La cybersicurezza non è più una questione riservata agli specialisti IT. Con l’entrata in vigore della NIS2 e il rafforzamento del quadro normativo europeo, la sicurezza digitale è diventata un tema di governance, che chiama direttamente in causa consigli di amministrazione e vertici aziendali.
A un anno dall’avvio della nuova disciplina e a ridosso della scadenza del 28 febbraio per la registrazione dei soggetti obbligati, il prefetto Milena Rizzi, direttore del Servizio Regolazione dell’Agenzia per la cybersicurezza nazionale (ACN), racconta a ComplianceDesign.it lo stato di preparazione delle imprese, le criticità applicative e le priorità operative, a margine dell’evento “Cyber resilience in action: governance e compliance tra DORA e NIS2” organizzato da AITRA in collaborazione con P4I lo scorso 15 gennaio a Roma.
Nel primo bilancio sull’applicazione della NIS2 emergono segnali di maggiore consapevolezza e un coinvolgimento più diretto dei board nella pianificazione delle misure di sicurezza, come previsto dal decreto legislativo 138/2024. Allo stesso tempo, l’intreccio tra NIS2, direttiva CER e regolamento DORA sta rendendo più complessi i percorsi di adeguamento, soprattutto per i soggetti attivi nei settori finanziario e assicurativo, chiamati a orientarsi in un quadro normativo multilivello.
Dal suo osservatorio istituzionale, qual è oggi lo stato di preparazione delle aziende italiane rispetto alla NIS2?
Dopo il primo anno di applicazione della NIS2 si osserva un cambiamento netto, con una crescita significativa della consapevolezza delle aziende sull’importanza della sicurezza informatica. Le imprese hanno compreso meglio quanto sia diventato cruciale mettere in sicurezza reti e sistemi informativi.
Questa maggiore attenzione è legata anche all’evoluzione dello scenario delle minacce, aggravato dal contesto geopolitico internazionale, che ha visto un aumento sia delle capacità degli attori ostili sia della pervasività degli strumenti utilizzati per colpire.
Un ruolo rilevante lo ha avuto anche il lavoro di accompagnamento svolto dall’Agenzia per la cybersicurezza nazionale, prima del recepimento della direttiva e poi, nel corso del 2025, per supportare concretamente i soggetti nell’attuazione delle misure previste. Oggi questo si traduce in un interesse molto più marcato da parte degli organi di amministrazione e dei vertici aziendali verso i temi della sicurezza e della resilienza informatica.
In passato i CISO raccontavano spesso di sentirsi poco ascoltati. Con la NIS2 questo è cambiato: il decreto legislativo 138/2024 coinvolge direttamente board e vertici aziendali, chiamati ad approvare le pianificazioni previste dalle “specifiche tecniche di base”, illustrate con linee guida dell’Agenzia, prima fra tutte la “linea guida alla lettura” pubblicata a settembre 2025. La cybersecurity non è più un tema confinato agli addetti ai lavori, ma entra stabilmente nelle agende dei consigli di amministrazione. Il risultato è un maggiore impegno da parte del top management e una progressiva integrazione della sicurezza informatica nelle strategie di governo delle organizzazioni.
Quali sono le principali criticità che state riscontrando nei percorsi di adeguamento?
La prima grande criticità è la complessità dell’impianto regolatorio. NIS2 nasce per colmare le lacune emerse con la NIS1, ma la sua attuazione si inserisce in un contesto normativo molto più ampio, costruito in parallelo a livello europeo.
La direttiva NIS2 è arrivata insieme alla direttiva sulla resilienza delle entità critiche (CER) e al regolamento DORA sulla resilienza operativa digitale del settore finanziario. L’entrata in vigore simultanea di questi testi ha creato un quadro particolarmente articolato, anche perché in molti casi gli stessi soggetti devono rispondere contemporaneamente a obblighi sulla resilienza fisica e a obblighi sulla sicurezza delle reti e dei sistemi informativi.
Per gli operatori del settore bancario, finanziario e delle infrastrutture dei mercati finanziari la complessità aumenta ulteriormente, perché si aggiunge anche il regolamento DORA, immediatamente applicabile e qualificato come normativa speciale. Uno dei nodi principali riguarda il coordinamento tra queste discipline. NIS2 e DORA sono state negoziate insieme e il legislatore europeo ha cercato di evitare sovrapposizioni, chiarendo che DORA, per i soggetti finanziari e assicurativi, opera come lex specialis. Questo principio è richiamato sia nei considerando di DORA sia nell’articolo 4 della NIS2, che attribuisce al regolamento la prevalenza in materia di gestione del rischio ICT e di incident reporting.
