NIS2 e oltre: la cybersicurezza diventa governance aziendale
Al 23° Forum ICT Security ACN, aziende e studi legali a confronto sulla nuova responsabilità dei board, la convergenza normativa europea e il passaggio dalla compliance alla resilienza
La direttiva NIS2 non è un semplice adempimento normativo: segna un cambio di paradigma che porta la cybersecurity al centro della governance aziendale, coinvolgendo direttamente i consigli di amministrazione e ridefinendo il concetto stesso di responsabilità.
È quanto emerge dalla tavola rotonda “NIS2 & Beyond: governance della cybersicurezza nell’era della convergenza normativa europea“, che ha riunito al 23° Forum ICT Security autorevoli voci del mondo istituzionale, legale e aziendale.
A confrontarsi sul tema sono stati Nicolò Rivetti di Val Cervo, Capo Divisione NIS presso l’Agenzia per la Cybersicurezza Nazionale; Daniela Mazzarone, Vice President e Head of Cybersecurity Strategy & Governance di NTT DATA; Elsa Catalano, Group Compliance Director e DPO di Engineering; Ilaria Curti, partner di Portolano Cavallo, dove si occupa di diritto penale e 231. A moderare Laura Liguori, partner dello stesso studio legale con focus in data protection e cybersecurity, che in apertura del dibattito ha ricordato come l’attuale complessità normativa ponga sfide significative per le organizzazioni.
Dalla protezione delle infrastrutture critiche alla sicurezza di sistema
Nicolò Rivetti ha aperto il dibattito spiegando l’evoluzione che ha portato dalla NIS1 alla NIS2. Se in passato le normative sulla cybersicurezza, dalla prima direttiva NIS al Perimetro di sicurezza nazionale cibernetica, si concentravano su pochi soggetti – «qualche centinaio a livello nazionale, in quanto considerati infrastrutture critiche» – oggi lo scenario è radicalmente mutato.
Oggi, infatti, «la minaccia cibernetica (tranne forse quella di carattere statuale), è molto più interessata a soggetti più piccoli, che hanno meno risorse per mettere in piedi difese adeguate». La NIS2 va dunque intesa come un accompagnamento per questi soggetti meno maturi: «È come mettere l’antifurto su una macchina: non basta a garantire che non la rubino, ma abbassa le probabilità. Si cerca di gestire il rischio», ha sintetizzato il relatore.
C’è un altro elemento cruciale: la sicurezza informatica non può più essere pensata come questione della singola organizzazione. Un’azienda può essere colpita perché un proprio partner tecnologico o commerciale non si è messo in sicurezza. «Il concetto di filiera», ha sottolineato Rivetti, «in Italia è particolarmente importante».
La cybersecurity entra nel board
Il punto di svolta del d.lgs. 138/2024 con cui è stata recepita la NIS2 riguarda il ruolo del consiglio di amministrazione. Ilaria Curti lo ha sintetizzato in modo netto: «La NIS2 porta la cybersecurity all’interno del board».
Il CdA non deve più limitarsi a essere informato o a prendere atto. Deve approvare le misure di sicurezza, supervisionarne l’attuazione ed essere formato per capire cosa gli venga proposto; «prima di tutto, quindi, il cambiamento sta nella competenza del board, che oggi deve essere in grado di entrare nella gestione cyber dell’azienda».
E alla competenza si associa la responsabilità. Come ha ricordato la relatrice, i membri del consiglio di amministrazione rispondono con una misura interdittiva dalla funzione in caso di violazioni. Ma alcuni passaggi del testo normativo hanno generato preoccupazione: si può pensare che i consiglieri rispondano personalmente anche delle sanzioni pecuniarie comminate alla società? Secondo Curti, questa lettura sarebbe sproporzionata: vista la potenziale entità, una sanzione parametrata al fatturato aziendale applicata a una persona fisica equivarrebbe di fatto a una sanzione penale, il che non ha senso in un’ottica sistematica.
