implementazione NIS2 nell’Unione Europea, con mappa d’Europa connessa da linee cyber blu a simboleggiare cooperazione, resilienza e sicurezza informatica.

Implementazione NIS2, un anno dopo: la Direttiva tra ambizioni armonizzatrici e frammentazione applicativa

A cura di:Redazione Ore

A un anno dalla scadenza di recepimento della Direttiva NIS2 (17 ottobre 2024), il panorama normativo europeo presenta un quadro paradossale: solo quattro Stati membri – Belgio, Croazia, Italia e Lituania – avevano pienamente trasposto la direttiva entro il termine secondo la valutazione della Commissione Europea, costringendo la Commissione ad avviare il 28 novembre 2024 procedure d’infrazione contro ventitré Paesi.

Questo articolo esamina criticamente lo stato dell’implementazione della Direttiva (UE) 2022/2555, analizzando dati da fonti istituzionali (ENISA, Commissione Europea, autorità nazionali competenti) e ricerca accademica recente. L’analisi integra i risultati del NIS Investments Report 2024 di ENISA – la quinta edizione che estende per la prima volta il campionamento ai settori che rientrano nello scope di NIS2, basata su dati di 1.350 organizzazioni da tutti gli Stati membri e coprendo tutti i settori NIS2 di alta criticità oltre al manufacturing, con evidenze qualitative sui principali ostacoli implementativi: divergenze interpretative nazionali, pressioni economiche sulle PMI, carenze di personale qualificato e complessità della supply chain security.

L’articolo identifica pattern emergenti e propone raccomandazioni operative evidence-based per stakeholder pubblici e privati, delineando una roadmap pragmatica verso una cybersecurity resiliente e conforme.

Introduzione e quadro teorico

Dal NIS1 al NIS2: l’evoluzione del framework europeo

La Direttiva NIS2 (2022/2555) rappresenta un’evoluzione sostanziale rispetto alla sua predecessora del 2016, ampliando significativamente lo scope applicativo, introducendo regole più chiare e strumenti di supervisione più robusti per affrontare l’accresciuta esposizione dell’Europa alle minacce cyber. Il contesto che ha reso necessaria questa revisione è stato analizzato sistematicamente da Jukka Ruohonen (2024) in una systematic literature review che evidenzia come la trasformazione digitale accelerata dalla pandemia COVID-19 abbia espanso il panorama delle minacce con attacchi più sofisticati e frequenti.

L’obiettivo dichiarato della NIS2 è rimuovere le divergenze nei requisiti di cybersecurity e nelle misure implementative tra Stati membri, stabilendo regole minime comuni per un framework regolatorio armonizzato e meccanismi di cooperazione efficace tra autorità competenti. Vale la pena soffermarsi su questa ambizione armonizzatrice, perché rappresenta simultaneamente il punto di forza teorico e la principale criticità pratica emersa nel primo anno.

Innovazioni strutturali e ampliamento dello scope

Il passaggio da NIS1 a NIS2 introduce cambiamenti paradigmatici che meritano un’analisi granulare. La NIS2 stabilisce un framework legale unificato per mantenere la cybersecurity in diciotto settori critici attraverso l’UE, richiedendo agli Stati membri di definire strategie nazionali di cybersecurity e collaborare per reazione e enforcement transfrontalieri.

L’aspetto più innovativo riguarda il criterio di identificazione dei soggetti obbligati. Mentre sotto NIS1 gli Stati membri erano responsabili di determinare quali entità qualificare come operatori di servizi essenziali, NIS2 introduce la “size-cap rule”: tutte le medie e grandi imprese operanti nei settori coperti rientrano automaticamente nello scope. Questa transizione da un approccio discrezionale a uno basato su criteri oggettivi (dimensione e settore) rappresenta un tentativo di garantire uniformità applicativa – tentativo che, come vedremo, ha prodotto risultati contrastanti.

La direttiva introduce inoltre la responsabilità diretta del top management per la non conformità con le misure di gestione dei rischi cybersecurity, portando la cybersecurity all’attenzione del boardroom. Questo shift di accountability da livello operativo a strategico ha profonde implicazioni sulla governance aziendale e sulla cultura organizzativa.

Il complesso ecosistema normativo europeo

Un elemento di complessità spesso sottovalutato riguarda l’interazione tra NIS2 e altre normative europee. La NIS2 deve coordinarsi con legislazioni settoriali, in particolare il Digital Operational Resilience Act (DORA) per il settore finanziario e la Critical Entities Resilience Directive (CER), per garantire chiarezza legale e coerenza. La ricerca accademica ha evidenziato che molti studi sulla NIS2 la inquadrano proprio nel contesto delle altre leggi europee sulla cybersecurity, analizzando sovrapposizioni e potenziali conflitti normativi.

Questa stratificazione regolamentare crea sia opportunità (approccio olistico alla resilienza) sia sfide (complessità compliance, rischio di over-regulation). La questione diventa particolarmente delicata per entità operanti in settori multipli o in contesti cross-border, dove l’intersezione tra diversi framework può generare ambiguità interpretative e oneri amministrativi significativi.

Analisi critica multidimensionale

A. Stato del recepimento: l’evidenza della frammentazione

Dati quantitativi: un mosaico disomogeneo

Al momento della scadenza del 17 ottobre 2024, solamente quattro Paesi – Belgio, Croazia, Italia e Lituania – avevano completato pienamente il recepimento secondo la valutazione della Commissione Europea, che considera completa la transposition solo quando sia la legislazione primaria che tutti gli atti di implementazione sono in vigore. Altri Stati, tra cui Ungheria, Lettonia e Grecia, avevano adottato primary legislation ma non avevano completato tutti gli atti secondari necessari.

