NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo)
Basta una gap analysis per essere conformi alla NIS2? No, non basta. Eppure questa è la trappola in cui stanno cadendo molte organizzazioni italiane: commissionano un’analisi iniziale, ricevono una fotografia della loro situazione e si fermano lì.
Non per disinteresse. Non per mancanza di comprensione. Ma perché adeguarsi alla NIS2 è un percorso strutturato, non un documento da archiviare e molte aziende non sono ancora pronte ad affrontarlo nella sua interezza.
Il rischio sottovalutato di fermarsi alla sola analisi
La gap analysis è necessaria: serve a capire dove si è, quali sono le criticità reali e quali i rischi prioritari. Ma sapere dove sono i problemi non li risolve. Avere un documento, una checklist o un report non equivale a essere conformi.
La NIS2 non richiede consapevolezza. Richiede azione.
Fermarsi all’analisi genera un problema specifico e spesso sottovalutato: la falsa sicurezza. L’azienda crede di aver “fatto qualcosa”, mentre di fatto non ha ancora intrapreso nulla di strutturalmente rilevante ai fini della normativa.
Cosa significa davvero adeguarsi alla NIS2
In Italia la NIS2 è stata recepita con il D.Lgs. 138/2024, in vigore dal 18 ottobre 2024. L’autorità competente è l’ACN (Agenzia per la Cybersicurezza Nazionale) che gestisce il portale NIS, definisce le specifiche tecniche e supervisiona la conformità.
La normativa introduce un meccanismo di adeguamento progressivo, che parte dalla comunicazione ufficiale di ACN con cui l’azienda viene inserita nell’elenco dei soggetti essenziali o importanti. Da quel momento scattano due scadenze precise e non negoziabili:
- Entro 9 mesi dalla comunicazione ACN: devono essere attivi i processi di gestione e notifica degli incidenti significativi al CSIRT Italia.
- Entro 18 mesi dalla comunicazione ACN: devono essere implementate tutte le misure tecniche e organizzative di sicurezza previste dal decreto.
Poiché le prime comunicazioni ACN sono partite ad aprile 2025, per la maggior parte dei soggetti questi termini scadono rispettivamente a gennaio 2026 e ottobre 2026.
L’adeguamento richiede interventi concreti su più livelli: misure tecniche reali, processi aziendali strutturati, formazione del personale, sistemi di monitoraggio attivi, procedure di gestione degli incidenti definite e testate. Non è un documento. È un sistema che deve funzionare.
Ed è, soprattutto, una responsabilità diretta del management: il D.Lgs. 138/2024 prevede per i soggetti essenziali sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, con responsabilità personali anche per le figure di direzione e controllo.
Il punto di contatto CSIRT: cosa è davvero (e cosa non è)
Uno degli elementi più citati — e più fraintesi — della NIS2 è il punto di contatto CSIRT. Chiarire cosa sia realmente è fondamentale per non costruire su basi errate.
Il punto di contatto CSIRT è il riferimento ufficiale dell’organizzazione verso il Computer Security Incident Response Team nazionale per la notifica degli incidenti, la gestione delle comunicazioni ufficiali e il coordinamento in caso di eventi critici.
Avere il punto di contatto non significa però essere conformi. È solo uno degli elementi richiesti.
Ciò che fa davvero la differenza non è il titolo della persona che ricopre il ruolo, ma il contesto organizzativo in cui opera. Può essere anche una figura interna non strettamente tecnica, a condizione che sia inserita in una struttura che le consenta di agire correttamente: con processi chiari di gestione degli incidenti, supporto tecnico adeguato, strumenti di monitoraggio e procedure interne definite.
Le competenze necessarie sono distribuite, non individuali: capacità di coordinamento, comprensione dei processi aziendali, accesso a competenze tecniche, capacità di attivare le procedure corrette nei tempi richiesti dalla normativa, pre-notifica entro 24 ore, notifica formale entro 72 ore, relazione finale entro 30 giorni.
La domanda giusta non è “chi è il punto di contatto?” ma “quanto l’azienda è pronta a supportarlo?”
Un approccio sostenibile: il percorso a fasi
Proprio per questa complessità, il modo corretto di affrontare la NIS2 non è un pacchetto unico e rigido. È un percorso progressivo, costruito per accompagnare l’organizzazione nel tempo senza bloccarla.