Rimangono tuttavia aperte altre forme di responsabilità: quella civile per mala gestio, qualora il board non abbia adempiuto ai propri obblighi e la società venga sanzionata; e potenzialmente quella penale per omissione in presenza di una posizione di garanzia e al ricorrere degli elementi costitutivi del reato. Il parallelo con la normativa in tema di salute e sicurezza sul lavoro – che include responsabilità penali per obblighi di protezione non esercitati in caso di incidenti – suggerisce che questo modello potrebbe applicarsi anche in caso in cui reati siano commessi in presenza di violazioni degli obblighi di sicurezza previsti dal d.lgs. 138/2024, pur rimanendo alcuni dubbi che solo l’applicazione in concreto della direttiva permetterà di chiarire.
NIS2: da direttiva tecnica a direttiva di governance
Daniela Mazzarone ha offerto una chiave di lettura che ribalta la percezione comune: la NIS2 non è una direttiva tecnica, ma una direttiva di governance. «Ha finalmente sottratto il tema della cybersecurity dalla sua usuale connotazione di componente tecnica a cui di solito era relegata, portandola al centro del business aziendale. È un cambio culturale importantissimo».
Per le organizzazioni meno mature, che si avvicinano per la prima volta a questi temi, la NIS2 rappresenta un accompagnamento. Ma il board deve dotarsi di tre capacità fondamentali: visibilità, competenza e collaborazione.
Sul tema della visibilità, la relatrice ha evidenziato un problema strutturale: le funzioni tecniche dispongono di una mole infinita di dati – alert, vulnerabilità, configurazioni – che però non arrivano al consiglio di amministrazione, perché non vengono “tradotti” in un linguaggio comprensibile. Come ha sintetizzato Mazzarone, il board deve poter rispondere a quattro domande essenziali: a quali minacce è esposta l’organizzazione, quale impatto avrebbero se si verificassero, quali sono le vulnerabilità maggiori (includendo l’intera filiera) e in quali tempi l’organizzazione è in grado di rispondere.
Il board deve avere competenze adeguate, come richiesto dalla normativa NIS2. Non si chiede al board di diventare un esperto tecnico; ma è necessaria la competenza per governare, da alimentare con formazione mirata.
Come ultimo elemento, il board deve poter contare su una collaborazione interfunzionale: CISO, Risk, Legal, Procurement, Operations, HR, Comunicazione devono lavorare su dati condivisi e priorità comuni. Garantire e costruire questa collaborazione è parte della governance e il board deve promuoverla attivamente, ad esempio istituendo comitati cyber, richiedendo simulazioni di crisi che coinvolgano tutte le funzioni e lo stesso CdA, definendo processi decisionali chiari.
«Si passa da un board che di solito chiedeva “quanto siamo conformi alla normativa”, “quanto ci discostiamo”, o “paghiamo la sanzione?” a un board che invece dice “quanto siamo pronti a reagire?”», con un cambio di prospettiva radicale nelle logiche gestionali delle organizzazioni.
La compliance come investimento strategico
Elsa Catalano ha spostato l’attenzione sul principale fattore che da sempre muove le aziende: il business. La domanda che arriva dal top management non riguarda solo la velocità di reazione a una minaccia, ma cosa si rischia di perdere in seguito a un incidente. E la risposta non è il denaro: «È la reputazione che si fa molta fatica a ricostruire».
La sfida è allora trasformare lo sforzo di compliance – l’aggiunta di regole, la traduzione di norme in comportamenti, gli adeguamenti tecnologici imposti da NIS2, DORA, CRA – in un investimento e una leva competitiva: «la possibilità di stare sul mercato in modo più solido, garantendo al cliente trasparenza, tracciabilità e fiducia».
Poiché questo vale per tutta la supply chain, la responsabilità degli operatori è creare un ecosistema in cui ciò che si garantisce al cliente possa riflettersi verso il fornitore. Spesso le aziende più piccole non hanno né la sensibilità né le risorse per investire in sicurezza: il supporto può consistere nell’aiutarle a definire congiuntamente un livello minimo di sicurezza che garantisca la governance dell’intera filiera.
«Non parlerei più di governance della singola azienda», ha concluso Catalano; «considerato qual è il mood della NIS2, stiamo parlando di sistema Paese. Dobbiamo fare da traino alle realtà più piccole».
