Quando ho iniziato a lavorare come consulente, parlare di cybersicurezza nelle organizzazioni significava quasi sempre parlare di conformità non obbligatoria. Quadri di buone pratiche, raccomandazioni, standard volontari. Qualcosa che era comodo avere, che forniva valore ai clienti o ai partner, ma che raramente condizionava le decisioni strategiche.
Inoltre, si trattava di un territorio chiaramente tecnico. Era delegata agli specialisti, veniva trattata in termini di sistemi, controlli e configurazioni ed era lontana dai tavoli in cui si decideva davvero la direzione dell’organizzazione.
Nel corso del tempo, questo panorama è cambiato radicalmente.
In primo luogo, perché gli incidenti hanno smesso di essere scenari ipotetici e sono diventati una realtà quotidiana. Poi, perché il loro impatto ha smesso di essere misurato solo in termini tecnici e ha iniziato a essere espresso in termini di interruzioni del servizio, perdita di fiducia, sanzioni, responsabilità legali ed esposizione pubblica.
Questo spostamento di scala ha progressivamente trasformato la conformità da opzione consigliata a obbligo legislativo. Ma ha anche rivelato qualcosa di meno ovvio e più scomodo: la conformità non equivale necessariamente a protezione. Infatti, alcune organizzazioni molto “conformi” si sono dimostrate sorprendentemente fragili quando la realtà ha messo alla prova i loro presupposti.
La direttiva NIS2 è una chiara manifestazione di questo cambiamento di paradigma.
La sicurezza informatica non è più una questione puramente tecnica, ma una responsabilità aziendale, condivisa e supervisionata dal management. La sicurezza non è più qualcosa che viene semplicemente delegato: è una questione di leadership, giudizio e responsabilità.
Non è un caso che negli ultimi mesi il NIS2 abbia iniziato a comparire nelle discussioni del comitato esecutivo. Viene spesso citata, ma raramente viene spiegata con calma o in tutta la sua dimensione. Perché la NIS2 non è solo un nuovo standard europeo: riflette un cambiamento epocale nel modo di intendere la sicurezza digitale.
Con questa direttiva, l’Unione Europea risponde al costante aumento degli incidenti informatici e alla crescente dipendenza dalle infrastrutture digitali e dai servizi essenziali. La sicurezza informatica è ora considerata una questione di interesse pubblico, non solo commerciale.
Il 18 ottobre 2024 ha segnato una svolta: la direttiva è entrata in vigore. In Spagna – come in altri Stati membri – il recepimento nel diritto nazionale è ancora in sospeso, il che crea incertezza. Ma questa incertezza non lascia spazio all’inazione.
Sintesi per il comitato direttivo
Se ti sono rimaste solo poche idee chiave sul NIS2, queste dovrebbero essere queste:
- La sicurezza informatica non è più una questione tecnica.
La NIS2 trasferisce la responsabilità alla gestione e alla governance. Non si tratta più di qualcosa che viene delegato senza essere seguito, ma di una questione che richiede giudizio, supervisione e responsabilità. - La conformità non equivale alla protezione.
La direttiva non mira ad accumulare controlli, ma a garantire che le organizzazioni gestiscano i propri rischi in modo realistico, soprattutto per quanto riguarda la continuità dei servizi e la catena di approvvigionamento. - NIS2 non è uno standard tecnico, ma un quadro di governance.
Non prescrive strumenti o configurazioni specifiche. Richiede decisioni, processi e prove per dimostrare una gestione responsabile della sicurezza. - Il rischio non è più solo interno.
Fornitori, terze parti e strutture critiche fanno parte del perimetro di responsabilità. Molti degli incidenti più gravi si verificano proprio in questi punti ciechi. - La preparazione non è un progetto una tantum, ma un sistema.
Diagnosi, governance, valutazione del rischio, misure proporzionate, formazione e revisione continua. La NIS2 si realizza integrandola nel normale funzionamento dell’organizzazione, non con azioni isolate.
Questa è la logica dell’approccio alla direttiva: meno urgenza reattiva e più costruzione di un sistema che permetta di prendere decisioni, agire e dimostrare in modo coerente.
Cos’è davvero NIS2
La NIS2 è una direttiva europea che stabilisce un livello minimo comune di sicurezza informatica per le organizzazioni che operano in settori considerati critici o essenziali. Sostituisce la prima direttiva NIS e ne amplia significativamente l’ambito di applicazione, i requisiti e il regime sanzionatorio.
Non è uno standard tecnico che ti dice come impostare i sistemi o quali strumenti specifici utilizzare. Il suo scopo è diverso: garantire che determinate organizzazioni gestiscano la sicurezza delle informazioni in modo responsabile, strutturato e controllato.
Il NIS2 pone quindi meno enfasi sulla tecnologia concreta e più sulla governance, sul processo decisionale e sulla capacità di dimostrare che viene esercitata la capacità di giudizio.
A chi si applica il NIS2
Una delle prime domande che molte organizzazioni si pongono è se la NIS2 le riguarda davvero. La risposta non è sempre ovvia, ma la direttiva si basa su tre criteri principali:
- Ubicazione: operare o fornire servizi nell’Unione Europea.
- Dimensioni: principalmente aziende di medie e grandi dimensioni, con alcune eccezioni.
