Immaginate un panorama digitale in continua evoluzione, dove la velocità con cui si diffondono le minacce informatiche supera spesso la capacità di molte organizzazioni di proteggersi. In questo contesto, la Direttiva NIS 2 emerge come una risposta strategica e necessaria, pensata per alzare il livello della sicurezza cibernetica in tutta Europa.
Ma questa Direttiva non è solo un elenco di obblighi: è una “cartina di tornasole” che misura il livello di maturità delle aziende nel proteggere i propri asset digitali ed è una straordinaria occasione per chi è pronto ad accogliere il cambiamento.
Per alcune organizzazioni, adeguarsi alla NIS 2 è un percorso già tracciato, un’operazione di mera rifinitura all’interno di sistemi di gestione avanzati.
Per altre, invece, rappresenta un’urgenza, una trasformazione radicale per colmare lacune pericolose.
Indice degli argomenti
NIS 2, svolta normativa che ridefinisce la sicurezza digitale
La Direttiva NIS 2 rappresenta un’evoluzione fondamentale per la gestione della sicurezza delle reti e dei sistemi informativi in Europa. Recepita in Italia con il D.lgs. 138/2024, questa normativa non si limita a fissare obblighi, ma pone l’accento sulla necessità di una trasformazione culturale e operativa e ne fissa anche i tempi.
In questo contesto, l’articolo 24, comma 4 del decreto 138/2024, funge da campanello d’allarme, laddove stabilisce che “Qualora un soggetto rilevi la propria non conformità alle misure indicate al comma 2, è tenuto ad adottare, senza indebito ritardo, tutte le misure correttive necessarie, appropriate e proporzionate”.
Assume grande importanza quindi analizzare non solo le azioni richieste, ma anche i tempi effettivi entro cui un’organizzazione deve attivarsi per attuare le misure previste dalla Direttiva NIS 2 e, di conseguenza, dal decreto legislativo di recepimento, tenendo conto della vasta platea di soggetti coinvolti. Tali soggetti comprendono non solo le aziende critiche designate come essenziali, ma anche quelle appartenenti alla catena dei fornitori.
Quindi, se un’organizzazione non è conforme, farebbe bene ad adottare immediatamente misure correttive appropriate e proporzionate. Questa disposizione evidenzia la centralità di un’azione tempestiva e mirata, che coinvolga tutti i livelli aziendali, dai vertici decisionali alle funzioni operative.
Occuparsi o pre-occuparsi? Questione di postura di sicurezza
Non tutte le aziende si trovano nella stessa posizione di fronte alla NIS 2. Quelle con una postura di sicurezza già consolidata, supportata da sistemi di gestione come la ISO/IEC 27001:2022, possono limitarsi a integrare le disposizioni del decreto nei processi esistenti. Questo approccio consente loro di “occuparsi” della conformità, senza stravolgere il proprio assetto organizzativo.
Al contrario, le aziende prive di misure strutturali, o con un approccio frammentato alla sicurezza cibernetica, devono necessariamente “pre-occuparsi.” Ciò implica avviare un percorso complesso e prioritario, mirato a colmare le lacune e a evitare le conseguenze di una mancata conformità, come sanzioni, danni reputazionali e rischi operativi.
Tempistiche e responsabilità: agire subito per non subire
Il decreto legislativo di recepimento, n. 138/2024 è entrato in vigore il 16 ottobre 2024. Da quel momento, le aziende sono obbligate ad agire tempestivamente.
Si è evidenziato come il Legislatore, attraverso il comma 4 dell’articolo 24, sottolinei l’importanza di “affrontare il problema” con urgenza.
Rimandare l’adeguamento al 2025, periodo in cui sarà obbligatoria la registrazione, rappresenta un errore strategico che può compromettere la sicurezza aziendale e la conformità normativa.
La rapidità è quindi fondamentale. Ogni ritardo nell’adozione delle misure previste amplifica i rischi, rendendo le organizzazioni più vulnerabili a incidenti informatici e ispezioni regolatorie. L’attivazione tempestiva non rappresenta quindi solo un requisito normativo ma anche un investimento nella protezione e nella continuità operativa.
Misure di adeguamento: strategie personalizzate a geometria variabile
La quantità e la qualità delle misure da adottare costituiscono un “adeguamento a geometria variabile”. L’adeguamento alla NIS 2 richiede quindi approcci diversificati, basati sulla maturità dei sistemi di gestione esistenti in particolare per quanto concerne la sicurezza delle informazioni.
Tali misure variano in funzione del livello di preparazione dell’organizzazione. Se l’organizzazione dispone già di un modello conforme alla ISO/IEC 27001 (anche non certificato), il processo di adeguamento si limiterà alla presa in carico delle ulteriori disposizioni del decreto.
Viceversa, in assenza di un sistema organizzato e documentato, nemmeno a livello di misure minime di igiene informatica, l’intervento richiesto sarà più profondo e articolato.
