Compliance e NIS2

La NIS2 entra nella fase operativa vera: a gennaio 2026 è staccato l'obbligo di notifica degli incidenti significativi, entro ottobre sarà mandatoria anche l'adozione completa delle misure di sicurezza e ACN avvierà di fatto le attività ispettive. Secondo i dati dell'Agenzia per la Cybersicurezza Nazionale, ad oggi si sono registrate sulla piattaforma preposta oltre 30.000 organizzazioni, di cui oltre 20.000 sono state incluse nell'elenco dei soggetti NIS e più di 5.000 classificate come essenziali. Una platea vasta, distribuita su 18 settori, 11 dei quali altamente critici.

La tabella di marcia serrata è dovuta al fatto che gli attaccanti non aspettano, come ha ben illustrato nell’aggiornamento di ottobre 2025 il Rapporto Clusit: nel primo semestre dell'anno in Italia si sono verifcati 280 incidenti gravi. La composizione per tipologia di attaccante fotografa un'anomalia strutturale del nostro Paese: l'hacktivism pesa per il 54% degli episodi, contro l'8% della media mondiale, con i DDoS che toccano il 54% delle tecniche impiegate. Il cybercrime resta rilevante, ma è la componente geopolitica, con campagne coordinate a firma di gruppi filo-russi, a dominare la scena italiana. Gli attacchi con severità alta o critica superano l'80% del totale; il manifatturiero assorbe circa il 16% degli incidenti nazionali, contro il 6% della media globale. La NIS2 interviene in questo scenario come risposta a un rischio sistemico già in corso.

La fotografia che emerge dalle organizzazioni direttamente coinvolte nella direttiva rivela però un divario significativo tra l'adeguamento formale e la capacità operativa reale. Molte aziende hanno aggiornato le policy, completato gli assessment e nominato i punti di contatto. Molto meno frequente è trovare un'organizzazione in grado di dimostrare che i propri piani di incident response funzionano sotto pressione, che i backup vengono testati con regolarità come capacità operativa con limiti di tempo, che il rischio cyber è integrato nei processi decisionali del consiglio di amministrazione con indicatori misurabili e soglie di tolleranza definite.

La maturità resta disomogenea per dimensioni e settori. Le grandi organizzazioni nei comparti regolamentati, come energia, servizi finanziari e telecomunicazioni, hanno in genere strutturato assessment e programmi di revisione delle policy, rafforzando identity management, vulnerability management e incident response. Le medie imprese, che entrano per la prima volta nel perimetro della direttiva, si trovano invece nella fase più complessa: la consapevolezza è cresciuta in modo significativo, ma spesso mancano competenze interne, processi formalizzati e strumenti integrati. Il rischio è fermarsi a una compliance documentale senza tradurre gli obblighi in effettive capacità operative. Una survey condotta dalla Camera di Commercio di Modena con il Clusit su 715 PMI, e citata nel Rapporto Clusit 2025, ha rilevato che solo metà delle aziende soggette alla direttiva dispone di una procedura formale di gestione degli incidenti; in molte realtà, la formazione sulla sicurezza è sporadica anche tra i soggetti obbligati.

Uno dei cambiamenti strutturali più rilevanti introdotti dalla NIS2 riguarda la governance e la responsabilità diretta del management. In particolare, la normativa stabilisce che gli organi di amministrazione dei soggetti essenziali e importanti debbano approvare le modalità di implementazione delle misure di sicurezza e siano direttamente responsabili in caso di inadempienza. Le sanzioni previste arrivano fino a 10 milioni di euro o al 2% del fatturato annuo globale per i soggetti essenziali. Nonostante questo, spesso il rischio cyber non è pienamente integrato nei processi decisionali di molti consigli di amministrazione.

La protezione della supply chain è probabilmente il problema più urgente e, al tempo stesso, quello su cui i gap restano più profondi. I servizi essenziali dipendono fortemente da terze parti, ma la supervisione dei fornitori, delle piattaforme SaaS e dei canali di accesso esterni è spesso più debole dei controlli interni. La direttiva impone alle organizzazioni di valutare e gestire i rischi legati ai fornitori in modo strutturato, ma molte continuano ad affidarsi a questionari statici e clausole contrattuali. Mancano in molti casi una mappatura accurata dei fornitori critici e dei criteri standardizzati di valutazione del rischio terze parti. Gli attaccanti lo sanno e continuano a prendere di mira questi punti di accesso.

Un'altra criticità diffusa riguarda la resilienza operativa, intesa non come presenza di un piano ma come capacità di eseguirlo. I backup sono più frequenti, le policy di continuità operativa più formalizzate, ma il ripristino non viene testato come processo in condizioni reali. La stessa logica vale per gli ambienti gestiti da MSP e per le supply chain digitali: un modello operativo condiviso, playbook di risposta standardizzati e visibilità centralizzata consentirebbero di gestire l'esposizione di terze parti in modo più prevedibile, e preparerebbero l'organizzazione alla reportistica verso le autorità, ma non sempre questo di verifica.

Sul fronte delle soluzioni, la risposta che il mercato sta costruendo intorno alla NIS2 punta a superare la frammentazione tecnologica che ancora caratterizza molte infrastrutture italiane. I vendor indicano come strada da seguite l'integrazione di protezione dei dati, rilevamento e ripristino in un unico flusso operativo, con dashboard condivisibili, backup immutabili e prioritizzazione delle vulnerabilità in base all'impatto reale sul business. Inoltre, l'approccio Zero Trust e i controlli rigorosi sugli accessi riducono l'esposizione reale. La strada da percorrere è ancora lunga, e improvvisare non porta alla meta: occorre affidarsi a esperti di lunga data per un’implementazione effettiva e funzionale che sia strutturata non tanto per soddisfare la normativa, quanto per ottenere davvero la resilienza e salvaguardare il proprio business.