La convergenza normativa: opportunità e rischi
Laura Liguori ha richiamato l’attenzione sul Digital Omnibus, il pacchetto di semplificazione normativa pubblicato dalla Commissione europea proprio il giorno precedente al panel, che mira a facilitare l’integrazione tra le diverse normative europee.
In merito, Rivetti ha invitato alla cautela: «È evidente che bisogna essere cauti, perché spesso le intenzioni di chi scrive la norma sono buone ma gli effetti pratici, poi, non così tanto…»
Un caso tipico è il rapporto tra DORA e NIS: sebbene l’impostazione iniziale prevedesse due “silo” distinti, concretamente emergono sovrapposizioni che generano complessità aggiuntiva o potenziali vuoti normativi. L’Agenzia sta lavorando per uniformare il catalogo dei requisiti e fornire indicazioni sulle equivalenze, laddove la legislazione lo consenta.
Portando un esempio concreto, il relatore ha ricordato che il settore portuale e dell’aviazione civile sono entrambi oggetto di preesistenti normative sovranazionali; e l’ACN può indicare quali obblighi NIS siano automaticamente soddisfatti dalle regole già in vigore.
Un altro fronte aperto riguarda il rapporto tra cybersecurity e data protection. È stato avviato un confronto con il Garante Privacy sulla questione della log retention, uno dei temi in cui sicurezza informatica e protezione dei dati presentano visioni apparentemente divergenti. Con la platea NIS che si è enormemente allargata, la preoccupazione è cresciuta e si stanno cercando soluzioni condivise.
Il modello 231 come base di partenza
Ilaria Curti ha individuato un punto di contatto importante tra la NIS2 e una normativa che le aziende italiane conoscono da oltre vent’anni: il decreto legislativo 231/2001 sulla responsabilità amministrativa degli enti. «Le organizzazioni (anche le più piccole) hanno ormai familiarizzato con i concetti di governance, processi, flussi informativi, strutturazione dei processi e consapevolezza».
A norma del decreto del 2001, tra i reati che comportano la responsabilità dell’ente figurano i reati informatici, incluso l’accesso abusivo a sistema informatico: la categoria generale in cui rientra ogni cyber attack. Le società che hanno già strutturato un “modello 231” con attenzione ai reati informatici dispongono quindi di una solida base su cui costruire, con risk assessment già effettuati, flussi informativi consolidati verso l’organismo di vigilanza e procedure documentate.
Il consiglio della relatrice è partire da una gap analysis per verificare cosa manchi rispetto agli obblighi NIS2: il risultato può essere quello che Liguori ha definito un «modello organizzativo 2.0», integrato e capace di coprire sia i requisiti previsti dal d.lgs. 231 sia le nuove richieste della NIS2.
Compliance integrata: DPO e CISO alleati
Alla domanda se il CISO fosse il suo migliore amico o il peggior nemico, Elsa Catalano ha risposto senza esitazioni: «È il mio migliore amico. È venuto ad ascoltarmi».
Tuttavia, ha sottolineato come questa collaborazione non sia scontata: richiede un approccio culturale diverso e soprattutto una percezione più ampia dell’impatto che un rischio cyber può avere su un’organizzazione complessa, con riflessi su molteplici piani normativi.
La visione è quella di una compliance integrata: NIS, DORA, decreto 231, privacy, cybersecurity, ma anche proprietà intellettuale e segreti commerciali. In particolare per le aziende del mondo ICT, essere vulnerabili significa esporsi anche al rischio di perdere competitività, mettendo sulla pubblica piazza strategie e tecnologie riservate.
L’obiettivo è ottimizzare i controlli senza duplicarli: prevenire audit diversi sulle stesse cose, evitare che le funzioni di compliance vengano percepite come un blocco al business. «Dovremmo essere dei facilitatori», ha osservato Catalano; e la chiave per tale obiettivo è l’integrazione della compliance nel business stesso.
L’intelligenza artificiale a supporto della governance
Daniela Mazzarone ha approfondito il contributo che l’AI può offrire nella gestione della complessità normativa, esplorando tre ambiti principali.
Il primo è la correlazione. L’intelligenza artificiale può mettere insieme in modo automatizzato tutti i requisiti delle diverse norme, rilevando eventuali interdipendenze tra le fonti: «Non si concepisce più la norma come un silo ma si costruisce una governance integrata alla luce di tutte le normative, nonché di linee guida tecniche, standard di riferimento e best practice internazionali».