Le difficoltà emergono però sul piano applicativo, soprattutto con riferimento al perimetro dei soggetti coinvolti. DORA include espressamente anche assicurazioni e riassicurazioni, mentre la NIS2 e il decreto legislativo 138 del 2024 citano in modo esplicito solo i settori bancario e delle infrastrutture dei mercati finanziari. Questa apparente asimmetria va letta in chiave sistematica: la NIS2 corregge l’impianto della NIS1, che non contemplava il settore assicurativo, oggi invece pienamente regolato da DORA. In questo contesto è evidente che non si può chiedere a chi opera quotidianamente sulla sicurezza informatica di risolvere da solo questioni interpretative così complesse. Per questo l’Agenzia è fortemente impegnata nel chiarire il quadro normativo, accompagnare i soggetti obbligati e rendere il più possibile comprensibile l’architettura delle regole.
Quali sono oggi le tre priorità operative che l’ACN indica alle imprese e quali elementi non dovrebbero mai mancare in un programma di cyber compliance efficace?
La prima priorità è la consapevolezza, non solo del board. La sicurezza non può restare confinata nelle stanze dei vertici, ma deve permeare tutta l’organizzazione e coinvolgere chiunque abbia ruoli e responsabilità. È quindi fondamentale costruire piani strutturati di sensibilizzazione e percorsi di formazione differenziati.
La seconda priorità riguarda l’organizzazione. È necessario conoscere bene la propria struttura per distribuire correttamente ruoli e responsabilità. Anche in presenza di deleghe operative, le responsabilità che fanno capo al board restano del board. Deve essere sempre chiaro chi fa cosa. Quando avviene un attacco informatico, attraverso il reverse engineering si ricostruisce la kill chain. Allo stesso modo, quando si verifica un evento potenzialmente sanzionabile, si risale la catena delle responsabilità per individuare eventuali omissioni. Se ruoli e responsabilità non sono stati definiti in modo chiaro, questa ricostruzione diventa estremamente difficile.
La terza priorità è quella delle esercitazioni. Le simulazioni servono a evitare che, in caso di incidente reale, si perda tempo a capire come agire. I processi devono essere già noti: le decisioni cambiano a seconda degli scenari, ma il percorso da seguire deve essere chiaro. Decisioni estreme, come portare offline intere infrastrutture, coinvolgono il board. Altre azioni di mitigazione possono essere gestite a livelli diversi, se tutto è stato pianificato in anticipo. Quando questa architettura è chiara, ripartire è più semplice; quando non lo è, tutto diventa più complesso.
Un programma di cyber compliance efficace poggia quindi su tre pilastri: consapevolezza diffusa, chiarezza organizzativa ed esercitazione costante, insieme a una pianificazione concreta delle misure di sicurezza previste dalle specifiche tecniche.
Qual è il messaggio che desidera lanciare oggi alle imprese italiane sulla NIS2?
Il primo messaggio è molto concreto: attenzione all’obbligo di registrazione, che scade il 28 febbraio. È importante non sottovalutare questo passaggio.
Il messaggio è duplice. Da un lato riguarda chi si è già registrato lo scorso anno: la registrazione non è un adempimento una tantum, ma va rinnovata ogni anno. Le imprese cambiano, si trasformano, cedono rami d’azienda, si fondono o modificano le proprie attività. Tutti questi elementi possono incidere sull’appartenenza al perimetro NIS e devono essere comunicati all’ACN.
Il tema è ancora più delicato quando un’impresa svolge più attività riconducibili a diverse tipologie NIS e ne dismette solo una parte. Anche in questi casi la registrazione va rinnovata, specificando e documentando le variazioni intervenute.
Il secondo messaggio riguarda i nuovi soggetti. Quando nel corso del 2025 maturano i requisiti per rientrare nel perimetro NIS2, non ci si deve registrare immediatamente: la procedura è legata a una finestra temporale annuale. Chi raggiunge il dimensionamento a metà 2025 dovrà attendere gennaio-febbraio 2026 per procedere alla registrazione.
A monte resta fondamentale un serio lavoro di autovalutazione, per capire se le attività esercitate rientrino in una o più tipologie di soggetti NIS. È proprio questa fase che lo scorso anno ha creato le maggiori difficoltà. Il supporto dell’Agenzia ha portato alla produzione di numerose FAQ, pensate per accompagnare le imprese in questo percorso. L’obiettivo è rendere i nuovi soggetti sempre più autonomi, ma l’Autorità nazionale competente NIS resta disponibile a supportare chi dovesse incontrare difficoltà in questa fase di valutazione, primo passo verso una corretta applicazione della NIS2.