L’Italia è uno dei pochi Paesi che hanno recepito completamente la direttiva nella legge nazionale. Il nostro Paese si è mosso tempestivamente, dimostrando un forte impegno verso la sicurezza informatica. Secondo il report diversi fattori potrebbero aver contribuito a questo ritardo diffuso. Ecco quali.
La NIS2 è una direttiva complessa con un’ampia portata, che richiede modifiche significative alle leggi e ai regolamenti nazionali. Il processo di recepimento può richiedere tempo e risorse significative da parte degli Stati membri, con la necessità di coordinare diversi ministeri e agenzie.
Temi al centro del panel conclusivo dal titolo “NIS2, il primo bilancio delle istituzioni e delle imprese” della prima giornata del “CyberSec205. AI, Crittografia Post-Quantum, Spionaggio e Geopolitica: il nuovo mondo della Cybersecurity”, Conferenza internazionale di Roma promossa e organizzata dal giornale Cybersecurity Italia, giunta alla sua quarta edizione.
“Le aziende stanno ancora cercando di capire come procedere. Quello che ci interessa è comprendere il dopo ed essere più pragmatici. Ci si chiede, quali sono le regole da mettere in campo? La parte di risk management è fondamentale, ma allo stesso tempo è un settore troppo ampio, la richiesta che arriva dalle imprese è capire quali sono le azioni pratiche da compiere. Ci deve essere una linea guida, meno formalità, ma azioni concrete in un perimetro NIS unico. Rimanere vaghi su questo è un problema, si rischia di dover creare soluzioni di sicurezza su misura per ogni cliente. La pragmaticità aiuta le aziende a costruire il perimetro”, ha spiegato Gerardo Costabile, Executive Vice President di Dinova.
“La scorsa settimana si è avuto il rush finale sul quale abbiamo aiutato i nostri clienti. Guardando la normativa e quel che è successo sul campo, ciò che ha creato scompiglio è che il percorso così come è stato disegnato è andato ad incidere su imprese che non sono abituate a gestire determinati ambiti, sistemi di controllo e governance, sollevando criticità. Questo comunque va a coprire una carenza che evidentemente c’era. Avevamo diversi settori e un intero tessuto industriale fondamentale che non doveva rispondere ad una serie di normative e di conseguenza si era indietro dal punto di vista della sicurezza, la normativa sta aiutando a fare dei passi in avanti”, ha affermato Enrico Ferretti, Managing Director di Protiviti.
“Stiamo costruendo un binario per un treno che corre veloce. Rispetto alla consapevolezza del mercato, vediamo oggi quelli che saranno i futuri impatti della norma dal punto di vista di processo e tecnologico. È la prima norma che ha fatto prendere l’ascensore alla sicurezza informatica, non più quindi un tema esclusivamente tecnologico, non più in mano solo allo specialista IT ma anche ai board aziendali. Ci aspettiamo un sempre maggiore coinvolgimento dei grandi player che hanno una missione importante, di dover trascinare i loro supplier”, ha sottolineato Alessandro Manfredini, Direttore, Group Security e Cyber Defence, Gruppo A2A e Presidente, AIPSA ETS.
“Il bilancio di questa prima fase ha diversi lati positivi. La tematica e la sua importanza sono venute a galla. Sono emersi ad esempio dei codici Ateco, che erano poco conosciuti. Un’esperienza di tipo startup per un sistema che veniva per la prima volta utilizzato. Se non si fa tutto in un certo lasso di tempo c’è il pericolo delle sanzioni. Ci sono degli skills che vanno sviluppati. Ci sono migliaia di aziende registrate ma molte di queste non hanno dei Ciso ancora. Bisogna tenerne conto, molte di queste non sono consapevoli. Ci sono delle attività di governance da svolgere. Dobbiamo cercare puntare dritto all’obiettivo, bisogna aiutare i soggetti a fare sicurezza. Alcuni sono coscienti sul da farsi, altri andranno accompagnati a partire da zero. C’è tanto da fare nella supply chain, in quanto fornitore di una struttura critica. Ci sono i recepimenti NIS in altri Paesi e quando arriveranno ad esempio la Spagna e la Francia, ci potrebbero essere ulteriori criticità. Anche su questo ritengo sarà fondamentale l’aiuto dell’ACN”, ha detto Yuri Rassega, CISO, Enel Group e Presidente di Associso.
