NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo)

NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo)

Basta una gap analysis per essere conformi alla NIS2? No, non basta. Eppure questa è la trappola in cui stanno cadendo molte organizzazioni italiane: commissionano un’analisi iniziale, ricevono una fotografia della loro situazione e si fermano lì.

Non per disinteresse. Non per mancanza di comprensione. Ma perché adeguarsi alla NIS2 è un percorso strutturato, non un documento da archiviare e molte aziende non sono ancora pronte ad affrontarlo nella sua interezza.

Il rischio sottovalutato di fermarsi alla sola analisi

La gap analysis è necessaria: serve a capire dove si è, quali sono le criticità reali e quali i rischi prioritari. Ma sapere dove sono i problemi non li risolve. Avere un documento, una checklist o un report non equivale a essere conformi.

La NIS2 non richiede consapevolezza. Richiede azione.

Fermarsi all’analisi genera un problema specifico e spesso sottovalutato: la falsa sicurezza. L’azienda crede di aver “fatto qualcosa”, mentre di fatto non ha ancora intrapreso nulla di strutturalmente rilevante ai fini della normativa.

Cosa significa davvero adeguarsi alla NIS2

In Italia la NIS2 è stata recepita con il D.Lgs. 138/2024, in vigore dal 18 ottobre 2024. L’autorità competente è l’ACN (Agenzia per la Cybersicurezza Nazionale) che gestisce il portale NIS, definisce le specifiche tecniche e supervisiona la conformità.

La normativa introduce un meccanismo di adeguamento progressivo, che parte dalla comunicazione ufficiale di ACN con cui l’azienda viene inserita nell’elenco dei soggetti essenziali o importanti. Da quel momento scattano due scadenze precise e non negoziabili:

Entro 9 mesi dalla comunicazione ACN: devono essere attivi i processi di gestione e notifica degli incidenti significativi al CSIRT Italia.
Entro 18 mesi dalla comunicazione ACN: devono essere implementate tutte le misure tecniche e organizzative di sicurezza previste dal decreto.

Poiché le prime comunicazioni ACN sono partite ad aprile 2025, per la maggior parte dei soggetti questi termini scadono rispettivamente a gennaio 2026 e ottobre 2026.

L’adeguamento richiede interventi concreti su più livelli: misure tecniche reali, processi aziendali strutturati, formazione del personale, sistemi di monitoraggio attivi, procedure di gestione degli incidenti definite e testate. Non è un documento. È un sistema che deve funzionare.

Ed è, soprattutto, una responsabilità diretta del management: il D.Lgs. 138/2024 prevede per i soggetti essenziali sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, con responsabilità personali anche per le figure di direzione e controllo.

Il punto di contatto CSIRT: cosa è davvero (e cosa non è)

Uno degli elementi più citati — e più fraintesi — della NIS2 è il punto di contatto CSIRT. Chiarire cosa sia realmente è fondamentale per non costruire su basi errate.

Il punto di contatto CSIRT è il riferimento ufficiale dell’organizzazione verso il Computer Security Incident Response Team nazionale per la notifica degli incidenti, la gestione delle comunicazioni ufficiali e il coordinamento in caso di eventi critici.

Avere il punto di contatto non significa però essere conformi. È solo uno degli elementi richiesti.

Ciò che fa davvero la differenza non è il titolo della persona che ricopre il ruolo, ma il contesto organizzativo in cui opera. Può essere anche una figura interna non strettamente tecnica, a condizione che sia inserita in una struttura che le consenta di agire correttamente: con processi chiari di gestione degli incidenti, supporto tecnico adeguato, strumenti di monitoraggio e procedure interne definite.

Le competenze necessarie sono distribuite, non individuali: capacità di coordinamento, comprensione dei processi aziendali, accesso a competenze tecniche, capacità di attivare le procedure corrette nei tempi richiesti dalla normativa, pre-notifica entro 24 ore, notifica formale entro 72 ore, relazione finale entro 30 giorni.

La domanda giusta non è “chi è il punto di contatto?” ma “quanto l’azienda è pronta a supportarlo?”

Un approccio sostenibile: il percorso a fasi

Proprio per questa complessità, il modo corretto di affrontare la NIS2 non è un pacchetto unico e rigido. È un percorso progressivo, costruito per accompagnare l’organizzazione nel tempo senza bloccarla.

Il percorso si articola in fasi con obiettivi e output precisi: analisi reale dello stato attuale, definizione delle priorità e della roadmap, formazione del board e del management, implementazione tecnica delle misure, formazione operativa e adeguamento dei processi, monitoraggio e continuità operativa.

La formazione del board è un passaggio chiave, spesso sottovalutato. La NIS2 responsabilizza esplicitamente i vertici aziendali: i dirigenti devono seguire percorsi formativi sulla sicurezza informatica, approvare le politiche di sicurezza e monitorarne l’implementazione. Prima di intervenire sull’azienda, chi prende le decisioni deve avere piena consapevolezza dei rischi e delle proprie responsabilità personali.

Strutturare il percorso a fasi consente all’azienda di iniziare, valutare, comprendere il valore del lavoro svolto e decidere come proseguire, senza vincoli insostenibili e senza rischiare di paralizzarsi di fronte alla complessità complessiva.

