Svolta cybersecurity. La direttiva NIS2 cambia tutto

La direttiva europea NIS2 non solo potenzia le regole della cybersecurity, ma implica un cambiamento di prospettiva introducendo un sistema di sicurezza nazionale diffuso, in cui ogni azienda contribuisce alla resilienza economica dell’intero ecosistema digitale. Ne abbiamo parlato con Gianluca Lombardi ceo di GL Consulting.

È il nuovo pilastro normativo europeo per la sicurezza di reti e sistemi informativi, ha l’obiettivo di rafforzare la resilienza digitale di imprese e infrastrutture critiche attraverso l’adozione di misure avanzate di cybersecurity. Non si limita alla protezione dei dati, ma mira a garantire la continuità operativa e a tutelare la fiducia del mercato in un contesto sempre più vulnerabile alle minacce informatiche. La normativa introduce obblighi chiari in materia di gestione del rischio, prevenzione degli incidenti e comunicazione tempestiva delle violazioni, alzando il livello minimo di sicurezza per tutti i soggetti strategici per il funzionamento della società e dell’economia europea.

Se ciascuno mette in sicurezza la propria azienda contribuisce di fatto alla sicurezza dell’intero sistema. In Italia esiste una frammentazione di tante piccole imprese tra loro interconnesse, quando una viene attaccata o violata, il danno può propagarsi lungo tutta la filiera, coinvolgendo clienti e fornitori. Più ognuno contribuisce con il proprio impegno, più l’ecosistema diventa sicuro con benefici concreti per tutto il Paese.

Con la notifica di inclusione da parte dell’Agenzia per la Cybersicurezza Nazionale – Acn, l’azienda viene ufficialmente riconosciuta come “soggetto NIS2” e da quel momento è tenuta ad avviare un percorso strutturato verso la piena conformità. In termini generali, le imprese devono implementare un sistema di gestione dei rischi legati alla sicurezza di reti e informazioni, predisporre piani di continuità operativa e risposta agli incidenti, adottare misure per la protezione della supply chain e notificare alle autorità competenti ogni incidente significativo.

Le sanzioni previste per la mancata conformità sono severe, si può incorrere in multe fino a 10milioni di euro o corrispondenti al 2% del fatturato annuo, cifre che in molti casi possono mettere a rischio la stabilità o addirittura la sopravvivenza dell’azienda. A questo si sommano i danni reputazionali, spesso difficili da recuperare. Oggi la cybersecurity è un vero e proprio requisito di mercato, senza un’adeguata protezione di dati e sistemi, si rischia di perdere clienti, partner strategici e opportunità di sviluppo.

La principale difficoltà è la mancanza di organizzazione. Le medie imprese risultano spesso arretrate su questo fronte, si trovano ad affrontare richieste legittime, ma non sono preparate a gestirle in modo metodico. C’è spesso buona volontà e sotto il profilo tecnico alcune misure di sicurezza sono anche implementate, ma manca la documentazione necessaria per dimostrarlo. Senza procedure che certifichino l’adozione di specifici standard anche un sistema sicuro rischia di non essere conforme. Un ulteriore problema è che le misure adottate sono spesso basilari, raramente vengono eseguite attività tecniche avanzate come i vulnerability assessment e la formazione del personale è generalmente carente. Questo aumenta i rischi legati all’errore umano, come un semplice clic che può generare gravi violazioni. Il nodo centrale è la carenza di una vera cultura della cybersecurity, è su questo punto che occorre investire, spiegando come e perché certe pratiche vadano non solo eseguite, ma anche documentate e organizzate.

Gli investimenti richiesti non sono necessariamente ingenti, perché molte delle misure indicate dall’Acn riguardano aspetti organizzativi, più che tecnologici. Si parla di struttura e processi aziendali, non solo di strumenti IT. I costi variano in base alle dimensioni e alla complessità dell’azienda, in ogni caso si tratta di investimenti spesso nell’ordine di qualche migliaio di euro. Ma il punto è un altro, queste spese andrebbero sostenute a prescindere dagli obblighi normativi. La NIS2 rappresenta una delle normative più coerenti e sensate oggi in vigore, non impone adempimenti casuali o scollegati dalla realtà operativa, come talvolta accade. Al contrario, propone un approccio concreto e proporzionato, pensato per aumentare la resilienza delle aziende di fronte a minacce informatiche sempre più frequenti e sofisticate. In questo senso non è solo un obbligo, ma un’occasione per rafforzare la sicurezza e la competitività delle imprese.

Partiamo da un primo step di analisi attraverso il nostro Cybersecurity Rating, uno strumento che consente di valutare il livello di sicurezza informatica dell’azienda, mappando rischi e vulnerabilità. Accompagniamo il cliente in un secondo step operativo con interventi tecnici e organizzativi su misura e con la gestione della documentazione necessaria a dimostrare la piena compliance normativa.