Una norma puo’ restare un PDF. Puo’ finire in una cartella condivisa, in una checklist, in una riunione rimandata. Oppure puo’ cambiare il modo in cui un’organizzazione guarda al rischio.

La NIS2 va letta da qui: non come l’ennesimo adempimento cyber, ma come un passaggio che porta la sicurezza nella stanza delle decisioni.

NIS2 e’ la direttiva europea sulla sicurezza delle reti e dei sistemi informativi. In pratica, chiede agli Stati membri e a molte organizzazioni considerate essenziali o importanti di alzare il livello di gestione del rischio cyber, continuita’ operativa e risposta agli incidenti.

Il punto non e’ solo essere conformi

Quando si parla di norme, la prima reazione e’ spesso difensiva: cosa dobbiamo fare per essere a posto? Domanda legittima. Ma incompleta.

La domanda CyberSkull e’ un’altra: cosa deve cambiare nel modo in cui prendiamo decisioni sulla sicurezza?

La NIS2 nasce per alzare il livello comune di cybersicurezza nell’Unione europea. Rispetto alla precedente direttiva NIS, amplia il perimetro dei settori coinvolti, rafforza gli obblighi di gestione del rischio, introduce requisiti piu’ chiari sugli incidenti e mette maggiore attenzione sulla responsabilita’ dei vertici.

Dalla tecnologia al governo del rischio

Firewall, backup, autenticazione, monitoraggio, formazione: tutto questo conta. Ma NIS2 non chiede soltanto strumenti. Chiede un modo piu’ maturo di governare il rischio.

Chi decide deve sapere quali servizi sono davvero critici, quali fornitori possono creare dipendenza, cosa succede se un sistema non e’ disponibile per ore o giorni, chi comunica, chi interviene, chi documenta, chi segnala.

Che cosa cambia, in concreto

NIS2 lavora su alcuni assi chiari: amplia il campo dei soggetti coinvolti, rafforza la gestione del rischio, struttura la notifica degli incidenti significativi, porta il tema al livello del management e guarda alla catena dei fornitori.

Tradotto senza legalese: la cybersicurezza non puo’ piu’ essere trattata come un reparto separato dal resto dell’organizzazione.

E in Italia?

In Italia la direttiva NIS2 e’ stata recepita con il Decreto legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale e in vigore dal 16 ottobre 2024.

Questo passaggio va maneggiato con attenzione. Il quadro europeo definisce principi e obblighi; il recepimento nazionale traduce quei principi nell’ordinamento italiano. Gli aspetti piu’ operativi vanno sempre controllati sulle fonti ufficiali aggiornate prima di diventare istruzioni pratiche.

Cinque domande da portare in riunione

  1. Quali servizi non possiamo permetterci di interrompere?
  2. Quali fornitori, sistemi o dati sono davvero critici per quei servizi?
  3. Chi decide cosa fare nelle prime ore di un incidente?
  4. Abbiamo mai provato davvero il piano di continuita’, o lo abbiamo solo scritto?
  5. Il management riceve informazioni comprensibili sul rischio cyber, o solo report tecnici?

Il rischio della compliance cosmetica

C’e’ un modo debole di affrontare NIS2: produrre documenti, compilare moduli, comprare strumenti, fare una formazione rapida, archiviare tutto e sperare che basti.

E poi c’e’ un modo piu’ adulto: usare la norma come occasione per capire dove l’organizzazione e’ fragile. La compliance cosmetica serve a sembrare pronti. La cultura della sicurezza serve a esserlo un po’ di piu’ quando qualcosa succede davvero.

Cosa fare ora

  • Leggi la NIS2 partendo dalle fonti ufficiali, non dai riassunti commerciali.
  • Porta in riunione le cinque domande di questo articolo.
  • Distingui obbligo normativo, misura tecnica e decisione organizzativa.

La NIS2 non chiede solo difese migliori: chiede organizzazioni capaci di decidere meglio prima, durante e dopo un incidente.

Fonti e approfondimenti

EUR-Lex, Direttiva (UE) 2022/2555 – NIS2Commissione Europea, NIS2 DirectiveENISA, NIS Directive 2ENISA, NIS2 Technical Implementation GuidanceGazzetta Ufficiale, D.Lgs. 4 settembre 2024, n. 138