Per anni molte aziende hanno considerato la cybersecurity come un tema tecnico da delegare all’IT.
La NIS2 cambia completamente prospettiva.
Per la prima volta la normativa europea sulla sicurezza informatica porta la responsabilità direttamente ai vertici aziendali. E in alcuni casi le conseguenze non riguardano soltanto l’organizzazione, ma anche chi la dirige.
Il 31 ottobre 2026 segna un passaggio importante. Fino a quella data l’Agenzia per la Cybersicurezza Nazionale (ACN) continuerà ad accompagnare aziende e organizzazioni nel percorso di adeguamento. Dal giorno successivo inizierà invece la fase di vigilanza e verifica formale.
Questo significa controlli, richieste documentali, audit e verifiche sull’effettiva applicazione delle misure di sicurezza richieste dalla normativa.
Se la tua organizzazione rientra nel perimetro NIS2 e non ha ancora avviato un percorso strutturato, il momento di iniziare è adesso.
Chi è coinvolto dalla NIS2
La direttiva distingue tra soggetti essenziali e soggetti importanti.
La classificazione dipende dal settore di attività, dalle dimensioni dell’organizzazione e dal ruolo che essa svolge all’interno dell’economia e delle infrastrutture nazionali.
Rientrano nel perimetro, tra gli altri:
- energia;
- trasporti;
- sanità;
- infrastrutture digitali;
- servizi cloud;
- telecomunicazioni;
- settore bancario e finanziario;
- pubblica amministrazione;
- numerose aziende manifatturiere di medie e grandi dimensioni.
Molte organizzazioni sono coinvolte senza rendersene conto.
Per questo il primo passo è verificare la propria posizione attraverso il portale ACN e completare le procedure richieste.
Cosa cambia dal 1° novembre 2026
Fino ad oggi l’ACN ha privilegiato un approccio di accompagnamento, pubblicando linee guida, chiarimenti e indicazioni operative.
Dal 1° novembre 2026 la situazione cambia.
L’Agenzia potrà effettuare verifiche ispettive, richiedere evidenze documentali e valutare l’effettiva implementazione delle misure di sicurezza adottate dall’organizzazione.
Le sanzioni economiche sono rilevanti:
- fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per i soggetti essenziali;
- fino a 7 milioni di euro o all’1,4% del fatturato mondiale annuo per i soggetti importanti.
Ma il vero elemento di discontinuità è un altro.
In caso di gravi inadempienze, il decreto legislativo 138/2024 prevede la possibilità di sospensione temporanea dalle funzioni dirigenziali dei responsabili dell’organizzazione.
La cybersecurity non è più soltanto un tema tecnico. È diventata una responsabilità di governance.
Le misure che devono essere realmente operative
La NIS2 non pretende che un’organizzazione sia immune da ogni incidente.
Chiede però che il rischio venga gestito in modo strutturato e dimostrabile.
Le misure richieste riguardano almeno queste aree:
- gestione del rischio e sicurezza dei sistemi informativi;
- rilevamento, gestione e risposta agli incidenti;
- continuità operativa e disaster recovery;
- sicurezza della supply chain;
- gestione delle vulnerabilità;
- sicurezza nello sviluppo e nella manutenzione dei sistemi;
- formazione del personale;
- utilizzo della crittografia;
- controllo degli accessi e autenticazione multifattore;
- sicurezza delle risorse umane.
Durante un audit la domanda non sarà:
“Avete letto la direttiva?”
La domanda sarà:
“Potete dimostrare che queste misure sono operative, documentate e verificate nel tempo?”
La capacità di fornire evidenze concrete sarà uno degli aspetti più importanti.
Da dove partire se non hai ancora fatto nulla
Molte aziende si trovano nella stessa situazione.
Sanno di rientrare nel perimetro NIS2 ma non hanno ancora avviato un percorso strutturato.
Spesso manca il tempo. A volte mancano le competenze interne. In altri casi manca semplicemente una chiara comprensione delle priorità.