A seguire, presentiamo due piani di adeguamento, distinti in base ai casi descritti (possesso o meno di un sistema di gestione a fronte della ISO/IEC 27001:2022), con un’ulteriore suddivisione tra misure tecniche e misure organizzative.
Piano di azioni per organizzazioni con sistema di gestione ISO 27001
| Area di Intervento | Azioni Chiave |
| Governance | Eseguire una gap analysis rispetto alla NIS 2 e alla ISO/IEC 27001:2022.Formare gli organi di gestione su rischi e misure adottate.Approvare un piano di investimenti (budget).Aggiornare responsabilità, organigrammi e job description (es. ruolo del CISO). |
| Gestione del Rischio | Valutare i metodi e i criteri di analisi del rischio già applicati.Integrare procedure per la gestione degli incidenti e la notifica.Condurre analisi BIA per la continuità operativa e pianificare business continuity e disaster recovery. |
| Supply Chain | Identificare i fornitori critici.Stabilire criteri di qualifica dei fornitori.Garantire la sicurezza della catena di subfornitura. |
| Change Management | Integrare la sicurezza nei processi di acquisizione, sviluppo e manutenzione dei sistemi. |
| Misure Tecniche | Valutare ed eventualmente integrare le richieste specifiche dei clienti.Condurre audit periodici, penetration test e test di vulnerabilità. |
| Formazione e Documentazione | Formare costantemente il personale coinvolto.Aggiornare manuali e documentazione del sistema di gestione della sicurezza.Integrare le policy esistenti con quelle richieste dalla NIS 2. |
| Monitoraggio e KPI/KRI | Definire strategie, KPI e KRI per misurare l’efficacia delle misure adottate.Condurre riesami periodici per valutare i risultati ottenuti e aggiornare il piano di investimenti. |
Piano di azioni per organizzazioni senza sistema di gestione ISO 27001
| Area di Intervento | Azioni Chiave |
| Governance | Condurre una gap analysis rispetto alla NIS 2.Formare gli organi di gestione e approvare misure di gestione dei rischi di cybersicurezza, inclusi il livello di rischio accettabile e il piano degli investimenti.Definire responsabilità, organigrammi e job description (es. ruolo del CISO).Implementare procedure per la gestione degli asset e della documentazione.Stabilire metodi e criteri per l’analisi dei rischi e della sicurezza dei sistemi.Creare procedure per la gestione degli incidenti, mitigazione degli impatti e notifiche. |
| Gestione delle Vulnerabilità | Definire procedure per la gestione delle vulnerabilità e per l’aggiornamento dei sistemi. |
| Continuità Operativa | Condurre analisi BIA (ISO 22317) e sviluppare piani di business continuity e disaster recovery. |
| Supply Chain | Analizzare e mettere in sicurezza la supply chain.Identificare fornitori critici e stabilire criteri di qualifica. |
| Change Management | Integrare sicurezza nei processi di acquisizione, sviluppo e manutenzione dei sistemi. |
| Strategia e Monitoraggio | Definire strategie, KPI/KRI e misurare l’efficacia delle misure adottate. Aggiornare periodicamente policy, formare il personale e sviluppare manuali di gestione della sicurezza.-Pianificare audit periodici, PEN test e test di vulnerabilità, includendo fornitori. |
| Misure Tecniche | Valutare i rischi di cyber security.Condurre un assessment dei siti, incluse le vulnerabilità.Progettare un high-level design delle architetture, segmentazione e segregazione delle reti.Supportare la gestione dei fornitori, sviluppare specifiche tecniche e monitorare FAT/SAT per la cyber security.Sviluppare piani di hardening per dispositivi, riducendo vulnerabilità.Implementare il patch management e scegliere soluzioni tecniche adeguate.Scegliere e implementare soluzioni di Information Security Design (IDS) per accesso remoto e gestione degli accessi. |
Dall’esame delle tabelle è agevole verificare come le organizzazioni che dispongono di un sistema ISO/IEC 27001 (anche non certificato), devono “occuparsi” dell’adeguamento alla NIS 2 che richiede meno interventi, ma comunque azioni importanti.
Chi parte da zero deve invece “pre-occuparsi”, avviando una trasformazione urgente per colmare gravi lacune e raggiungere la conformità.
Conclusioni
La Direttiva NIS 2 rappresenta un’importante occasione per rafforzare la sicurezza cibernetica e la resilienza operativa. Per le aziende che già vantano una solida postura di sicurezza, costituisce una naturale evoluzione strategica. Per quelle che invece sono ancora distanti da standard consolidati, richiede un approccio trasformativo, da tradurre in interventi tempestivi e concreti.
Il tempo è un elemento essenziale. Bisogna agire senza indugio per aderire alla normativa e per proteggere il proprio futuro nel panorama digitale.
La conformità non va considerata un punto d’arrivo, bensì un percorso continuo che consente di garantire fiducia, competitività e resilienza in un mondo sempre più interconnesso e vulnerabile.