Come risultato, il 28 novembre 2024, la Commissione Europea ha aperto procedure d’infrazione contro ventitré Stati membri. Il numero di Paesi che hanno trasposto la Direttiva nella legislazione nazionale è cresciuto da quattro a nove entro metà febbraio 2025, sebbene con livelli variabili di completezza implementativa.

La Commissione ha inviato lettere di formal notice ai ventitré Stati membri, concedendo due mesi per completare la trasposizione e notificare le misure adottate.

Questa frammentazione temporale crea un paradosso operativo: mentre la direttiva mira all’armonizzazione, la realtà è quella di un patchwork di implementazioni nazionali in fasi diverse, con conseguente incertezza giuridica per le organizzazioni operanti cross-border. Una mappatura condotta da Wavestone a ottobre 2024 classificava gli Stati membri in quattro livelli di maturità: dal livello 1 (scarso progresso) che includeva Spagna e Regno Unito, al livello 4 (legge approvata) con sei Paesi compliance.

È interessante notare come Stati tradizionalmente all’avanguardia in ambito digitale – come Germania, Francia, Paesi Bassi – si trovassero ancora in fase di analisi parlamentare di bozze legislative a ottobre 2024, mentre Paesi come Belgio, Croazia, Italia, Lettonia e Lituania avevano adottato legislazione nazionale per trasporre la direttiva. Questo suggerisce che fattori oltre alla capacità tecnica influenzano i tempi di recepimento: complessità istituzionale, priorità politiche, necessità di consultazioni stakeholder estese.

Il caso Italia: un’implementazione anticipata ma graduale

L’Italia ha recepito la direttiva con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Il decreto conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) come Autorità competente NIS e Punto di contatto unico ai sensi della Direttiva.

L’approccio italiano si caratterizza per una particolare attenzione alla gradualità implementativa. Secondo le stime dell’Agenzia per la Cybersicurezza Nazionale, circa 50.000 nuovi soggetti sono coinvolti. La prima fase di registrazione, obbligatoria dal 1° dicembre 2024 al 28 febbraio 2025 (con eccezione del 17 gennaio 2025 per fornitori di domini, cloud computing e data center), rappresenta il primo step di un percorso condiviso di rafforzamento della sicurezza informatica.

Un elemento distintivo del recepimento italiano riguarda l’estensione dello scope. Il campo di applicazione è ampliato a 18 settori (di cui 11 altamente critici e 7 critici), interessando oltre 80 tipologie di soggetti pubblici e privati, incluse numerose pubbliche amministrazioni elencate negli allegati I, II, III e IV del decreto. Questa scelta di includere esplicitamente la PA rappresenta una peculiarità italiana che va oltre i requisiti minimi della direttiva.

Tuttavia, anche l’implementazione italiana non è esente da criticità. Il decreto non entra nel merito delle misure di sicurezza specifiche da adottare: il dettaglio sarà definito dall’ACN sulla base di parametri ancora da specificare. Questa strategia “a cascata” – prima identificazione soggetti, poi definizione requisiti tecnici – riflette un approccio pragmatico ma genera incertezza per le organizzazioni che devono pianificare investimenti.

Divergenze nazionali e sfide di armonizzazione

Sebbene la maggioranza dei Paesi abbia introdotto una classificazione di entità essenziali e importanti comparabile alle disposizioni NIS2, diversi Stati hanno proposto sistemi a tre livelli (ad esempio Germania e Portogallo) con requisiti di sicurezza variabili in base al tier di appartenenza. La Finlandia ha introdotto gli stessi obblighi di sicurezza per entità essenziali e importanti, differenziando solo su supervisione ex-ante (essenziali) ed ex-post (importanti) e sanzioni massime, in allineamento con NIS2.

Queste divergenze implementative sollevano interrogativi fondamentali sull’effettiva capacità della direttiva di raggiungere l’obiettivo armonizzatore. Se ogni Stato membro interpreta e applica i requisiti con variazioni sostanziali, l’obiettivo di un level playing field europeo rimane parzialmente disatteso. Per le multinazionali operanti in più giurisdizioni, questo si traduce in costi di compliance moltiplicati e necessità di adattare policies e procedure a specificità nazionali.

B. Impatti economici e organizzativi: l’evidenza empirica

Costi di compliance: una sfida particolare per le PMI

Il NIS Investments Report 2024 di ENISA – la quinta edizione che estende per la prima volta il campionamento ai settori che rientrano nello scope di NIS2 – ha raccolto dati da 1.350 organizzazioni da tutti gli Stati membri EU coprendo tutti i settori NIS2 di alta criticità oltre al manufacturing, fornendo uno snapshot pre-implementazione cruciale per valutare l’impatto economico. I dati rivelano pattern significativi e preoccupanti.

La spesa per information security rappresenta ora il 9% degli investimenti IT nell’UE, con un aumento significativo di 1,9 punti percentuali rispetto al 2022, segnando il secondo anno consecutivo di crescita degli investimenti cybersecurity post-pandemia. Nel 2023, la spesa IT mediana per le organizzazioni è salita a €15 milioni, con la spesa per information security raddoppiata da €0,7 milioni a €1,4 milioni.

