La NIS2, la seconda direttiva sull’informazione della cybersecurity approvata a livello europeo, non si concentra più esclusivamente sulle misure tecniche per proteggere i sistemi IT. Cambia radicalmente approccio, introducendo il concetto di cybersicurezza all’interno del governo d’impresa, con l’obiettivo che essa diventi parte centrale delle decisioni di leadership. Questo articolo analizza in dettaglio che cosa implica questa evoluzione e come le organizzazioni devono strutturare le loro strategie per rispondere ai nuovi requisiti.

Un cambio di paradigma: da perimetri tecnici a governance

Fino a poco tempo fa, il focus della cybersecurity era principalmente su firewall, patching e monitoraggio di reti. Con la NIS2, l’Unione Europea ha riconosciuto che la sicurezza non può essere delegata a un solo reparto: deve diventare una responsabilità condivisa tra board, esecutivi e organizzazioni intere. Il legislatore ha fatto chiaramente intendere che non basta installare una serie di tecnologie avanzate: serve un impegno proattivo e una governance strategica.

Si pensi, ad esempio, al fatto che la NIS2 estende il proprio raggio di applicazione a diversi settori strategici (dalla sanità al trasporto) e include anche i fornitori e i partner della supply chain. Questo dimostra che la cybersicurezza non riguarda solo i dati del proprio sistema interno, ma l’intero ecosistema in cui l’azienda opera.

Accountability e responsabilità del top management

Uno degli elementi innovativi più rilevanti della NIS2 è il concetto di accountability. Ogni organizzazione interessata è tenuta a designare un responsabile della cybersecurity, una figura di riferimento che non deve necessariamente essere un CTIO (Chief Technology Information Officer), ma che deve essere comunque parte del management direttivo.

    • Il responsabile deve saper comunicare con i vertici aziendali,
    • Deve gestire il piano di continuità operativa e di risposta agli incidenti,
    • Ed essere in grado di fornire una relazione puntuale ai regolatori europei in caso di incidente grave.

Questa struttura non esiste solo sulla carta. La Commissione Europea prevede ispezioni regolari e audit per verificare che le organizzazioni abbiano davvero integrato la cybersecurity nei processi e nella cultura operativa.

Fattezze strutturali e formazione

La NIS2 richiede anche che le organizzazioni adottino un piano formale per la formazione del personale, un aspetto fondamentale perché, spesso, gli incidenti cyber hanno origine da errore umano (ad esempio phishing). La formazione non è un optional: fa parte del sistema di cybersecurity.

Ma la formazione non riguarda solo gli impiegati. Il top management deve essere formato a livello di consapevolezza, affinché possa prendere decisioni informate sul rischio cybersecurity. Gli audit regolamentari richiedono anche prove di test di resilienza e di gestione incidenti.

Le misure operative per ottemperare alla NIS2

Ecco alcuni passi concreti che le aziende possono adottare per conformarsi con gli obblighi della NIS2:

    • Analisi del rischio cybersecurity aziendale
    • Creazione di un piano di continuità del business cyber
    • Applicazione di misure di protezione per l’intera supply chain
    • Implementazione di un ciclo di formazione mirato
    • Integrazione della cybersecurity negli audit generali dell’organizzazione

Le sanzioni per mancata conformità sono significative e possono arrivare fino al 2% del fatturato annuo, in funzione dell’importanza del settore.

Quali settori sono interessati?

La NIS2 si applica a un insieme articolato di settori, fra cui:

    • Sector della salute
    • Sector della finanza
    • Sector del trasporto e logistica
    • Sector dell’energia
    • Sector della produzione industriale
    • Sector dell’agricoltura
    • Sector della distribuzione elettronica (ICT)
    • Sector di distribuzione sanitaria

Inoltre, si applica anche alle aziende che, per le loro operazioni, rappresentano un “rischio vitale” per l’economia e la società, anche se non sono in uno dei settori menzionati sopra.

Lezioni imparate e futuri sviluppi

Il passaggio dalla NIS1 alla NIS2 rappresenta un chiaro passo in avanti non solo in termini di regolamentazione, ma anche di maturità complessiva nell’approccio alla cybersicurezza. Molte aziende, soprattutto di medie dimensioni, stanno oggi valutando come strutturare i propri modelli di governance per rispettare i nuovi standard.

I prossimi anni saranno quindi decisivi per le organizzazioni europee. Le strategie di cybersecurity non potranno più essere reattive o delegate ai soli IT. Dovranno coinvolgere la leadership, i collaboratori e l’intero ecosistema d’azienda.