSF 2.0 da cui deriva – non è un manuale, non è una norma, non è una ricetta pronta.

Invece è un modello di risultati attesi. Dice: “Questo è ciò che dovrebbe esistere nella tua organizzazione se vuoi governare il rischio cyber in modo efficace e maturo”.
Ecco perché contestualizzare è fondamentale.

Significa prendere quel modello e calarlo nel contesto reale, tenendo conto di:

• struttura organizzativa,
• criticità dei servizi,
• maturità tecnologica,
• vincoli economici,
• normative applicabili,
• livello di rischio accettabile.

Senza contestualizzazione, ogni sforzo resta un esercizio di burocrazia e non un vero atto di governo.

NIS 2: la conformità non è più un’opzione

Il D.lgs. 138/2024, che attua la Direttiva NIS 2, impone obblighi precisi a una vasta gamma di soggetti – pubblici e privati – ritenuti essenziali o importanti per il funzionamento del Paese.

Tra questi obblighi, ce n’è uno che pesa più di tutti: adottare e attuare un approccio strutturato, consapevole e proporzionato alla gestione del rischio cyber, in coerenza con la propria missione e con gli obblighi normativi vigenti (vds. art. 24 del D.lgs.138/2024).

L’approccio richiesto non è solo tecnico ma anche strategico e documentale. Non basta fare. Bisogna anche saper dimostrare perché lo si fa, cosa si è scelto, come si è attuato e con quali risultati (vds. art. 23 del D.lgs.138/2024).

Ecco il motivo per cui il FNCDP 2.1. è stato indicato come riferimento nazionale: perché fornisce una struttura; ma per farlo funzionare, serve il metodo.

I 3 pilastri su cui si basa il metodo (non ancora pubblicato o aggiornato dall’ACN)

Ad oggi l’ACN ha pubblicato solo il Framework Core del FNCDP 2.1 e manca ancora il documento ufficiale sulla metodologia di contestualizzazione, o, quantomeno, un aggiornamento della metodologia definita per la versione del Framework del 2019.

È ragionevole ritenere e prevedere che tale metodo sarà quello descritto dal NIST CSF 2.0, basato su tre pilastri:

• Framework Core: un catalogo gerarchico di risultati attesi (outcomes), articolato in funzioni, categorie e sottocategorie.
• Profili: strumenti per descrivere dove si è (profilo attuale) e dove si vuole arrivare (profilo obiettivo), potendo utilizzare anche i cc.dd. Profili di Comunità.
• Livelli di Implementazione (Implementation Tiers): scala di maturità organizzativa, da “parziale” ad “adattivo”, che riflette quanto la cyber security è integrata nei processi aziendali.

Facendo leva su questi tre pilastri è possibile costruire un percorso pratico, fatto di evidenze, analisi, scelte motivate e piani concreti.

Contestualizzare significa scegliere, giustificare e attuare

Un buon metodo per contestualizzare il FNCDP può essere articolato nei seguenti 5 passi, tutti coerenti con la logica del NIST CSF 2.0:

• selezione delle misure rilevanti: in base a rischio, settore, maturità, vincoli;
• analisi sul campo: interviste, raccolta evidenze, osservazione diretta;
• definizione dei Profili: dove siamo e dove vogliamo arrivare;
• gap analysis: confronto, priorità, punti critici;
• piano d’azione: roadmap tracciabile verso la conformità, sostenibile nel tempo.

Il tutto deve essere tracciabile, giustificabile, proporzionato.

Senza metodologia, la compliance è solo un rischio in più

Molte organizzazioni oggi credono di essere “a posto” perché hanno “fatto l’analisi dei rischi”, o “creato un documento FNCDP 2.1”.

Eppure, mancano:

• una logica di scelta motivata;
• una struttura di accountability;
• una raccolta di evidenze concrete;
• una roadmap aggiornata e tracciata;
• un sistema di revisione ciclica.

Dunque, probabilmente, si potrebbe non essere conformi ed essere esposti non solo a minacce informatiche ma anche a ispezioni, sanzioni, interdizioni, reputazione, perdita di affidabilità.

Questione di metodo per la contestualizzazione del FNCDP 2.1

Non è il FNCDP 2.1 a garantire la sicurezza, ma il metodo con cui lo si applica.
Chi ha capito questo, ha colto la vera natura della NIS 2: una normativa che non impone una lista di cose da fare ma una postura organizzativa matura, documentabile, verificabile, migliorabile.

Nel secondo capitolo di questa trilogia, si descriveranno in profondità i tre pilastri del FNCDP – Core, Profili e Implementation Tiers – per capire come usarli davvero.