Tuttavia, questi aggregati nascondono disparità significative. Il costo medio per raggiungere la piena compliance NIS2 per una media impresa è stimato tra €200.000 e €500.000. La maggioranza delle organizzazioni anticipa un aumento one-off o permanente dei budget cybersecurity per la compliance NIS2, ma dato allarmante, una percentuale sostanziale di entità non sarà in grado di richiedere il budget aggiuntivo necessario, percentuale particolarmente alta per le PMI (34%).

Questa evidenza empirica solleva questioni di equità e sostenibilità. Mentre i nuovi settori NIS2 mostrano livelli di spesa cybersecurity comparabili alle entità già coperte dalla NIS Directive, con investimenti focalizzati principalmente sullo sviluppo e mantenimento di capacità cybersecurity baseline, esiste un gap strutturale tra grandi organizzazioni regolamentate (che hanno dimostrato progressi nella resilienza cyber) e PMI meno regolamentate. Questo crea una crescente cyber-inequity: organizzazioni più piccole sono sempre più incapaci di prevenire disruption operativa critica da incidenti cyber, spesso subiscono perdite finanziarie maggiori nel recovery, e trovano molto difficile la compliance con obblighi contrattuali verso clienti.

Il paradosso del personale: servono competenze che non ci sono

Un’altra criticità sistemica emersa riguarda le risorse umane. Per il quarto anno consecutivo, la percentuale di Full Time Equivalent IT dedicati all’information security è diminuita dall’11,9% all’11,1%. Questa riduzione può riflettere sfide di recruitment, con il 32% delle organizzazioni – e il 59% delle PMI – in difficoltà nel coprire ruoli cybersecurity, particolarmente quelli che richiedono expertise tecnica. Questo trend è specialmente notevole dato che l’89% delle organizzazioni si aspetta di dover assumere personale cybersecurity aggiuntivo per compliance NIS2.

Il dato diventa particolarmente preoccupante se incrociato con le aspettative di formazione: il 76% dello staff cybersecurity manca di training certificato che aiuterebbe le imprese a raggiungere e mantenere la compliance NIS2.

ENISA ha pubblicato guide specifiche su skills e ruoli dei professionisti cybersecurity necessari per implementare efficacemente i requisiti NIS2, mappando le obbligazioni NIS2 sui role profile del European Cybersecurity Skills Framework (ECSF). Tuttavia, la disponibilità di guide non risolve il problema strutturale: c’è un mismatch tra domanda e offerta di talenti cyber, aggravato dalla competizione internazionale per queste figure e dalla velocità con cui evolvono le competenze richieste.

Investimenti tecnologici: dove (non) si investe

Un dato particolarmente interessante riguarda le aree emergenti: tecnologie come la post-quantum cryptography ricevono attenzione limitata, con solo il 4% delle entità intervistate che investe e il 14% che pianifica investimenti futuri. Questo suggerisce un focus su compliance baseline piuttosto che su preparazione a minacce emergenti, un pattern problematico dato che la NIS2 richiede un approccio risk-based che dovrebbe considerare l’evoluzione del threat landscape.

La questione diventa più sfumata quando si considerano le infrastrutture legacy. La systematic literature review evidenzia che molte infrastrutture critiche sono legacy systems o dipendono da essi, aumentando i rischi cybersecurity e tipicamente limitando l’adozione di nuove tecnologie, incluse soluzioni AI. Nonostante la NIS2, nei recital 51 e 89, incoraggi gli Stati membri ad adottare tecnologie innovative inclusa l’AI per affrontare minacce cyber, è necessaria ulteriore ricerca sull’interazione presumibilmente difficile tra infrastrutture critiche, sistemi legacy e nuove tecnologie.

C. Supply chain security: il nodo più complesso

L’estensione degli obblighi alla catena di fornitura

Una delle innovazioni più significative – e controverse – della NIS2 riguarda la supply chain security. L’Articolo 21(2)(d) della NIS2 delinea le responsabilità delle organizzazioni nell’assicurare la supply chain security attraverso tre aree: valutazione del rischio a livello EU per valutare il livello di rischio di una supply chain specifica; valutazione del rischio nazionale dove gli Stati membri possono espandere lo scope della direttiva per includere entità originariamente escluse; e valutazione interna del rischio dove le entità coperte devono considerare vulnerabilità e pratiche cybersecurity di ciascun fornitore diretto/service provider/vendor.

La Direttiva NIS2 indica che i soggetti coperti dagli obblighi NIS2 dovrebbero considerare le vulnerabilità specifiche di ciascun fornitore e service provider diretto e la qualità complessiva dei prodotti e delle pratiche cybersecurity dei loro fornitori, incluse le procedure di sviluppo sicuro. Questo richiede capacità di assessment sofisticate e processi di due diligence continui.

Sebbene la direttiva NIS2 escluda micro e piccole imprese dall’obbligo di conformarsi, la necessità di supply chain security e il requisito per le entità coperte di assicurare che le loro catene di fornitura e service provider siano cybersecurity-compliant potrebbero portare le piccole e micro imprese a dover dimostrare compliance per mantenere relazioni business. Questo “effetto a cascata” estende de facto lo scope della NIS2 ben oltre i soggetti formalmente obbligati.