“La proporzionalità è un tema fondamentale, già trattato in altre occasioni. Quando abbiamo chiamato a raccolta tutti i colleghi dell’ACN alla Sapienza di Roma si è creato un importante momento per sensibilizzare i principali attori sulle nuove responsabilità imposte dalla Direttiva e per delineare una roadmap verso una maggiore resilienza digitale del Paese. Direttiva che stabilisce in più punti che la sua realizzazione deve essere proporzionata per essere efficace.
Si è invocata l’esigenza di praticità. Se c’è proporzionalità c’è anche un approccio pratico, perché si prevede che gli obblighi di notifica sono declinati esattamente con questo approccio.
Nel decreto legislativo abbiamo immaginato di introdurre una parte tutta italiana secondo la categorizzazione di dati e servizi e quindi delle infrastrutture digitali. Significa che è vero che la NIS si applica a tutta l’infrastruttura digitale del soggetto NIS, ma in maniera proporzionata all’esposizione al rischio”, ha spiegato Milena Rizzi, Prefetto, Capo del servizio autorità e sanzioni, Agenzia per la Cybersicurezza Nazionale, a cui sono state affidate le conclusioni della prima giornata di CyberSec2025.
La direttiva si applica principalmente a organizzazioni di medie e grandi dimensioni, con esclusione delle imprese con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano considerate di importanza critica. Tuttavia, anche le piccole imprese potrebbero essere coinvolte se operano in settori critici o fanno parte della catena di approvvigionamento di soggetti essenziali.
Oltre ai comparti tradizionali come energia, telecomunicazioni, trasporti, bancario, mercati finanziari e sanità, la NIS2 include anche settori ad alta criticità, come acque reflue, gestione dei servizi ICT B2B, pubblica amministrazione, spazio; ma anche servizi postali, gestione dei rifiuti, chimica, alimentare, produzione di dispositivi medici, elettronica, apparecchiature elettriche, macchinari, autoveicoli, trasporti specializzati, fornitori di servizi digitali e organizzazioni di ricerca.
“I soggetti presi in considerazione dalla NIS 2 sono in maggior numero di quelli coinvolti dalla NIS 1, abbiamo più di 80 nuovi soggetti in questo ambito che potrebbero trovarsi in difficoltà. La notifica degli incidenti è obbligatoria a partire dal 1° gennaio 2026, mentre l’implementazione delle misure di sicurezza è da completare entro il 1° ottobre 2026.
Perché le regole siano efficaci devono essere definite in base alla loro sostenibilità. Abbiamo avviato un gruppo di lavoro di esperti ACN che si sono focalizzati sulle misure di sicurezza della supply chain, il vero nervo scoperto”, ha aggiunto Rizzi.
“Una consultazione pubblica non è al momento prevista dalla norma, ma sarebbe certamente utile. Stiamo raccogliendo i feedback ed entro aprile riallacceremo la determina del direttore con gli allegati tecnici. Con questi usciranno anche le linee guida per il rafforzamento della cyber resilienza, da qui sarà possibile condurre per mano tutto il Paese e i soggetti interessati che cercano un confronto con l’Autorità. Nel momento in cui saranno rilasciati gli allegati tecnici e che dovremmo sottoporre alla Commissione potremmo – ha concluso Rizzi – potremo lavorare all’elaborazione delle linee guida per poter mettere a disposizione un corredo di accompagnamento dell’aggiornamento delle clausole contrattuali in essere”.
English (US)