La normativa NIS2 ha assunto un ruolo centrale nelle strategie aziendali di cybersecurity, con particolare attenzione alla sua complementarità con altre regolamentazioni europee. Il processo di iscrizione all’ACN ha rappresentato una sfida per molte aziende, evidenziando la complessità degli adempimenti richiesti. Di questi temi ha parlato Valentina Frediani, Founder e CEO di Colin & Partners, con un intervento sul tema “Sviluppare un modello NIS2 in ottica di multi-compliance”, nel corso del Cybersecurity Summit 2025, lo scorso 20 marzo a Milano.
Riportiamo qui il video completo e sotto una sintesi dei contenuti dell’intervento:
NIS2: le prossime scadenze e i principi cardine
Un aspetto fondamentale riguarda le scadenze: dopo quella del 28 febbraio, una nuova fase tra il 15 aprile e il 31 maggio impone l’obbligo di notificare il backup del punto di contatto e di caricare i dati di alcune figure chiave dell’azienda. Oltre a questi adempimenti burocratici, il focus si sposta sull’adeguamento alla normativa, con date chiave come il 31 dicembre per gli aspetti legali e aprile 2026 per quelli tecnologici. Tuttavia, la compliance non deve essere vista come un traguardo statico, ma come un processo dinamico che evolve insieme ai cambiamenti aziendali.
Uno dei principi cardine della NIS2 è l’accountability, ovvero la responsabilità non solo di rispettare la normativa, ma anche di integrare best practices nella gestione della cybersecurity aziendale. La regolamentazione offre l’opportunità di migliorare la governance e la sicurezza, superando un mero approccio burocratico.
Un tema particolarmente delicato riguarda poi l’ambito dell’OT (Operational Technology) security, dove spesso si riscontrano lacune nella preparazione e nella definizione delle procedure aziendali. Questo può generare conflitti interni e ambiguità decisionali, evidenziando la necessità di una governance strutturata della sicurezza informatica. La NIS2 obbliga i board aziendali a prendere coscienza di questi aspetti, sottolineando l’importanza di una visione integrata della cybersecurity.
A livello organizzativo, spicca il ruolo del punto di contatto, che non si limita a fungere da canale di notifica, ma deve anche garantire la compliance e la gestione degli aggiornamenti documentali. Tuttavia, la responsabilità finale rimane in capo ai soggetti designati dalla normativa.
Un’altra sfida significativa riguarda la supply chain, che deve adeguarsi ai requisiti della NIS2. Se da un lato la normativa impone nuove complessità, dall’altro offre un’opportunità: facendo leva sull’obbligatorietà della compliance, le aziende possono integrare i fornitori nelle strategie di sicurezza senza compromettere le relazioni professionali. Tuttavia, l’applicazione pratica presenta difficoltà, poiché alcuni fornitori potrebbero non essere pronti a investire nell’adeguamento richiesto.
Le azioni fondamentali per l’adeguamento NIS2
Un efficace percorso di adeguamento alla NIS2 deve tenere conto di diversi elementi fondamentali:
- Gestione della supply chain: le aziende devono adottare un approccio differenziato, categorizzando i fornitori in base al tipo di servizio che offrono (es. data center, logistica) e adattando di conseguenza le richieste di sicurezza e responsabilità. Un modello uniforme non è efficace per una corretta gestione del rischio.
- Interdisciplinarità tra ruoli aziendali: la cybersecurity non può essere considerata come un tema isolato. È essenziale un approccio integrato che coinvolga le diverse funzioni aziendali, come il DPO, il reparto legale e l’IT. Lavorare in silos riduce l’efficacia della sicurezza informatica e della compliance.
- Coinvolgimento delle risorse umane e formazione: la sicurezza informatica non riguarda solo l’IT, ma deve coinvolgere anche il personale aziendale. La formazione continua è fondamentale per garantire la consapevolezza e la preparazione necessarie ad affrontare le minacce cyber.
- Compliance oltre la checklist: il rispetto della normativa non può essere ridotto a un mero elenco di spunte. È necessario un approccio che tenga conto dei flussi aziendali, della gestione del rischio e delle risorse, con una visione strategica della compliance.
- Continuità operativa e sicurezza OT: le aziende devono integrare le esigenze della cybersecurity con la gestione della continuità operativa, soprattutto in ambito OT. La sicurezza delle infrastrutture critiche non può essere trascurata.
- Integrazione tra tecnologia e politiche aziendali: la cybersecurity e la compliance devono essere integrate nelle politiche aziendali in modo dinamico, considerando l’evoluzione delle nuove tecnologie, come l’intelligenza artificiale. Le strategie di sicurezza devono adattarsi ai cambiamenti tecnologici per garantire un’efficace protezione dei dati e delle infrastrutture.
In conclusione
L’adozione della NIS2 rappresenta una sfida, ma anche un’opportunità per rafforzare la sicurezza aziendale e migliorare la governance. Un approccio sistemico, che integri la cybersecurity, la compliance legale e le politiche aziendali, è essenziale per garantire la resilienza a lungo termine. La chiave per il successo risiede nella formazione continua, nella gestione del rischio e nel monitoraggio costante delle minacce, con un occhio sempre attento all’evoluzione normativa e tecnologica.
