L’arrivo della NIS2 non ha rappresentato soltanto un nuovo adempimento normativo, ma una vera svolta culturale: per molte organizzazioni ha significato ripensare sicurezza informatica, continuità operativa e responsabilità del top management come fattori di competitività, non come semplici obblighi da soddisfare.
Il talk organizzato da ComplianceDesign.it con EY Forensic & Integrity Services ha analizzato questi cambiamenti partendo dai risultati di una survey su 125 imprese. Al confronto sono intervenuti Alessandro Galiero (Fresenius Kabi), Andrea Lasagna (Fastweb Vodafone), Gennaro Lucarelli (DEKRA) ed Elena Maderna (Gruppo San Donato), con la moderazione di Denis Piazzi (EY).
Dal dibattito emerge una visione articolata che tocca i quattro pilastri su cui la NIS2 sta ridefinendo i modelli aziendali: Strategy, Governance, Supply Chain, SOC & Operational Resilience.
Strategy – Quando la cybersecurity diventa davvero strategica
Oltre il 90% del top management considera oggi la cybersecurity una priorità. Ma il punto non è più riconoscerlo: è tradurre questa consapevolezza in decisioni e processi. La NIS2 ha accelerato questo passaggio, imponendo responsabilità dirette al management e riducendo drasticamente i margini di reazione con tempi di notifica di 24 ore.
Non basta più essere conformi: servono test continui, simulazioni di crisi, processi strutturati. È qui che la cybersecurity diventa un fattore competitivo. Una maggiore resilienza riduce impatti economici e reputazionali, tutela la continuità dei servizi essenziali e consente tempi di ripristino più rapidi in un mercato dove l’innovazione corre più veloce della regolamentazione.
La componente umana resta decisiva. Ogni errore può compromettere un’intera infrastruttura, perciò servono cultura, consapevolezza diffusa e investimenti costanti. La strategia cyber non è un capitolo separato: è una parte integrante della strategia aziendale.
Governance – Il Board come protagonista della sicurezza
Sul piano della governance, molti operatori hanno già adottato framework strutturati e nominato un responsabile della cybersecurity. Ma il vero cambio di paradigma portato dalla NIS2 riguarda il ruolo del Board, che non è più un supervisore formale: deve essere parte attiva nella gestione del rischio cyber e ne risponde direttamente.
In questo contesto anche il ruolo del CISO evolve. Da figura prevalentemente tecnica diventa advisor del Board, chiamato a tradurre vulnerabilità e scenari cyber in impatti economici e operativi misurabili attraverso KPI e KRI integrati nel sistema di risk management.
I framework di riferimento (NIST, ISO 27001, COBIT) restano utili, ma nessuno è autosufficiente: la sfida è adattarli ai processi aziendali, soprattutto nei settori critici. In sintesi, adeguarsi alla NIS2 significa ripensare la governance nel suo complesso, superare la logica dei silos e costruire un coordinamento continuo tra Security, IT, Compliance, Legal e Procurement.
Supply Chain – L’anello più fragile della resilienza
Il talk ha evidenziato come la supply chain rappresenti ancora uno dei punti più critici. I fornitori non sono più un perimetro esterno: sono parte del rischio aziendale. Molti incidenti originano proprio da terze parti non adeguatamente controllate, mentre un terzo delle aziende non ha ancora processi strutturati di valutazione cyber dei fornitori.
I questionari di autovalutazione non bastano più. La due diligence deve diventare dinamica, basata su verifiche oggettive e su clausole contrattuali che prevedano audit, obblighi di sicurezza e remediation. Decisivo anche l’allineamento interno: Procurement, Legal, Security e Privacy devono operare con un’unica logica, evitando duplicazioni e frammentazioni informative.
Alcune aziende stanno introducendo sistemi di qualificazione e scoring dei fornitori, strumenti utili per dare continuità e omogeneità al monitoraggio. Una cosa è certa: la sicurezza della supply chain richiede un salto culturale che trasformi i fornitori in elementi attivi del sistema di difesa aziendale.
SOC e resilienza operativa – Dai log alla strategia
Il Security Operations Center non è più un semplice presidio tecnico ma un centro di intelligence che deve contribuire in modo concreto alla gestione del rischio. Oltre l’80% delle aziende dispone di un SOC, ma ciò che conta è il livello di integrazione nei processi aziendali e la capacità di anticipare gli attacchi, non solo di rilevarli.
La NIS2 richiede approcci proattivi, competenze dedicate, indipendenza operativa e un dialogo costante con il Board. Test, simulazioni e reporting periodico diventano strumenti essenziali per misurare la maturità e per trasformare il SOC in una leva di valore, e non in un centro di costo.
La fase della “execution strategica” è iniziata
Il messaggio finale del talk è chiaro: le imprese italiane hanno superato la fase interpretativa e sono entrate nel tempo dell’esecuzione.
La NIS2 non è un progetto IT né un semplice adempimento: è un cambio di modello che coinvolge strategia, governance, processi e cultura. La sfida oggi non è più comprendere la NIS2, ma farla diventare parte del DNA aziendale. Chi ci riuscirà sarà più resiliente, più competitivo e più credibile in un mercato in cui la sicurezza non è più un’opzione, ma una condizione essenziale.