Complessità operativa e coordinated risk assessment

Un obbligo particolarmente controverso riguarda la necessità di tenere conto dei risultati delle valutazioni coordinate di rischio di sicurezza di supply chain critiche condotte secondo l’Articolo 22(1) della NIS2. La valutazione coordinata è controversa per lo scope dei criteri, che include aspetti non-tecnici nella valutazione.

Anche se un’entità assicura compliance con la NIS2, potrebbe comunque essere considerata non-compliant solamente perché non ha tenuto conto dei risultati delle procedure di coordinated assessment. Questo può comportare l’imposizione di sanzioni finanziarie NIS2. Sarà quindi cruciale per le imprese monitorare il lavoro ongoing verso ulteriori coordinated risk assessments.

Per le organizzazioni, questo si traduce in una sfida multilivello: devono condurre assessment interni dei fornitori, incorporare guidance nazionali e settoriali, e simultaneamente monitorare e integrare i risultati di valutazioni coordinate a livello EU che sono ancora in fase di finalizzazione. Il NIS Cooperation Group ha già alcune pubblicazioni da includere nei risk assessment, come la coordinated security risk assessment della rete 5G.

Best practices emergenti

Nonostante le sfide, stanno emergendo best practices. L’approccio raccomandato include: identificare e valutare rischi associati a ciascun supplier; implementare misure di sicurezza appropriate basate sui risk assessment dei fornitori; e continuous monitoring per monitorare e rispondere regolarmente ai rischi supplier ongoing.

Le organizzazioni devono focalizzarsi su aree chiave per compliance NIS2 e rafforzamento supply chain security: comprehensive supply chain risk management con valutazione delle pratiche cybersecurity dei fornitori e implementazione di misure appropriate basate su risk assessment; supplier accountability attraverso chiare obbligazioni contrattuali inclusi standard di sicurezza definiti, audit regolari e processi di incident reporting; e protocolli di incident reporting e response tempestivi con canali di comunicazione chiari e meccanismi di risposta rapida.

Un elemento tecnologico chiave emergente è l’adozione di Software Bill of Materials (SBOMs). La NIS2 enfatizza supply chain security e gestione componenti fornitori terzi. Gli SBOMs forniscono la fondazione per una supply chain software sicura, abilitando la trasparenza, vulnerability management e capacità di risposta rapida agli incidenti che NIS2 richiede.

D. Accountability manageriale e governance

Il ruolo (e la responsabilità) del top management

La NIS2 introduce responsabilità del top management per non-compliance con misure di gestione dei rischi cybersecurity, portando quindi la cybersecurity all’attenzione del boardroom. Le sanzioni previste includono la possibilità di disporre misure di incapacità temporanea per i dirigenti che non rispettano le normative.

Questo shift di accountability ha implicazioni profonde. CEOs e board members devono collaborare con senior executives e altri stakeholder per sviluppare e implementare strategie che assicurino compliance NIS2. Non è più sufficiente delegare la cybersecurity al CISO o all’IT department: è richiesto engagement diretto e ownership da parte degli organi di governo.

Il cambiamento più notevole in NIS2 è lo shift di liability da corporate a personal. Questo significa che executive team e board of directors sono ora personalmente responsabili per compliance e le conseguenze della non-compliance – un deterrente significativo per executive aziendali.

Formazione e cultural change

NIS2 richiede al management aziendale di supervisionare, approvare ed essere formato sulle misure cybersecurity dell’entità e di affrontare i rischi cyber. Violazioni possono risultare in penalità per il management, inclusa liability e potenziale ban temporaneo da ruoli manageriali.

Questa enfasi sulla formazione del management rappresenta un riconoscimento implicito che la cybersecurity non è solo una questione tecnica ma culturale e strategica. Le organizzazioni più mature stanno integrando la cyber risk governance nei framework di enterprise risk management, creando linee di reporting dirette tra CISO e board, e incorporando metriche di resilienza cyber nelle valutazioni di performance manageriale.

Riflessioni e insights originali

Il paradosso dell’armonizzazione: quando l’uniformità genera divergenza

Emerge un paradosso affascinante: la NIS2, progettata esplicitamente per “rimuovere divergenze” tra Stati membri, sta producendo – almeno in questa fase transitoria – una frammentazione ancor più accentuata rispetto a NIS1. Questo non è necessariamente un fallimento normativo, ma riflette piuttosto una tensione intrinseca tra due logiche: quella dell’armonizzazione top-down attraverso criteri oggettivi e standard comuni, e quella della sussidiarietà che riconosce specificità nazionali, capacità istituzionali diverse e priorità politiche variegate.

La questione interessante diventa: è possibile – o persino desiderabile – una vera armonizzazione in materia di cybersecurity? Le minacce sono globali, ma le vulnerabilità sono contestuali. Un approccio uniforme rischia di essere o troppo generico (inefficace per contesti specifici) o troppo prescrittivo (inadatto a realtà diverse). La NIS2 tenta di navigare questa tensione attraverso un framework basato su principi piuttosto che regole dettagliate, ma la traduzione di principi in azioni concrete inevitabilmente introduce variabilità.

Supply chain security: dalla compliance alla resilienza ecosistemica

La complessità della supply chain security sotto NIS2 solleva una domanda più profonda: stiamo affrontando il problema al livello giusto? L’approccio attuale si concentra su due diligence, contractual obligations e assessment dei fornitori diretti. Ma nelle supply chain moderne, caratterizzate da interdipendenze multiple e dinamiche, la sicurezza è una proprietà emergente dell’ecosistema, non la somma delle sicurezze individuali dei nodi.

