La direttiva NIS2 impone nuove responsabilità a imprese e fornitori per rafforzare la sicurezza informatica. Ecco cosa sapere per arrivare preparati alla scadenza di ottobre e ridurre i rischi operativi e reputazionali.
La direttiva NIS2 mira a definire un quadro comune per la cybersecurity in Europa. Si tratta di un quadro normativo pensato per innalzare il livello minimo di sicurezza delle aziende.
Stabilisce i soggetti essenziali e quelli importanti che devono attenersi a obblighi in ambito di sicurezza informatica. Molte organizzazioni devono dimostrare entro ottobre 2026 di aver adottato le misure richieste e di averle adeguatamente documentate.
Non solo i soggetti interessati
Una delle caratteristiche della direttiva NIS2 riguarda il perimetro delle aziende coinvolte. Infatti, oltre ai soggetti direttamente interessati, anche realtà economiche che non rientrano negli obblighi della direttiva possono essere chiamate a rafforzare il proprio livello di cybersecurity.
Si parla di tutte quelle aziende che fanno parte della catena di fornitura di imprese più grandi che sono loro clienti.
Le aziende committenti, infatti, devono:
- Fare una valutazione dei propri fornitori
- Stipulare contratti che impongano requisiti di sicurezza
- Verificare le loro prestazioni
- Intervenire in caso di inadempienza anche sostituendo il fornitore
In definitiva, aziende non direttamente soggette alla direttiva possono diventarlo indirettamente nel caso lo siano i propri clienti.
Misurare il livello di preparazione
Ci sono diversi ambiti su cui intervenire, e misurare il livello di preparazione è fondamentale per riuscire a rispettare concretamente la direttiva.
Innanzitutto, è bene aver chiaro il perimetro di applicazione. Non basta infatti sapere di essere un soggetto essenziale o importante, occorre valutare attentamente anche la propria catena di fornitura.
Un aspetto fondamentale riguarda il management aziendale.
Infatti, il rispetto degli obblighi non è solo una responsabilità dei reparti IT, ma richiede anche il coinvolgimento di amministratori, dirigenti e componenti del CDA.
Questi hanno una responsabilità diretta e quindi devono disporre di informazioni e strumenti per esercitarla.
Valutazione del rischio
Le aziende dispongono di numerosi apparati connessi e devono quindi disporre di una precisa mappatura di quelli critici. È fondamentale saper valutare le vulnerabilità e le minacce a cui vanno incontro.
Il rischio va valutato comprendendo i sistemi interni, i dati, i fornitori chiave e le dipendenze tecnologiche. La valutazione del rischio deve essere documentata e resa disponibile ai vertici aziendali.
È necessario essere a conoscenza di cosa è già stato implementato e cosa resta ancora da fare. Le misure di sicurezza devono essere adeguate e riguardano:
- Cifratura dei dati sensibili
- Autenticazione a più fattori (MFA) soprattutto per gli accessi critici
- Monitoraggio costante degli eventi legati alla sicurezza
- Sistemi di backup non solo configurati ma con piani di ripristino testati
Avere un piano di risposta
Non è sufficiente dotarsi delle misure di sicurezza necessarie a proteggere la propria azienda. La direttiva impone anche di dotarsi di un piano di risposta preciso per gli eventuali incidenti.
I piani di risposta implicano l’adozione di processi che non possono restare solo sulla carta, ma vanno testati e simulati per garantire strumenti pronti e ruoli chiari. Non c’è spazio per le incertezze poiché le tempistiche di notifica prevedono:
- Entro 24 ore dalla rilevazione un preallarme ad ACN
- Una notifica dettagliata entro 72 ore
- Una relazione finale entro 30 giorni
Le notifiche per i soggetti obbligati dalla direttiva NIS2 prevedono anche un attento monitoraggio della catena di fornitura. Un incidente dovuto alla compromissione di un fornitore esterno comporta gli stessi obblighi di notifica e le relative responsabilità
Per questo le aziende coinvolte nella filiera devono essere preparate e dimostrarsi un partner affidabile, pena l’esclusione.
Personale e documentazione
Un tasto dolente nella cybersecurity riguarda il personale. L’origine di un attacco informatico è spesso riconducibile al phishing, all’uso di credenziali deboli e a comportamenti inconsapevoli. Non sono da meno alcuni errori di configurazione.
L’elemento umano è l’anello debole, molto più delle vulnerabilità degli apparati. Le organizzazioni sono chiamate a formare il personale pratiche di base della sicurezza informatica. Organizzare simulazioni è una pratica che mette alla prova il personale.
Tutto ciò che riguarda la sicurezza informatica va adeguatamente documentato e reso disponibile ad ACN in caso di verifica.
Predisporre misure tecniche adeguate senza un’adeguata documentazione a supporto, espone l’azienda a sanzioni formali.
NIS2 come leva strategica
Alcune organizzazioni possono scegliere di fare il minimo indispensabile per risultare conformi. Un approccio sbagliato poiché il rafforzamento della propria cybersecurity evita o mitiga i problemi derivanti da un attacco informatico.
A seconda della preparazione, un attacco può restare un problema serio ma gestibile oppure tradursi in un blocco operativo significativo con perdita di reputazione e denaro.
Essere preparati genera un posizionamento strategico nei confronti di clienti e partner.
© 2026- Riproduzione riservata
