Digital Sentinel #2

CyBrain

La NIS2 cambia tutto. Dalla sala server si passa alla sala board. E questa volta il rischio è sul tavolo del CDA

In questo numero:

  • Dal firewall al CDA: la nuova traiettoria del rischio cyber
  • Adesso risponde il board: gli errori non ricadono più solo sull’IT
  • 24 ore per reagire, un mese per spiegare: le nuove regole cyber
  • Non è più teoria: NIS2 entra nella fase di verifica

Dal firewall al CDA: la nuova traiettoria del rischio cyber

Gli attacchi cyber sono esplosi: +27% nel mondo, +67% in Europa, nel 2024. L’Italia, con appena l’1% del PIL globale, ha raccolto il 10% delle aggressioni totali. Non è più una questione tecnica: è un’emergenza strategica.

Con la Direttiva NIS2 (Network and Information Security 2) l’Europa risponde imponendo nuove regole e l’estensione delle responsabilità fino ai vertici aziendali.

Per anni la sicurezza informatica è stata considerata un affare tecnico, confinato nelle mani esperte dei team IT. Ma oggi il quadro è cambiato radicalmente: la cybersecurity è diventata una questione di governance, e chi siede ai vertici aziendali non può più permettersi di ignorarla. Il rischio digitale non è più confinato ai server o alle reti, ma scorre trasversalmente in ogni processo, ogni scelta strategica, ogni anello della filiera.

La sicurezza informatica sta vivendo una doppia evoluzione. Da un lato, è entrata in vigore la direttiva europea NIS2, che impone regole più severe, coinvolge molte più organizzazioni e attribuisce responsabilità dirette proprio ai vertici aziendali. Dall’altro lato emergono minacce inedite legate all’intelligenza artificiale agentica – sistemi di AI capaci di agire autonomamente, con iniziativa propria, e potenzialmente di sfuggire al controllo umano.

Imprese e istituzioni sono quindi chiamate a un duplice sforzo: adeguarsi alle nuove normative e prepararsi a una nuova generazione di minacce.

Adeguarsi alla direttiva NIS2 non significa semplicemente spuntare una checklist tecnica. Significa ripensare l’intero approccio alla sicurezza, trasformandola in una pratica aziendale viva, concreta, distribuita. E il percorso comincia da una nuova consapevolezza: la protezione deve essere permanente e prioritaria, in uno scenario dove i rischi si evolvono più in fretta delle contromisure.

Variazioni dei budget per la cybersecurity delle aziende nel 2025, con aumenti tra il 5% e oltre il 15%
Cambiamenti nei budget per la cybersecurity delle aziende a livello mondiale nel 2025.

Adesso risponde il board: gli errori non ricadono più solo sull’IT

È proprio su questo cambio di mentalità che punta la direttiva NIS2, introducendo una novità epocale: la responsabilità diretta dei vertici aziendali. Per la prima volta, la normativa europea impone agli organi di amministrazione e direzione l’obbligo formale di approvare e supervisionare le misure di sicurezza, acquisire competenze specifiche tramite formazione e rispondere in prima persona in caso di violazioni.

In pratica, se un’azienda non si adegua ai requisiti previsti dalla direttiva, i suoi dirigenti possono essere chiamati a risponderne in sede legale. Le responsabilità non si scaricano più verso dipartimenti tecnici o fornitori informatici. Non più.

In Italia, in caso di gravi inadempienze inerenti alla direttiva per le organizzazioni classificate come essenziali, l’ACN (Agenzia per la Cybersicurezza Nazionale) può disporre la sospensione temporanea dai ruoli dirigenziali per gli amministratori coinvolti. È un forte deterrente, perché tocca la responsabilità individuale e reputazionale dei decisori.

La NIS2 non si limita a dettare principi: introduce anche strumenti di controllo e verifica, come gli audit periodici e post-incidente, affidati a organismi indipendenti. Ogni organizzazione coinvolta dovrà dimostrare con evidenze documentate che le misure di sicurezza sono state effettivamente messe in atto e funzionano.

24 ore per reagire, un mese per spiegare: le nuove regole cyber

La NIS2 impone anche l’adozione di misure di sicurezza tecniche, organizzative e operative adeguate alla natura e alla dimensione dell’organizzazione. Non si tratta solo di tecnologie, ma anche di processi, policy e cultura interna.

Le imprese devono dotarsi di strumenti capaci di prevenire, rilevare e gestire gli attacchi, ma soprattutto di un approccio dinamico: la valutazione dei rischi va aggiornata con regolarità, per assicurarsi che le difese restino efficaci al variare del contesto operativo e delle minacce.