Il secondo è il monitoraggio evolutivo. Le normative, infatti, evolvono costantemente; e disporre di uno strumento che funzioni «come un radar», capace di segnalare tempestivamente quali processi interni possano essere impattati da un cambiamento, può fare davvero la differenza per le organizzazioni.
Il terzo – forse il più concreto – riguarda la visibilità. Trasformare assessment periodici (e spesso time-consuming) in qualcosa di automatizzato e quasi real-time permette di offrire al board una fotografia costante dello stato di conformità, facilitando la gestione e i processi decisionali.
Tuttavia, Mazzarone ha voluto sottolineare un punto essenziale: «L’intelligenza artificiale non sostituisce assolutamente il giudizio umano» e soprattutto «non può sostituirsi all’accountability», che deve restare appannaggio esclusivo delle persone, così da garantire coerenza strategica, responsabilità ed etica nelle scelte aziendali.
La gestione della supply chain
Sul fronte operativo, Elsa Catalano ha descritto l’approccio adottato da Engineering per la gestione dei fornitori. Si è partiti da una due diligence approfondita già nella fase di inserimento in vendor list, con una “pulizia” di quanto presente nei sistemi: la competenza su specifici prodotti o servizi veniva spesso acquistata da piccole startup che, pur eccellenti nel loro ambito, non garantivano standard di sicurezza adeguati nella filiera.
È stato poi elaborato un questionario da utilizzare nella proposizione dell’offerta al cliente, in modo che sin dall’ingaggio siano esplicitati i requisiti di sicurezza aggiuntivi. Le priorità sono trasparenza e fiducia: se il servizio costa di più, è perché garantisce maggiore solidità.
Segue un monitoraggio periodico stringente – non annuale come in passato, ma con cadenze più ravvicinate – sull’intera filiera, che può essere by desk (con reportistica e segnalazione di campanelli d’allarme) o tramite audit tecnici con personale specializzato. Il tutto confluisce in un processo di third party risk management allineato non solo ai requisiti NIS ma anche alle best practice del mondo bancario, dove DORA impone obblighi specifici di verifica dei fornitori in capo al consiglio di amministrazione.
L’approccio pragmatico di ACN
Nicolò Rivetti ha illustrato la filosofia che guida l’Agenzia per la Cybersicurezza Nazionale nella fase di prima applicazione della NIS2. Fino a un anno fa, l’ACN doveva supervisionare qualche centinaio di soggetti; oggi si trova a gestire decine di migliaia di organizzazioni.
L’approccio, di conseguenza, è dichiaratamente pragmatico: «È meglio chiedere un po’ meno, per portare tutti “a bordo” progressivamente, dando tempo al tempo».
L’obiettivo è essere percepiti non come “vessatori” ma come strumento di supporto. Questo non significa certo che chi sbaglia non rischi di essere punito – in merito la norma è chiara – ma che, prima di arrivare alla sanzione, il decreto prevede una serie di strumenti di supporto e monitoraggio che costituiscono attualmente il focus principale dell’Agenzia.
Ad esempio, «all’inizio dell’anno sono state inviate decine di migliaia di comunicazioni ai soggetti potenzialmente rientranti nell’ambito di applicazione», nella convinzione che sia preferibile inviare una PEC in più, piuttosto che scoprire tra qualche anno una mancata compliance e dover azionare la leva sanzionatoria.
La notifica come risorsa, non come denuncia
Rivetti ha voluto chiarire anche la natura dell’obbligo di notifica degli incidenti, che non va percepito come mero adempimento: «notificare gli incidenti al CSIRT consente (e questo è vero soprattutto per i soggetti meno maturi) di avere il supporto di un centro di competenze unico, con un team di esperti che ha conoscenze stratificate nel tempo».
In questo senso la notifica è importante per il singolo soggetto, «per rimettersi in piedi e potersi difendere» da ulteriori attacchi; ma anche per il sistema nel suo complesso. Al CSIRT Italia, infatti, «si agganciano meccanismi di coordinamento a livello nazionale, europeo e sovra-europeo per gestire incidenti che assumano dimensioni di crisi».