L’errore più comune è partire dagli strumenti tecnologici.
Prima di acquistare nuove soluzioni bisogna capire qual è il livello di maturità attuale dell’organizzazione.
Per questo motivo il punto di partenza dovrebbe essere una gap analysis.
L’obiettivo è confrontare la situazione attuale con quella richiesta dalla normativa, individuando le aree più critiche e definendo un piano di miglioramento realistico.
Un approccio particolarmente efficace consiste nell’utilizzare modelli consolidati come il NIST Cybersecurity Framework 2.0, che permette di valutare il livello di esposizione al rischio e pianificare le azioni correttive in modo strutturato.
Le misure tecniche che riducono il rischio più rapidamente
Se il tempo è limitato, esistono alcuni controlli che offrono un impatto immediato sulla riduzione del rischio.
Tra le priorità principali:
Protezione delle identità
- autenticazione multifattore per email, VPN, amministratori e servizi cloud;
- revisione periodica dei privilegi;
- rimozione degli account inutilizzati.
Backup
- applicazione della regola 3-2-1;
- almeno una copia offline o immutabile;
- test periodici di ripristino.
Gestione degli aggiornamenti
- patch management regolare;
- procedure accelerate per vulnerabilità critiche.
Logging e monitoraggio
- raccolta centralizzata dei log;
- conservazione adeguata delle evidenze;
- monitoraggio degli eventi più rilevanti.
Hardening dei sistemi
- riduzione della superficie di attacco;
- limitazione degli strumenti non necessari;
- controllo delle configurazioni critiche.
Il ruolo del management
Uno degli aspetti più innovativi della NIS2 riguarda il coinvolgimento diretto del management.
Gli organi di amministrazione e i dirigenti devono approvare le misure di sicurezza, supervisionarne l’attuazione e acquisire competenze adeguate sul tema.
Questo significa che il percorso di adeguamento non può essere delegato esclusivamente all’IT.
La sicurezza informatica diventa una responsabilità condivisa che coinvolge l’intera organizzazione.
Le aziende che trattano la NIS2 come un semplice progetto tecnico rischiano di affrontare il problema nel modo sbagliato.
La direttiva parla di gestione del rischio, non di installazione di prodotti.
La notifica degli incidenti: una scadenza dentro la scadenza
Un altro aspetto spesso sottovalutato riguarda la gestione degli incidenti.
La normativa prevede tempistiche molto stringenti:
- pre-notifica entro 24 ore;
- notifica completa entro 72 ore;
- relazione finale entro un mese.
Per rispettare questi tempi non basta avere un documento scritto.
Servono procedure operative, strumenti di monitoraggio e persone che sappiano cosa fare quando si verifica un incidente.
Anche una semplice esercitazione documentata può rappresentare una prova concreta della preparazione dell’organizzazione.
Cosa fare nei prossimi mesi
Per chi deve ancora completare il percorso, le priorità dovrebbero essere:
- verificare la propria classificazione sul portale ACN;
- completare gli adempimenti di registrazione;
- definire chiaramente il perimetro dei sistemi e dei servizi coinvolti;
- eseguire una gap analysis;
- coinvolgere formalmente management e consiglio di amministrazione;
- definire un piano di remediation realistico;
- testare le procedure di gestione degli incidenti;
- valutare i fornitori critici dal punto di vista della supply chain;
- pianificare la formazione del personale;
- documentare tutte le attività svolte.
Il tempo per adeguarsi c’è ancora
Molte organizzazioni sono in ritardo, ma non è troppo tardi.
La differenza tra chi arriverà preparato e chi si troverà in difficoltà non sarà la quantità di tecnologia acquistata, ma la capacità di affrontare il percorso con metodo.
Presentarsi a un audit con un piano chiaro, responsabilità definite, evidenze disponibili e un programma di miglioramento credibile è molto diverso dal non avere alcuna strategia.
Il tempo che resta è sufficiente per chi inizia oggi.
Probabilmente non lo sarà per chi continua ad aspettare.