Con la NIS2 ormai operativa, a che punto sono davvero le aziende italiane su governance, gestione del rischio e protezione della supply chain? Quali criticità vedete ancora più diffuse e urgenti da risolvere? 

La direttiva NIS2 rappresenta un cambio di paradigma per la sicurezza informatica europea. Non è semplicemente un aggiornamento normativo, ma un’evoluzione culturale che impone alle organizzazioni un salto di qualità nella governance, nella gestione del rischio e nella protezione della supply chain. In Italia, mentre gli obblighi diventeranno progressivamente applicabili con scadenze di governance e reporting nel corso del 2026, molte aziende stanno ancora completando il percorso di adeguamento strutturale.

Osservando il mercato italiano, possiamo distinguere diversi livelli di maturità. Le grandi organizzazioni dei settori critici hanno avviato assessment strutturati e programmi di revisione delle policy, rafforzando i presìdi di identity management, vulnerability management e incident response. Tuttavia, anche in queste realtà permangono criticità nella misurabilità del rischio cyber e nell’integrazione dei controlli lungo l’intera catena del valore.

Le aziende di medie dimensioni, ora incluse nel perimetro NIS2, stanno vivendo la fase più complessa. La consapevolezza è cresciuta in modo significativo, ma spesso mancano competenze interne, processi formalizzati e strumenti realmente integrati. Il rischio è fermarsi a una compliance documentale, senza tradurre gli obblighi in capacità operative misurabili e continuative.

La criticità più urgente riguarda la supply chain. La NIS2 impone un controllo esteso anche ai fornitori critici, ma molte organizzazioni non dispongono ancora di strumenti adeguati per valutare in modo continuativo il livello di sicurezza dei partner, né di processi strutturati per gestire il rischio terze parti in modo sistemico. A questo si aggiunge il tema della responsabilità del management: la direttiva rafforza il coinvolgimento diretto degli organi di governance e richiede formazione specifica, ma non sempre il cyber risk è pienamente integrato nei modelli decisionali e nei framework ESG aziendali. Nel contesto italiano post-recepimento, il dialogo con l’ACN e la capacità di dimostrare accountability documentata diventano elementi strutturali del modello di governance.

In sintesi, negli ultimi anni la consapevolezza è cresciuta in modo evidente, ma la maturità operativa resta eterogenea. La vera sfida non è dichiararsi conformi, ma dimostrare nel tempo resilienza, capacità di prevenzione e tempestività nella risposta agli incidenti.

In che modo le vostre soluzioni aiutano i clienti a passare dalla compliance formale a una gestione continua e misurabile del rischio, inclusi i fornitori critici della supply chain?

In Check Point riteniamo che la NIS2 non debba essere affrontata come un mero adempimento, ma come un’opportunità per costruire un modello di sicurezza integrato, fondato su prevenzione, automazione e visibilità centralizzata. La nostra Infinity Platform, alimentata da capacità avanzate di intelligenza artificiale e da una threat intelligence globale, consente di proteggere in modo coordinato rete, ambienti cloud e workspace, offrendo una visione unificata del rischio e dei livelli di esposizione. Questo approccio è fondamentale per superare la frammentazione tecnologica che ancora caratterizza molte infrastrutture italiane.

Dal punto di vista della governance, accompagniamo le organizzazioni attraverso assessment strutturati, la revisione dei controlli esistenti e la definizione di roadmap di adeguamento concrete e sostenibili. Il focus è su un monitoraggio continuo e proattivo, su capacità evolute di detection e response e su una gestione delle vulnerabilità che non si limiti all’identificazione tecnica, ma che consenta una prioritizzazione contestuale in base all’impatto reale sul business. Allo stesso tempo, promuoviamo l’adozione di modelli Zero Trust e di controlli rigorosi sugli accessi privilegiati, insieme alla definizione di playbook di incident response pienamente allineati ai requisiti di reporting previsti dalla direttiva.

Un elemento centrale è la protezione della supply chain. Le nostre soluzioni integrano funzionalità di threat intelligence condivisa e strumenti di valutazione del rischio che permettono di monitorare in modo continuativo l’esposizione derivante da fornitori terzi, riducendo la superficie di attacco e migliorando la capacità di audit e rendicontazione verso autorità e stakeholder, in coerenza con il ruolo di supervisione e coordinamento dell’Agenzia per la Cybersicurezza Nazionale (ACN) nel quadro NIS2 italiano.

Attraverso i nostri servizi gestiti e il supporto ai partner MSSP, aiutiamo anche le organizzazioni che non dispongono di un SOC interno a garantire monitoraggio 24/7, reporting strutturato e gestione degli incidenti coerenti con le scadenze italiane. L’automazione e l’IA svolgono un ruolo determinante nell’accelerare i processi, migliorare l’accuratezza delle analisi e fornire al management metriche chiare e misurabili sull’esposizione al rischio.

La NIS2 richiede che controlli, monitoring e processi di incident response siano pienamente allineati prima che gli obblighi diventino effettivamente esecutivi. Agire in anticipo significa trasformare un vincolo normativo in un vantaggio competitivo, rafforzando fiducia, reputazione e continuità operativa.

Come Check Point Italia vediamo nella NIS2 un’opportunità per accompagnare le imprese verso una cybersecurity più matura, integrata e sostenibile nel tempo. Perché la vera compliance non è un traguardo statico, ma un percorso continuo di gestione consapevole del rischio.