Il percorso si articola in fasi con obiettivi e output precisi: analisi reale dello stato attuale, definizione delle priorità e della roadmap, formazione del board e del management, implementazione tecnica delle misure, formazione operativa e adeguamento dei processi, monitoraggio e continuità operativa.
La formazione del board è un passaggio chiave, spesso sottovalutato. La NIS2 responsabilizza esplicitamente i vertici aziendali: i dirigenti devono seguire percorsi formativi sulla sicurezza informatica, approvare le politiche di sicurezza e monitorarne l’implementazione. Prima di intervenire sull’azienda, chi prende le decisioni deve avere piena consapevolezza dei rischi e delle proprie responsabilità personali.
Strutturare il percorso a fasi consente all’azienda di iniziare, valutare, comprendere il valore del lavoro svolto e decidere come proseguire, senza vincoli insostenibili e senza rischiare di paralizzarsi di fronte alla complessità complessiva.
Adeguamento NIS2: dalla strategia all’operatività, con un unico partner
Adeguarsi alla NIS2 è obbligatorio. Il modo in cui ci si arriva deve essere sostenibile.
Il valore di avere un unico partner lungo tutto il percorso, dalla prima analisi fino alla piena operatività, sta proprio in questo: non si limita a indicare i problemi, ma li affronta e li risolve insieme all’azienda. Nella definizione della strategia, nella formazione del management, nell’implementazione tecnica, nella riorganizzazione dei processi, nella continuità operativa.
Il primo passo: consapevolezza reale della propria situazione
Il momento più delicato è spesso proprio l’inizio. Prendere consapevolezza delle proprie vulnerabilità non è comodo. Ma è inevitabile.
Se la tua azienda rientra tra i soggetti NIS2, perché opera in uno dei 18 settori previsti, perché supera determinate soglie dimensionali, o perché è parte di una filiera rilevante, non si tratta più di valutare se adeguarsi. Si tratta di capire come farlo, con quali priorità e con quale sostenibilità.
Il primo passo è sempre un’analisi reale dello stato attuale. Solo così è possibile costruire una roadmap efficace e iniziare nel modo giusto.
La NIS2 non si acquista. Si costruisce. È un percorso, non un documento. L’importante non è iniziare tutto subito: è iniziare nel modo giusto.
FAQ
Cosa succede se non mi adeguo alla NIS2?
Il mancato adeguamento espone l’azienda a sanzioni significative — fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali, fino a 7 milioni o l’1,4% per i soggetti importanti — oltre a responsabilità personali del management e a rischi operativi concreti in caso di incidente informatico.
La NIS2 riguarda anche la mia azienda?
Molte organizzazioni non sanno di rientrare nella normativa. Se operi in uno degli 11 settori altamente critici o nei 7 settori critici previsti dal decreto, o se sei fornitore di un soggetto NIS2, potresti essere coinvolto anche senza saperlo.
Chi è responsabile della compliance NIS2 in azienda?
La responsabilità non è solo tecnica: ricade sul management. Il D.Lgs. 138/2024 prevede che i vertici aziendali garantiscano l’adozione e il funzionamento delle misure, con responsabilità personali espressamente normate.
Serve cambiare tutta l’infrastruttura IT?
Non necessariamente. Ma nella maggior parte dei casi è necessario intervenire su configurazioni, processi e strumenti per raggiungere il livello di sicurezza richiesto dalle specifiche di base ACN.
Quanto tempo ho per adeguarmi?
Dalla comunicazione ufficiale di ACN hai 9 mesi per attivare il sistema di notifica degli incidenti e 18 mesi per implementare le misure di sicurezza complete. Chi ha ricevuto la comunicazione ad aprile 2025 ha le scadenze rispettivamente a gennaio e ottobre 2026.
Cos’è il punto di contatto CSIRT nella NIS2?
È il riferimento ufficiale verso il CSIRT nazionale per notifiche e gestione degli incidenti. Da solo non garantisce la conformità: deve essere supportato da processi, strumenti e competenze distribuite all’interno dell’organizzazione.
Posso fare tutto internamente?
Alcune attività possono essere gestite internamente, ma la definizione della strategia, la corretta implementazione tecnica e il rispetto delle scadenze normative richiedono quasi sempre il supporto di un partner esperto.