Consideriamo uno scenario controfattuale: cosa succederebbe se invece di imporre obblighi “a cascata” da entità NIS2 verso fornitori, si creassero meccanismi di condivisione dei costi e delle capability per rafforzare l’intero ecosistema? Ad esempio, consorzi settoriali dove le grandi organizzazioni contribuiscono a fondi comuni per supportare l’upgrading cybersecurity di fornitori critici ma under-resourced. Questo approccio collaborativo potrebbe essere più efficace della logica “comply or lose business” che rischia di escludere fornitori piccoli ma specializzati.

La questione delle metriche: cosa misuriamo realmente?

Un tema sorprendentemente poco discusso riguarda le metriche di success per l’implementazione NIS2. Come valutiamo se la direttiva sta funzionando? Il numero di incident reports ricevuti? La percentuale di organizzazioni certificate compliant? La riduzione di successful breaches?

Ognuna di queste metriche è problematica. Un aumento dei report potrebbe indicare sia più incidenti sia migliore detection e willingness to report. La certificazione di compliance misura aderenza formale, non resilienza effettiva. La riduzione di breaches è difficile da attribuire causalmente alla NIS2 vs altri fattori (miglioramenti tecnologici, azioni law enforcement, etc.).

Forse abbiamo bisogno di ripensare le metriche di success non in termini di compliance binaria ma di “cyber maturity journey” – valutando progression piuttosto che posizione assoluta, recognizing che organizzazioni partono da baseline diverse e hanno capacità di avanzamento diverse. Il NIS360 di ENISA rappresenta un primo tentativo in questa direzione, valutando la maturità e criticità dei settori NIS2 e fornendo sia overview comparativa sia analisi più approfondita di ciascun settore.

L’elefante nella stanza: la sostenibilità economica per le PMI

Il dato che una percentuale sostanziale di entità non sarà in grado di richiedere il budget aggiuntivo necessario, particolarmente alto per le PMI (34%) dovrebbe essere un allarme rosso per i policymaker. Non stiamo parlando di un piccolo subset: le PMI rappresentano il 99% delle imprese europee e sono integrate profondamente nelle supply chain di settori critici.

Se una porzione significativa di PMI non può permettersi la compliance, abbiamo tre scenari possibili, tutti problematici:

  1. Queste PMI falsano o minimizzano gli sforzi di compliance, creando vulnerabilità reali mascherate da compliance apparente
  2. Queste PMI vengono escluse dalle supply chain, riducendo competizione e concentrando rischio su fornitori più grandi
  3. Queste PMI cessano operazioni, con impatti economici e occupazionali

La soluzione non può essere semplicemente “esentare le PMI” – questo creerebbe un massive blind spot nelle supply chain. Servono meccanismi di supporto concreti: fondi europei o nazionali per subsidize cybersecurity upgrades; shared service models dove PMI possono accedere a expertise cyber su base consortile; guidance ultra-practical e tools open-source specificamente per organizzazioni resource-constrained.

Implementazioni operative e raccomandazioni

Per entità essenziali e importanti

1. Prioritizzare assessment di gap e roadmap pragmatica

Livello: Strategico
Stakeholder: Board, alta direzione, CISO, ufficio legale
Risorse: Assessment esterno (€30k-100k), team interno multifunzionale (20-40 giorni/persona)
Timeline: Immediata (Q1-Q2 2025)
KPI: % di lacune identificate; completezza mappatura risorse e processi critici
Barriere: Sottovalutazione della complessità; mancanza di budget pre-allocato
Risultati rapidi: Identificare obiettivi facilmente raggiungibili (es. politiche già esistenti che richiedono solo revisione formale; controlli tecnici già implementati che necessitano documentazione)

Azione concreta: Non aspettare linee guida tecniche dettagliate da autorità nazionali. Utilizzare standard internazionali già consolidati come linea di base: il mapping ENISA correla ogni requisito NIS2 con standard europei e internazionali (ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST Cybersecurity Framework 2.0). Questo permette di iniziare l’implementazione anche in assenza di specifiche nazionali dettagliate.

2. Implementare supply chain risk management program

Livello: Tattico-Operativo
Stakeholder: Approvvigionamento, ufficio legale, security IT, unità di business
Risorse: Piattaforma/strumento di gestione del rischio di terze parti (€50k-200k/anno); personale dedicato (2-5 equivalenti a tempo pieno a seconda della complessità della catena di fornitura)
Timeline: Medio termine (6-12 mesi per la configurazione, continuo per l’operatività)
KPI: % fornitori critici valutati; tempo medio per valutare nuovo fornitore; numero di vulnerabilità identificate e risolte nella supply chain
Barriere: Resistenza fornitori a divulgare informazioni; complessità di catene di fornitura multi-livello; costi di valutazione se esteso a tutti i fornitori
Risultati rapidi: Iniziare con fornitori critici di primo livello (top 20-50 per criticità, non solo per spesa); utilizzare questionari standardizzati; richiedere evidenze di certificazioni esistenti (ISO 27001, SOC 2) piuttosto che condurre valutazioni da zero

Approccio raccomandato: Identificare e valutare rischi associati a ciascun fornitore; implementare processo di monitoraggio continuo non solo valutazione una tantum; stabilire obblighi contrattuali chiari includendo standard di sicurezza, diritti di verifica, obblighi di notifica degli incidenti; utilizzare automazione dove possibile per scalare le valutazioni.