La direttiva cambia radicalmente anche il modo in cui vanno gestiti gli incidenti. Ogni evento rilevante – una violazione, un attacco, una perdita di dati – deve essere segnalato entro 24 ore alle autorità competenti. Entro 72 ore va fornita una prima analisi dettagliata e, entro un mese, una relazione conclusiva. Queste procedure di notifica diventeranno obbligatorie dal 1º gennaio 2026, ma richiedono già oggi un cambio di passo: non si può più improvvisare quando qualcosa va storto. Servono un piano, una squadra, un metodo.

Un altro snodo rilevante riguarda la supply chain: le aziende non possono più considerarsi isolate, ogni anello della catena è un possibile punto d’ingresso per un attacco. Ecco perché la NIS2 impone di valutare e gestire i rischi anche nei confronti dei fornitori. Chi fornisce servizi o componenti critici deve essere selezionato, monitorato e verificato non solo in base alla qualità di ciò che offre, ma anche in base alla sua solidità sul fronte cyber. In pratica, questo significa mappare i fornitori chiave, introdurre requisiti di sicurezza fin dai contratti, eseguire audit periodici e pretendere garanzie chiare su come gestiscono la sicurezza.

Parallelamente, c’è il tema della formazione. La NIS2 lo dice chiaramente: la sicurezza informatica non può restare una competenza specialistica relegata all’IT. Deve diventare patrimonio diffuso, soprattutto a livello direzionale. Per questo sono richiesti programmi di sensibilizzazione e aggiornamento permanenti, rivolti sia al personale operativo che ai membri del board.

Tra le principali vulnerabilità in ambito cyber, ce n’è una che nessuna tecnologia può eliminare del tutto: il comportamento umano. È spesso proprio qui che si aprono le porte agli attaccanti, tramite errori banali ma devastanti come cliccare su un link di phishing, cadere in una trappola di social engineering o usare credenziali deboli e non protette. Davanti a queste minacce, non basta una policy scritta: servono formazione continua, consapevolezza diffusa e una cultura aziendale che consideri la sicurezza un asset strategico, non solo un obbligo da spuntare.

È proprio alla luce di minacce come queste che la direttiva NIS2 diventa decisiva: impone alle organizzazioni di alzare il livello di consapevolezza, prontezza e controllo, non solo sui sistemi, ma su ogni decisione strategica legata alla sicurezza. Perché, quando l’AI entra nella cassetta degli attrezzi degli attaccanti, non si può più reagire a incidente avvenuto: serve una postura di difesa continua, preventiva, sistemica.

Priorità di investimento in cybersecurity per i leader aziendali nel 2025: protezione dei dati, modernizzazione tecnologica, formazione, miglioramento della postura di rischio e gestione delle violazioni.
Principali priorità di investimento in cybersecurity per i leader aziendali nel 2025.

Non è più teoria: NIS2 entra nella fase di verifica

La NIS2 prevede una roadmap di adeguamento molto precisa: in Italia, entro febbraio 2025, tutte le entità rientranti nel perimetro NIS2 – pubbliche e private – devono essersi registrate sulla piattaforma dell’ACN, avviando formalmente il percorso di adeguamento.

Dopo questa prima fase, possono scattare verifiche e ispezioni: l’Agenzia può accedere ai report di audit, richiedere informazioni aggiuntive e, in caso di incidenti gravi o sospetti, ordinare controlli straordinari.

Il percorso sarà graduale: entro inizio 2026 dovranno essere attivate le procedure di gestione degli incidenti e comunicazione al CSIRT (Computer Security Incident Response Team), mentre l’attuazione completa delle misure di sicurezza dovrà avvenire entro ottobre 2026.

Le sanzioni sono tutt’altro che simboliche, distinguendo tra soggetti essenziali, attivi in settori vitali come energia, sanità e PA centrale, sottoposti a controlli continui e sanzioni più elevate; e soggetti importanti, operanti in ambiti rilevanti ma meno critici, soggetti a vigilanza solo in caso di incidenti o anomalie.

  • Fino a 10 milioni di euro o il 2% del fatturato annuo globale per i soggetti essenziali.
  • Fino a 7 milioni di euro o l’1,4% del fatturato annuo globale per i soggetti importanti.
  • Sanzioni accessorie per i dirigenti, inclusa l’incapacità a svolgere funzioni dirigenziali.

Ma non ci si ferma qui: in aggiunta alle multe, sono previste misure amministrative per i dirigenti, come la revoca di certificazioni, la sospensione di autorizzazioni o l’interdizione temporanea da ruoli di responsabilità.

Questo approccio duale – colpire l’azienda e i suoi vertici – vuole generare un vero cambio culturale. La sicurezza informatica non è più (solo) una questione tecnica: diventa una leva di governance, al pari della gestione finanziaria o della compliance legale. È per questo che è necessario introdurre un vero e proprio Modello Organizzativo di Gestione della Cybersicurezza, integrato nei processi aziendali così come è avvenuto con il GDPR per la privacy.