- Settore di attività: purché sia incluso nei settori critici definiti.
Inoltre, il NIS2 distingue tra istituti critici e significativi, una classificazione che determina il livello di vigilanza e il regime sanzionatorio applicabile.
Alcuni esempi ci aiutano a mettere le cose in chiaro. Un ospedale rientra chiaramente nell’ambito dei soggetti essenziali. Un fornitore di servizi cloud o di infrastrutture digitali è direttamente soggetto alla direttiva. Un produttore può essere interessato se fa parte di una catena di fornitura critica. E molte aziende che forniscono servizi digitali a terzi sono coinvolte, anche se non ne sono sempre consapevoli.
La chiave è capire che non è più importante solo quello che fai internamente, ma per chi lo fai e quale impatto ha la tua attività sul sistema nel suo complesso.
La direttiva distingue due tipi di enti in base alla loro criticità. È fondamentale identificare il gruppo in cui rientra la tua organizzazione per capire il livello di supervisione a cui sarai soggetto:
| Categoria | Entità essenziali | Entità rilevanti |
| Settori | Energia, salute, banche, infrastrutture digitali. | Industria manifatturiera, alimentare, gestione dei rifiuti, servizi postali. |
| Monitoraggio | Proattivo: l’autorità può effettuare l’audit in qualsiasi momento. | Reattivo: monitorato in seguito a indicazioni di non conformità o incidenti. |
| Multe massime | 10M€ o il 2% del fatturato globale. | 7 milioni di euro, pari all’1,4% del fatturato globale. |
Cosa richiede NIS2
Il NIS2 introduce una serie di obblighi chiari che, se visti dall’esterno, possono sembrare impegnativi, ma che sono ragionevoli se affrontati in una logica di buona governance.
Il primo grande cambiamento riguarda la governance. La leadership non è più facoltativa. Il management deve essere coinvolto attivamente nella gestione della sicurezza informatica, approvare le misure necessarie, monitorare i rischi e assumersi la responsabilità.
In secondo luogo, la direttiva pone l’accento sulla gestione del rischio, con particolare attenzione alla catena di fornitura. La domanda non è più solo “siamo protetti”, ma “cosa succede se un fornitore o un servizio chiave da cui dipendiamo fallisce”.
Sulla base di questa analisi, la NIS2 richiede misure minime che non devono essere interpretate come requisiti tecnici complessi, ma come pratiche organizzative di base: politiche chiare, controllo degli accessi, piani di continuità, gestione degli incidenti e uso proporzionato della crittografia.
Un altro elemento chiave sono gli obblighi di rendicontazione, con scadenze rigide che richiedono una preparazione anticipata e il coordinamento tra le diverse aree. In questo contesto, l’improvvisazione non è più un’opzione praticabile.
Cosa succede se non viene rispettata
Il regime sanzionatorio della NIS2 è molto più severo di quello della direttiva originale. Ma ridurre il suo impatto alle sole multe sarebbe un errore.
Il rischio reale è di tipo reputazionale, contrattuale e operativo. La mancata conformità può comportare la perdita di fiducia, l’esclusione dalle gare d’appalto, la risoluzione dei contratti o l’interruzione di servizi critici. E, in molti casi, il danno più difficile da riparare non è quello economico, ma quello di credibilità.
Iniziare: un percorso pratico e realistico
La conformità alla NIS2 non è un progetto una tantum o un esercizio da spuntare. È un processo continuo che deve essere integrato nel normale funzionamento dell’organizzazione.
Un approccio sensato di solito inizia con una diagnosi onesta. Da lì, è importante definire una governance chiara e condurre una valutazione dei rischi per dare priorità agli sforzi.
Su questa base, viene costruito un piano d’azione realistico, accompagnato da una documentazione chiara e coerente. Formazione, test e revisione periodica completano il ciclo.
La sicurezza non accelera senza pagare un prezzo: richiede tempo, ripetizione e una certa umiltà organizzativa.
Relazione con altri framework: non partire da zero
In molti casi, la sfida non è implementare qualcosa di nuovo, ma ordinare ciò che già esiste, dargli una logica di governance ed essere in grado di dimostrarla in modo coerente.
Il NIS2 è chiaramente coerente con framework come ISO 27001, il National Security Scheme o altri sistemi di gestione. Molte organizzazioni dispongono già di pratiche e prove riutilizzabili.
Conclusione: NIS2 non è solo un requisito, è un’opportunità.
La NIS2 segna un prima e un dopo. Impone degli obblighi, ma apre anche una chiara opportunità per professionalizzare la cybersicurezza, rafforzare la resilienza e rafforzare la fiducia del mercato.
Non si tratta di “sopravvivere a NIS2”, ma di usarlo come leva per migliorare le cose.
Conformarsi alla NIS2 non significa accumulare documenti, ma sapere quali rischi si corrono, chi li decide e come dimostrare che sono gestiti in modo responsabile.
Quando l’organizzazione cresce, questa visione non è più gestibile con la memoria e i fogli sciolti. A quel punto, disporre di un sistema che colleghi rischi, decisioni, prove e revisioni continue permette di mantenere la responsabilità gestibile senza diluirla.
Noi di ithikios lavoriamo proprio secondo questa logica: aiutare a trasformare la NIS2 in un sistema governabile nel tempo, non in un esercizio di conformità una tantum.