3. Potenziare capacità di rilevamento, risposta e notifica degli incidenti

Livello: Operativo
Stakeholder: Centro Operativo di Sicurezza (SOC), team di risposta agli incidenti interno/esterno, ufficio legale, comunicazione
Risorse: Piattaforma SIEM/XDR se non già presente (€100k-500k); manuali operativi di risposta agli incidenti e formazione (€20k-50k); contratto di consulenza con società di risposta agli incidenti esterna (€30k-100k/anno)
Timeline: Breve-medio termine (3-6 mesi)
KPI: Tempo medio di rilevamento (MTTD); tempo medio di risposta (MTTR); % di notifiche di incidenti conformi alle tempistiche NIS2 (24h allerta precoce, 72h rapporto dettagliato, rapporto finale)
Barriere: Difficoltà nel determinare la soglia di “incidente significativo”; complessità di notifica a più autorità se operazioni transfrontaliere; paura di danno reputazionale
Risultati rapidi: Implementare modelli precompilati per la notifica degli incidenti; condurre esercitazioni su tavolo per testare il processo; stabilire percorso di escalation chiaro dal SOC al management all’autorità competente

Le entità essenziali e importanti devono avere processi per la notifica tempestiva di incidenti di sicurezza con impatto significativo sulla fornitura di servizi o sui destinatari. È cruciale definire chiaramente cosa costituisca “impatto significativo” nel proprio contesto operativo.

4. Formalizzare governance e responsabilità del management

Livello: Strategico
Stakeholder: Board, CEO, organi direttivi
Risorse: Formazione per il board (€10k-30k); ristrutturazione delle linee di reporting se necessario; consulenza esterna per framework di governance (€50k-150k)
Timeline: Immediata
KPI: Frequenza di discussioni sul rischio informatico a livello di board; % dirigenti con formazione NIS2 completata; esistenza di deleghe formali e responsabilità definite
Barriere: Percezione che la cybersecurity sia “questione tecnica” non di livello board; mancanza di alfabetizzazione informatica a livello direttivo; resistenza a responsabilità personale
Risultati rapidi: Programmare almeno briefing informatici trimestrali a livello di board; designare un membro del board come referente per la sicurezza informatica; formalizzare approvazione annuale della strategia informatica da parte del board

Gli organi di amministrazione devono supervisionare l’implementazione delle misure e rispondere di eventuali violazioni, con possibilità di incapacità temporanea per dirigenti che non rispettano le normative.

Per PMI e organizzazioni con risorse limitate

1. Adottare framework semplificati e proporzionati

Livello: Strategico-Tattico
Stakeholder: Direzione, IT
Risorse: Investimento finanziario minimo; investimento di tempo significativo (10-30 giorni persona)
Timeline: Breve termine (2-4 mesi)
KPI: Completamento controlli di sicurezza di base; documentazione di politiche essenziali
Barriere: Mancanza di competenze interne; difficoltà interpretare requisiti tecnici complessi
Risultati rapidi: Utilizzare risorse gratuite e linee guida: l’ACN in Italia fornirà supporto attraverso la piattaforma di registrazione già a partire dalla prima fase. Sfruttare framework progettati per le PMI come Cyber Essentials (UK) o CyFun (Belgio).

Azione concreta: Concentrarsi sui “controlli minimi vitali”: autenticazione forte (MFA), backup regolari e testati, gestione delle patch, protezione degli endpoint, segmentazione della rete, sensibilizzazione dei dipendenti. Questi controlli coprono una porzione significativa del rischio e sono relativamente a basso costo.

2. Considerare servizi condivisi e modelli consortili

Livello: Strategico
Stakeholder: Direzione, associazioni di categoria
Risorse: Contributo a consorzio (€5k-20k/anno, tipicamente inferiore all’assunzione di risorse dedicate)
Timeline: Variabile a seconda della disponibilità di modelli già esistenti nel settore
KPI: Risparmi sui costi rispetto all’assunzione; accesso a competenze altrimenti non accessibili; miglioramento della postura di sicurezza misurato
Barriere: Riluttanza a condividere informazioni con concorrenti; mancanza di organizzatore fidato; preoccupazioni sulla sensibilità dei dati
Risultati rapidi: Partecipare a centri di condivisione e analisi delle informazioni (Information Sharing and Analysis Centers) settoriali dove disponibili; considerare servizi di sicurezza gestiti che offrono economie di scala

Le pubblicazioni scientifiche suggeriscono l’importanza di infrastrutture di condivisione delle informazioni su larga scala e di consapevolezza situazionale, riconoscendo però ostacoli tecnici legati a standardizzazione, interoperabilità e fiducia. Le PMI dovrebbero sfruttare meccanismi di condivisione esistenti piuttosto che tentare di costruire capacità in isolamento.

3. Negoziare supporto da clienti enterprise

Livello: Tattico
Stakeholder: Vendite, direzione
Risorse: Principalmente relazionali e contrattuali
Timeline: Continuo
KPI: % contratti con clausole di supporto alla cybersecurity; ammontare di supporto ricevuto
Barriere: Squilibrio di potere nelle negoziazioni; riluttanza a “chiedere aiuto”
Risultati rapidi: Proporre condivisione di strumenti/piattaforme di sicurezza che i clienti grandi già utilizzano; richiedere accesso a materiali di formazione o sensibilizzazione; negoziare compliance graduale piuttosto che conformità completa immediata

Le entità essenziali e importanti dovrebbero assicurare di avere termini e condizioni contrattuali adeguati per aiutare l’entità con la conformità. Un buon esempio sarebbe l’aderenza ai nuovi requisiti di notifica delle violazioni e reporting. Questa logica può essere invertita: le PMI possono richiedere ai propri clienti enterprise clausole di supporto.

