L’entrata in vigore della direttiva europea NIS2 è stata uno degli argomenti più gettonati di ConfSec 2025, e non poteva essere altrimenti perché la portata e il significato della nuova normativa rappresentano due novità – e, se vogliamo, due problemi – davvero rilevanti per le aziende. Che spesso hanno anche qualche difficoltà ad approcciare una norma che non si limita a dare una lista di misure da implementare ma che, invece, richiede una buona capacità di analisi dei propri processi e della propria relativa “security posture”.

Pierguido Iezzi, Consigliere Nazionale Assintel, ribadisce l’importanza di comprendere bene e poi fare proprio il nuovo punto di vista presentato dalla NIS2. “Il concetto base della NIS2 – spiega - è il concetto di resilienza, intesa come la capacità di garantire la continuità operativa. È un cambio di paradigma rispetto al passato, perché il concetto di resistenza agli attacchi non è più il primo punto fondamentale da considerare ma diventa un elemento strumentale per garantire proprio la resilienza aziendale”.

Focalizzarsi sulla difesa dagli attacchi cyber, insomma, potrebbe non bastare più. L’obiettivo diventa fare in modo che anche in caso di attacco riuscito l’operatività aziendale ne risenta il meno possibile. Idealmente, non ne risenta affatto. Da questo punto di vista diventa indispensabile vedere la sicurezza cyber in un’ottica di gestione del rischio e non solo di difesa reattiva. E ovviamente non si possono gestire i rischi che non si sa di correre: solo individuandoli “comprendo anche le azioni che devo implementare ed ecco perché la prima fase è sempre un'attività di analisi del rischio, di assessment”, spiega Iezzi.

Anche per questo la direttiva NIS2 non impone lo stesso percorso di cybersecurity a tutte le imprese: ciascuna ha le sue necessità. “L'obiettivo vero – conclude Iezzi - è comprendere i gap che si hanno rispetto ai requisiti obbligatori: in base a questi si può costruire un piano di remediation che sia efficace, efficiente, sostenibile e coerente con la NIS2, con la dimensione aziendale e con le capacità e il contesto di business dell'azienda stessa”.