Roadmap NIS2: da dove iniziare?

La domanda che riceviamo più spesso non è più "Cos'è la NIS2?", ma un ben più urgente "Da dove inizio?".

Con l'entrata in vigore del D. Lgs. 138/2024, il tempo delle analisi teoriche è finito. Il recepimento della Direttiva NIS2 segna un cambio di paradigma nella gestione della sicurezza delle reti e dei sistemi informativi. Non si tratta più di una mera raccomandazione tecnica, ma di una norma che impone obblighi stringenti di governance e di gestione del rischio a carico di una platea estesa di soggetti economici.

Per un'azienda che rientra nel perimetro della Direttiva, l'adeguamento è – come la compliance alla normativa sulla data protection – un processo di analisi tecnica e legale e di redazione documentale che richiede mesi.

Il nuovo quadro normativo introduce obblighi stringenti di cybersecurity, trasformando la sicurezza dell'informazione in un imperativo gestionale e legale. Per strutture sanitarie, aziende del settore medicale e enti di ricerca, la compliance non è più opzionale né procrastinabile.

Di seguito, si riporta la roadmap tecnico-giuridica necessaria per avviare il processo di conformità.

1. Assessment iniziale

Non è possibile proteggere ciò che non si conosce. Il primo passo è un assessment iniziale che metta a confronto lo stato attuale della infrastruttura e delle policy dell’organizzazione con i requisiti richiesti dalla Direttiva.

Per svolgere una valutazione approfondita dello stato attuale della cybersecurity è necessario elaborare un Inventario degli Asset IT ove documentare tutti i sistemi, i dati e i servizi critici, valutare le vulnerabilità identificare gap e debolezze nella infrastruttura IT, mappare i processi, analizzando il workflow e accertare l'esistenza di politiche di sicurezza e ruoli definiti a livello di governance.

2. Valutazione del Rischio

La NIS2 adotta un approccio "all-hazards". Questo significa che non è sufficiente proteggersi dagli attacchi informatici, ma da qualsiasi evento che possa interrompere i servizi erogati (disastri naturali, errori umani, guasti tecnici).

Sotto il profilo strettamente giuridico, la norma non richiede l'invulnerabilità, ma esige che l’entità NIS2 possa dimostrare di aver valutato i rischi e adottato misure proporzionate allo stato dell'arte.

3. Implementazione delle misure di cybersecurity e struttura della governance

Basandosi sul framework NIST, le organizzazioni devono implementare misure di cybersecurity adeguate al rischio relative in particolare alla gestione degli asset e dell’infrastruttura, oltre che del controllo degli accessi, e i protocolli di monitoraggio e incident response. Riguardo a quest’ultimo punto, entro gennaio 2026, i soggetti NIS devono aver formalizzato le procedure di gestione degli incidenti di sicurezza, implementando i protocolli previsti dall’art. 24, par. 2 lett. b) del Decreto NIS per eseguire la notifica obbligatoria in tre fasi di cui agli artt. 25 e 26 del Decreto (pre-notifica entro 24h, notifica entro 72h e Relazione finale entro 1 mese).

In parallelo con l'operatività, deve consolidarsi la struttura di direzione con l’adozione di un documento formale che descrive visione, obiettivi e piano d'azione. Ai sensi dell’art. 23 del Decreto gli organi di amministrazione e gli organi direttivi devono poi approvare formalmente le misure di gestione dei rischi e completare i percorsi formativi obbligatori essendo in grado di comprovare l'avvenuta formazione.

Un programma di security awareness è obbligatorio anche per tutti i dipendenti, comprensivo di un training specializzato per personale IT e amministrativo così corredato da penetration test regolari e politiche di sicurezza documentate accessibili e aggiornate. Ignorare questo passaggio espone il management a sanzioni personali legate all’impossibilità di ricoprire funzioni direttive.

4. Revisione dei Contratti della Supply Chain

Considerato che la sicurezza informatica di un’organizzazione dipende anche dal suo fornitore più debole, una volta messe in sicurezza le "mura domestiche", la norma impone di guardare all'esterno presidiando la catena di approvvigionamento.

Ciò comporterà l’aggiornamento della valutazione dei rischi sui fornitori e la revisione dei contratti con i provider di servizi ICT e cloud.

Questa fase prevede, infatti, l’integrazione nei contratti di outsourcing con clausole di cybersecurity (su standard minimi di sicurezza richiesti e obblighi di notifica degli incidenti) e diritti di audit.

Rischio e opportunità strategica

Il differimento degli adempimenti normativi non configura esclusivamente un'esposizione al rischio cibernetico, bensì una vera e propria vulnerabilità di natura giuridica.

In sede di accertamento ispettivo o a seguito di un incidente, la discriminante tra l'irrogazione di una sanzione edittale minima e l'applicazione di multe particolarmente elevate (che possono raggiungere i 20mln di euro o il 2% del fatturato ex art. 38 del Decreto) risiede anche nell'onere della prova: è fondamentale poter esibire un fascicolo di compliance strutturato, la cui costituzione sia rigorosamente antecedente all'evento critico.

Sebbene la Direttiva NIS2 imponga un iter di adeguamento articolato, essa rappresenta un’opportunità strategica per elevare il grado di resilienza operativa del soggetto NIS, consolidandone il posizionamento e l'affidabilità all'interno del mercato internazionale.