Per autorità competenti e decisori politici

1. Fornire linee guida tecniche granulari e specifiche per settore

Livello: Strategico
Stakeholder: Autorità NIS nazionali, ENISA, gruppo di cooperazione NIS
Risorse: Risorse significative per lo sviluppo (team multidisciplinari, consultazioni con le parti interessate)
Timeline: Urgente (Q1-Q2 2025 per linee guida iniziali; iterazioni successive)
KPI: % organizzazioni che riferiscono linee guida come “attuabili” e “chiare”; riduzione delle richieste relative ad ambiguità
Barriere: Bilanciamento tra specificità e flessibilità; tempo richiesto per consenso tra Stati membri; competenza settoriale profonda necessaria
Risultati rapidi: ENISA sta sviluppando linee guida specifiche per settore su come implementare i requisiti chiave NIS2 in ciascun settore, come evidenziato nel report NIS360. Prioritizzare settori con maggior complessità o maggior numero di entità impattate.

2. Istituire meccanismi di supporto economico per PMI

Livello: Strategico (politica)
Stakeholder: Commissione UE, governi nazionali, fondi strutturali
Risorse: Finanziamenti significativi (programmi nell’ordine di centinaia di milioni di euro a livello UE, scalato a livello nazionale)
Timeline: Medio-lungo termine per programmi strutturati; possibile breve termine attraverso riassegnazione fondi esistenti
KPI: % PMI che accede a supporto; miglioramento della maturità informatica delle PMI beneficiarie; riduzione del divario di equità informatica
Barriere: Vincoli di bilancio pubblico; complessità nell’allocazione equa; rischio di azzardo morale
Risultati rapidi: Espandere programmi esistenti (es. Digital Europe Programme) con focus specifico NIS2; creare schemi di voucher per valutazioni e acquisizione strumenti; incentivare assicuratori a offrire assicurazioni informatiche più accessibili a PMI conformi a NIS2

Fornire linee guida, formazione e supporto finanziario per organizzazioni più piccole può aumentare la conformità senza imporre costi eccessivi.

3. Facilitare cooperazione transfrontaliera e ridurre divergenze interpretative

Livello: Strategico
Stakeholder: Gruppo di cooperazione NIS, Commissione UE, autorità competenti nazionali
Risorse: Principalmente coordinamento e dialogo
Timeline: Continuo
KPI: Riduzione di interpretazioni contrastanti tra Stati membri; aumento del riconoscimento reciproco delle valutazioni di conformità; efficacia della risposta agli incidenti transfrontalieri
Barriere: Preoccupazioni sulla sovranità nazionale; diverse strutture istituzionali e capacità; priorità politiche variegate
Risultati rapidi: Il gruppo di cooperazione deve stabilire, entro il 17 gennaio 2025, con assistenza della Commissione e di ENISA, la metodologia e gli aspetti organizzativi delle revisioni tra pari per imparare da esperienze condivise, rafforzare la fiducia reciproca e raggiungere un livello comune elevato di cybersecurity. Prioritizzare revisioni tra pari e identificare best practices replicabili.

4. Investire nello sviluppo delle competenze informatiche a livello sistemico

Livello: Strategico (politica)
Stakeholder: Ministeri dell’educazione, università, enti di formazione, industria
Risorse: Investimenti significativi in infrastrutture educative e programmi
Timeline: Lungo termine per cambiamento strutturale; risultati a breve termine possibili con programmi di riqualificazione
KPI: Aumento dei laureati in cybersecurity; riduzione del divario di competenze informatiche; % forza lavoro con formazione sulla consapevolezza informatica
Barriere: Ritardo temporale tra investimento in istruzione e disponibilità di forza lavoro; evoluzione rapida delle competenze richieste; competizione internazionale per talenti
Risultati rapidi: Accelerare programmi di riqualificazione per professionisti IT verso la cybersecurity; incentivare apprendistati e programmi di studio-lavoro; supportare micro-credenziali e programmi di certificazione che forniscono competenze mirate e rapide

Con l’89% delle organizzazioni che si aspetta di necessitare personale informatico aggiuntivo per NIS2 e il 76% del personale informatico senza formazione certificata, questo è un collo di bottiglia critico che richiede azione coordinata a livello sistemico.

Conclusioni e direzioni future

Dove siamo: un bilancio critico ma non pessimista

A un anno dalla scadenza di recepimento della Direttiva NIS2, il bilancio è necessariamente misto. L’implementazione è in ritardo nella maggioranza degli Stati membri, le divergenze interpretative persistono, i costi di compliance pesano soprattutto su organizzazioni più piccole, e il divario di talenti in cybersecurity rimane una sfida significativa. Questi sono dati di fatto, non opinioni.