Il relatore ha concluso con un promemoria operativo: fino al 31 dicembre 2025 è possibile – e obbligatorio per tutti i soggetti NIS – designare il referente CSIRT e i suoi sostituti. A differenza del “punto di contatto” tale referente deve necessariamente avere competenze tecniche, essendo «l’interlocutore che dovrà interagire con il CSIRT nazionale in fase di notifica per ottenere supporto».
Il fattore umano: da anello debole a leva strategica
Daniela Mazzarone ha incentrato il suo intervento finale su un tema che definisce il suo “cavallo di battaglia”, ossia il fattore umano nella cybersecurity. «Siamo l’anello debole della catena», ha ricordato; ed effettivamente i dati dimostrano che gli incidenti maggiori avvengono spesso per un click sbagliato, per inconsapevolezza o per comportamenti superficiali degli utenti.
Tuttavia, questo anello debole può trasformarsi in una leva strategica. La chiave è integrare la sicurezza nei comportamenti quotidiani, così come la si integra nelle macchine e nei sistemi operativi. E poiché i temi possono risultare noiosi, occorre trasformare la formazione tradizionale in qualcosa di stimolante.
Mazzarone ha citato la situational awareness – portare il dipendente in situazioni concrete per capire come reagirebbe – e la gamification, che prevede la creazione di programmi con competizioni interne e meccanismi di gioco capaci di coinvolgere e divertire.
Invitando a «giocare con la cybersecurity», ha ricordato come anche l’intelligenza artificiale possa aiutare in tal senso; ad esempio con tecniche che avvisano quando ci si sta comportando in modo rischioso, abilitando un cambio culturale progressivo.
Le deleghe: competenza, autonomia, formalizzazione
Ilaria Curti ha chiuso il panel con indicazioni pratiche sulla strutturazione delle deleghe interne. Il board ha molte responsabilità e non può occuparsi di ogni dettaglio operativo: di conseguenza, serve qualcuno che gestisca l’operatività quotidiana.
Perché una delega sia effettiva, deve rispettare alcuni requisiti come stabilito dalla giurisprudenza. Innanzitutto, come requisito minimo indispensabile, il delegato deve essere competente. In secondo luogo deve avere autonomia decisionale e, crucialmente, libertà di spesa: nella cybersecurity gli interventi devono spesso essere immediati, quindi chi è delegato deve poter agire senza attendere autorizzazioni.
Infine le deleghe devono essere formalizzate correttamente, perché una struttura decisionale chiara non solo aiuta a organizzare meglio l’azienda ma facilita la ricostruzione della catena di responsabilità, semplificando la strategia difensiva in caso di problemi.
Le parole chiave: democratica, politica, integrata
Nelle riflessioni conclusive, Laura Liguori ha individuato le parole chiave emerse dal dibattito.
Con la NIS2, si può affermare che la compliance cyber è diventata “democratica” – coinvolgendo un numero enormemente maggiore di soggetti – e ha assunto una dimensione “politica“: proteggere la propria organizzazione significa proteggere l’intero sistema.
La responsabilità degli amministratori, pur generando preoccupazione, è lo strumento che consente di considerare la cybersecurity come pilastro strategico sempre più integrato nel business. L’esecuzione operativa passa per un controllo più continuativo e dinamico sulla supply chain, per garantire dipendenti consapevoli e un’accountability diffusa.
C’è poi l’ulteriore novità, sottolineata da Rivetti, per cui la notifica di un incidente non è solo l’ammissione di una mancanza ma un contributo alla sicurezza collettiva: poiché gli incidenti capitano a tutti, condividere informazioni aiuta l’intero ecosistema a difendersi meglio.
Non solo responsabilità diffusa all’interno dell’azienda, dunque, ma della società tutta: ognuno di noi, nella propria vita quotidiana, può contribuire a una maggiore resilienza informatica tramite comportamenti più consapevoli e sicuri.
Guarda il vedo completo della tavola rotonda “NIS2 & Beyond: governance della cybersicurezza nell’era della convergenza normativa europea” tenutasi durante il Forum ICT Security 2025.
