L’entrata in operatività della direttiva NIS 2 segna un passaggio cruciale per le imprese coinvolte, ma tra consapevolezza limitata, complessità legata alla supply chain e scadenze ravvicinate, il percorso verso la compliance si sta rivelando più difficile del previsto. L’intervista ad Alessandro Cecchetti, Socio e Manager di Colin & Partners, fa il punto sulle criticità e le priorità per i prossimi mesi, anticipando alcuni temi che saranno discussi nel corso del CISO PANEL ROMA, il prossimo 7 maggio.
Consapevolezza e supply chain: le principali criticità della compliance NIS 2
Il 2026 rappresenta un anno decisivo: la direttiva NIS 2 entra nella sua fase operativa, imponendo alle aziende obblighi, responsabilità e nuovi modelli di governance. Tuttavia, il percorso di adeguamento si sta dimostrando tutt’altro che lineare: una delle prime difficoltà incontrate dalle aziende è stata proprio la piena comprensione della norma e delle sue implicazioni. «Un grande tema è quello della conoscenza della norma, soprattutto perché la NIS 2 introduce una responsabilità diretta sui vertici aziendali» ci spiega Alessandro Cecchetti. Portare questi temi a livello di top management non è scontato, soprattutto in settori poco maturi sul fronte cyber.
Accanto al tema culturale, emerge con forza una criticità più operativa: la gestione della supply chain. La difficoltà si articola su più livelli. Il primo è quello della mappatura dei fornitori rilevanti. Il secondo livello riguarda la revisione contrattuale, spesso sottovalutata ma estremamente impegnativa. «Non basta identificare i fornitori – dice Alessandro Cecchetti -: bisogna rivedere i contratti, negoziare responsabilità e allinearli ai requisiti cyber».
Anche aspetti apparentemente banali possono diventare ostacoli concreti. «Ci sono contratti che non prevedono nemmeno modalità corrette per la comunicazione degli incidenti. Sono dettagli pratici, ma fondamentali» dice Alessandro Cecchetti. Questa complessità si è già manifestata con le prime scadenze operative. Le aziende devono essere in grado di notificare un incidente, ma questo implica che anche i fornitori sappiano come comunicarlo, e oggi molti contratti non sono ancora allineati.
Le prossime scadenze: maggio e ottobre passaggi chiave
Il calendario NIS 2 prevede tappe precise che le aziende devono rispettare per evitare criticità.
«Entro il 31 maggio le aziende devono accedere alla piattaforma e caricare la lista dei fornitori rilevanti» spiega Cecchetti. Un passaggio che introduce anche un elemento di novità: l’inclusione dei cosiddetti fornitori “non fungibili”. «Non si tratta solo di fornitori tecnologici, ma anche di servizi insostituibili, che non possono essere facilmente cambiati».
Parallelamente, l’Autorità sta introducendo strumenti per supportare le aziende nella classificazione dei servizi critici: verrà messo a disposizione uno strumento per la Business Impact Analysis, per capire quali servizi sono più rilevanti per il business.
Un ulteriore passaggio fondamentale riguarda ottobre 2026, con l’implementazione delle misure di sicurezza di base. «Entro ottobre le aziende devono implementare le misure minime di sicurezza, almeno quelle definite nella determina» dice Cecchetti. Un requisito che, contrariamente a quanto si potrebbe pensare, non è banale: «Le misure previste non sono solo quelle di base, come antivirus o backup: si parla di logging centralizzato, analisi dei log, MFA. Molte aziende non sono ancora pronte». Nel frattempo, le attività di monitoraggio sono già iniziate: il CSIRT Italia sta già facendo segnalazioni proattive su problematiche tecniche visibili, come servizi esposti o vulnerabilità.
Come evitare criticità: roadmap, priorità e approccio integrato
Alla luce delle difficoltà emerse, il rischio principale per le aziende è affrontare la compliance in modo disorganico. «La priorità è essere ordinati e consapevoli rispetto agli adempimenti, con un timing chiaro» dice Alessandro Cecchetti. Il primo passo è una valutazione strutturata del livello di maturità: serve un’analisi che abbracci sia la parte legale sia quella tecnica, per capire il reale grado di intervento necessario. Da qui deve derivare una roadmap precisa e sostenibile.
L’errore più comune è procedere senza una visione d’insieme. «Se le cose sono fatte in modo non ordinato, si creano inevitabilmente criticità da gestire». In particolare, l’attenzione deve concentrarsi su alcuni ambiti chiave:
- la gestione della supply chain e dei contratti;
- l’implementazione delle misure tecniche di base;
- l’integrazione tra funzioni legali, IT e sicurezza;
- la capacità di gestire e notificare gli incidenti.
L’adeguamento alla NIS 2 non è solo un esercizio normativo, ma piuttosto un passaggio verso una maggiore maturità nella gestione del rischio cyber, quindi la direttiva impone alle aziende di ripensare non solo le tecnologie, ma anche processi, responsabilità e relazioni con l’ecosistema dei fornitori. In questo scenario, la differenza non la farà solo la capacità di rispettare le scadenze, ma quella di costruire un modello organizzativo solido, integrato e sostenibile nel tempo.
Su questi temi, l’Avvocato Alessandro Cecchetti, Socio e Manager di Colin & Partners interverrà nel corso del CISO PANEL di TIG, il prossimo 7 maggio a Roma, un evento riservato ai CISO e ai responsabili cybersecurity. Scrivici per partecipare!