Tuttavia, sarebbe miope concentrarsi solo sugli aspetti problematici. La NIS2 ha innescato un dibattito pan-europeo sulla cybersecurity che è senza precedenti per ampiezza e profondità. Il NIS360 di ENISA identifica aree per miglioramento e monitoraggio del progresso attraverso i settori NIS2, fornendo sia panoramica comparativa sia analisi approfondita. La spesa per sicurezza delle informazioni è cresciuta significativamente, con la maggioranza delle organizzazioni che anticipa un aumento una tantum o permanente dei budget per la cybersecurity. La consapevolezza complessiva tra entità nello scopo di applicazione è incoraggiante, con il 92% consapevole dello scopo generale o delle disposizioni specifiche della Direttiva NIS2.

La domanda giusta non è “la NIS2 sta funzionando?” ma piuttosto “come possiamo accelerare il percorso verso una cybersecurity resiliente minimizzando attriti e disuguaglianze?” La risposta richiede pragmatismo, collaborazione e disponibilità a iterare.

Implicazioni più ampie: oltre la compliance

La NIS2 va intesa non come punto di arrivo ma come catalizzatore per una trasformazione più profonda. Il vero obiettivo non è “essere conformi” ma “essere resilienti”. La compliance è necessaria ma non sufficiente. Organizzazioni che approcciano NIS2 come puro esercizio di conformità – mentalità da lista di controllo – perderanno l’opportunità di trasformare realmente la propria postura di sicurezza e cultura informatica.

L’opportunità è quella di utilizzare NIS2 come impulso per integrare la cybersecurity nei processi aziendali principali, non come aggiunta. Per elevare la cybersecurity da preoccupazione tecnica a priorità strategica. Per promuovere una cultura dove la consapevolezza del rischio informatico è diffusa a tutti i livelli organizzativi.

Inoltre, NIS2 rappresenta un’opportunità per l’Europa di posizionarsi come leader globale nella governance della cybersecurity. Altre regioni stanno osservando l’esperienza europea. I successi e i fallimenti dell’implementazione della NIS2 informeranno quadri normativi in altre giurisdizioni. L’Europa ha l’opportunità – e la responsabilità – di dimostrare che è possibile bilanciare sicurezza, innovazione e diritti fondamentali.

Agenda di ricerca futura

Dal punto di vista accademico e di ricerca, numerose domande rimangono aperte e richiedono indagine empirica rigorosa:

Misurazione dell’efficacia: Come possiamo sviluppare metriche robuste per misurare l’impatto effettivo della NIS2 sulla resilienza informatica delle organizzazioni e sulla riduzione di incidenti riusciti? Servono studi longitudinali che monitorino organizzazioni prima e dopo l’implementazione.

Valutazione dell’impatto economico: Quali sono i costi-benefici reali della NIS2? Gli investimenti in compliance generano ritorni misurabili in termini di costi di incidenti ridotti e continuità aziendale? O comportano principalmente costi opportunità (risorse dirottate da altre priorità)?

Dinamiche della supply chain: Come evolve realmente il comportamento della catena di fornitura sotto pressione NIS2? Assistiamo a consolidamento (esclusione di piccoli fornitori), a miglioramento collaborativo (grandi organizzazioni che aiutano i fornitori a migliorare), o a escamotage (conformità superficiale senza reale miglioramento della sicurezza)?

Capacità istituzionale: Quali fattori spiegano differenze nei tempi di recepimento tra Stati membri? È una questione di capacità amministrativa, priorità politiche, specificità istituzionali, o altri fattori? Comprendere questo può informare future iniziative normative dell’UE.

Interazione con intelligenza artificiale e tecnologie emergenti: Come evidenziato nella revisione sistematica, serve ricerca sull’interazione difficile tra infrastrutture critiche, sistemi legacy e nuove tecnologie come l’intelligenza artificiale. Come può il framework NIS2 adattarsi all’evoluzione rapida del panorama tecnologico senza diventare obsoleto?

Appello all’azione: un approccio multi-stakeholder

Per realizzare il potenziale della Direttiva NIS2, serve un approccio veramente collaborativo che coinvolga tutti gli interessati:

Le organizzazioni devono passare da una mentalità di “conformità minima” a “resilienza proattiva”, investendo non solo in tecnologia ma in persone e processi.

I decisori politici e le autorità competenti devono fornire linee guida chiare e attuabili, ridurre incertezze interpretative e istituire meccanismi di supporto per organizzazioni con risorse limitate.

I ricercatori e il mondo accademico devono produrre evidenza empirica sull’efficacia e sulle conseguenze indesiderate, informare le politiche attraverso ricerca rigorosa e indipendente.

I fornitori di tecnologia e servizi hanno l’opportunità – e la responsabilità – di sviluppare soluzioni accessibili e convenienti che democratizzino le capacità di cybersecurity.

Le associazioni di categoria e i gruppi industriali possono giocare un ruolo cruciale nel facilitare la condivisione delle informazioni, sviluppare linee guida specifiche per settore e rappresentare preoccupazioni collettive ai decisori politici.

La cybersecurity è un bene pubblico. La sua protezione richiede uno sforzo collettivo, che trascende confini organizzativi e nazionali. La Direttiva NIS2, con tutti i suoi limiti e le sue sfide, rappresenta un framework per questo sforzo collettivo. Sta a tutti noi – esperti, professionisti, decisori politici, organizzazioni – rendere questo framework efficace e sostenibile.

Il percorso è iniziato. La destinazione è un’Europa digitale resiliente, sicura e prospera. Il cammino non sarà lineare, ma con pragmatismo, collaborazione e apprendimento continuo, è un obiettivo raggiungibile.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi