Con la NIS2 ormai operativa, a che punto sono davvero le aziende italiane su governance, gestione del rischio e protezione della supply chain? Quali criticità vedete ancora più diffuse e urgenti da risolvere?

Le nostre più recenti rilevazioni evidenziano che indicativamente il 60% delle imprese italiane ha già avviato un percorso strutturato di adeguamento alla normativa NIS2 con azioni concrete (ad esempio analisi dei rischi, governance, procedure organizzative). Molte le imprese che rimangono indietro o solo parzialmente allineate. In particolare, il dato indica che tantissime aziende non hanno ancora completato il proprio adeguamento ai requisiti normativi obbligatori ma si sono limitate ad avviare semplici progetti, rimasti spesso incompleti o con lacune strategiche (gestione del rischio, formazione, documentazione sistematica). Inoltre, una grande fetta delle aziende italiane ritiene di poter completare la compliance entro le scadenze UE, ma permangono tuttora importanti gap nella comprensione accurata dei requisiti, soprattutto da parte del top management aziendale. A nostro avviso questo indica che molte realtà sottovalutano la complessità normativa e potrebbero trovarsi non conformi anche se pensano di esserlo.

Le imprese risultano essere rimaste indietro soprattutto nella gestione del rischio cyber (hanno iniziato i progetti ma non hanno ancora una gestione sistematica e documentata conforme), hanno lacune in ambito formativo in quanto molte organizzano attività di training, ma spesso non sono strutturate rispetto a quanto richiesto dalla direttiva. Mancano anche processi di audit e monitoraggio sistematico. In sintesi, parliamo di grosse criticità pur considerando il fatto che dal 1° gennaio 2026 le imprese devono inviare notifica all’ACN degli incidenti significativi subito mentre entro e non oltre ottobre 2026 devono adottare misure tecniche e organizzative per prevenire i cyber attack.

Le sanzioni e verifiche operative sono già iniziate o stanno per iniziare con scadenze precise: i ritardi possono portare a multe e contestazioni formali.  Ci sono anche importanti differenze tra le imprese che si sono già allineate alla normativa e, i servizi ICT, il settore bancario e finanziario sono avanti nei processi di cybersecurity mentre settori come la PA, il retail e i servizi locali mostrano livelli di implementazione significativamente più bassi.

In che modo le vostre soluzioni aiutano i clienti a passare dalla compliance formale a una gestione continua e misurabile del rischio, inclusi i fornitori critici della supply chain?

La strategia di ESET in ambito NIS2 si concentra su conformità normativa, resilienza operativa e supporto continuo alle organizzazioni soggette alla direttiva europea. In particolare, per rispondere agli obblighi stringenti su Gestione del rischio cyber, Incident reporting entro 24 ore, Business Continuity, Sicurezza della supply chain, Responsabilità del management, le iniziative di ESET per la NIS2 si articolano in 4pilastri principali quali:

• Risk Management & Protezione preventiva, grazie a soluzioni chiave come ESET PROTECT Platform (gestione centralizzata); EDR/XDR (Endpoint & Extended Detection and Response); Threat Intelligence; Vulnerability & Patch Management; Encryption & Data Protection. L’obiettivo principale assicurato dalle soluzioni ESET è quello di ridurre la superficie d’attacco e dimostrare controlli tecnici adeguati.
• Detection & Incident Response (Obblighi di notifica), dove la NIS2 impone Early warning entro 24h e Incident notification entro 72h, ESET risponde con i propri servizi MDR (Managed Detection & Response), servizi che sono costruiti su un team numeroso di analisti, specialisti di digital forensics e figure di front‑line che parlano la lingua (anche culturale) delle PMI e dello small enterprise in Italia; un SOC-as-a-Service; Monitoraggio continuo 24/7 e Incident investigation & forensics. I servizi consentono alle organizzazioni di identificare rapidamente un attacco, documentare l’incidente e supportare la reportistica normativa
• Supply Chain Security per potenziare la sicurezza della filiera ICT, ESET offre Valutazione delle vulnerabilità; Protezione server & cloud;
• Governance, Awareness & Supporto alla compliance, la NIS2 richiede responsabilità diretta del management ed ESET supporta le aziende affiancandole con tecnologie avanzate e soluzioni di cybersecurity progettate per rafforzare la protezione dei sistemi e dei dati. Questi strumenti consentono ai team aziendali di implementare in modo più efficace le misure richieste dalla normativa, facilitando il percorso di adeguamento e contribuendo a costruire un approccio strutturato e consapevole alla sicurezza.

In conclusione, nel contesto italiano relativo all’applicazione della normativa NIS2, ESET si propone come vendor tecnologico, partner a valore per MSP/MSSP, supporto per PMI e mid-market e alternativa agile ai grandi hyperscaler security. ESET offre anche l’estensione dei propri servizi MDR ai partner, consentendo loro di integrare attività di monitoraggio, threat hunting e risposta agli incidenti nella propria offerta, qualificandola ulteriormente senza dover sostenere internamente la complessità di strutture specialistiche.

Gli elementi distintivi della strategia ESET si distinguono in un approccio modulare e scalabile, focus su prevenzione e low false positive, threat intelligence proprietaria, integrazione con ecosistemi SIEM/SOC, supporto locale tramite rete di partner. La strategia ESET in ambito NIS2 non è solo tecnologica, ma compliance-oriented, con focus sulla riduzione del rischio, su capacità di rilevazione avanzata e supporto alla notifica incidenti, abbinata a sicurezza della supply chain e pieno supporto alla governance.