Adeguamento NIS2: dalla strategia all’operatività, con un unico partner

Adeguarsi alla NIS2 è obbligatorio. Il modo in cui ci si arriva deve essere sostenibile.

Il valore di avere un unico partner lungo tutto il percorso, dalla prima analisi fino alla piena operatività, sta proprio in questo: non si limita a indicare i problemi, ma li affronta e li risolve insieme all’azienda. Nella definizione della strategia, nella formazione del management, nell’implementazione tecnica, nella riorganizzazione dei processi, nella continuità operativa.

Il primo passo: consapevolezza reale della propria situazione

Il momento più delicato è spesso proprio l’inizio. Prendere consapevolezza delle proprie vulnerabilità non è comodo. Ma è inevitabile.

Se la tua azienda rientra tra i soggetti NIS2, perché opera in uno dei 18 settori previsti, perché supera determinate soglie dimensionali, o perché è parte di una filiera rilevante, non si tratta più di valutare se adeguarsi. Si tratta di capire come farlo, con quali priorità e con quale sostenibilità.

Il primo passo è sempre un’analisi reale dello stato attuale. Solo così è possibile costruire una roadmap efficace e iniziare nel modo giusto.

La NIS2 non si acquista. Si costruisce. È un percorso, non un documento. L’importante non è iniziare tutto subito: è iniziare nel modo giusto.

Parliamone

FAQ

Cosa succede se non mi adeguo alla NIS2?

Il mancato adeguamento espone l’azienda a sanzioni significative — fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali, fino a 7 milioni o l’1,4% per i soggetti importanti — oltre a responsabilità personali del management e a rischi operativi concreti in caso di incidente informatico.

La NIS2 riguarda anche la mia azienda?

Molte organizzazioni non sanno di rientrare nella normativa. Se operi in uno degli 11 settori altamente critici o nei 7 settori critici previsti dal decreto, o se sei fornitore di un soggetto NIS2, potresti essere coinvolto anche senza saperlo.

Chi è responsabile della compliance NIS2 in azienda?

La responsabilità non è solo tecnica: ricade sul management. Il D.Lgs. 138/2024 prevede che i vertici aziendali garantiscano l’adozione e il funzionamento delle misure, con responsabilità personali espressamente normate.

Serve cambiare tutta l’infrastruttura IT?

Non necessariamente. Ma nella maggior parte dei casi è necessario intervenire su configurazioni, processi e strumenti per raggiungere il livello di sicurezza richiesto dalle specifiche di base ACN.

Quanto tempo ho per adeguarmi?

Dalla comunicazione ufficiale di ACN hai 9 mesi per attivare il sistema di notifica degli incidenti e 18 mesi per implementare le misure di sicurezza complete. Chi ha ricevuto la comunicazione ad aprile 2025 ha le scadenze rispettivamente a gennaio e ottobre 2026.

Cos’è il punto di contatto CSIRT nella NIS2?

È il riferimento ufficiale verso il CSIRT nazionale per notifiche e gestione degli incidenti. Da solo non garantisce la conformità: deve essere supportato da processi, strumenti e competenze distribuite all’interno dell’organizzazione.

Posso fare tutto internamente?

Alcune attività possono essere gestite internamente, ma la definizione della strategia, la corretta implementazione tecnica e il rispetto delle scadenze normative richiedono quasi sempre il supporto di un partner esperto.

Workshop: La Rotta verso la NIS2 – come prepararsi alla Direttiva Europea sulla sicurezza informatica

La Rotta verso la NIS2

Come prepararsi alla Direttiva Europea sulla sicurezza informatica

Un evento di formazione, confronto e networking sulla sicurezza informatica

La Direttiva Europea NIS2 rappresenta una delle più significative evoluzioni nel campo della sicurezza informatica, imponendo requisiti precisi a tutela della continuità operativa e della resilienza digitale di organizzazioni pubbliche e private.

La scadenza fissata al 31 dicembre 2026 richiede alle aziende di avviare un percorso chiaro e strutturato di adeguamento. Non solo per chi rientra nei settori essenziali e importanti, ma anche — e sempre più spesso — per tutta la supply chain: fornitori, subfornitori, partner tecnologici e produttivi.

Per questo Alchimie Digitali organizza un workshop gratuito aperto a:

aziende direttamente soggette alla NIS2,
aziende indirettamente coinvolte perché inserite nella supply chain di realtà soggette alla direttiva,
manager IT, responsabili sicurezza, DPO, responsabili qualità e compliance.

Scopri il percorso di adeguamento NIS2 con Alchimie Digitali

Durante il workshop presenteremo il modello operativo in 3 fasi sviluppato da Alchimie Digitali, pensato per accompagnare le imprese verso la completa conformità.

FASE 0 – Formazione obbligatoria

Diffondere una cultura della sicurezza tra Board e Addetti, affinché governance e responsabilità siano allineate alla normativa.

FASE 1 – Analisi e Roadmap

Valutazione dello stato attuale, gestione del rischio, individuazione delle priorità operative e definizione di un piano strategico personalizzato.

FASE 2 – Implementazione operativa

Attuazione delle misure tecniche, organizzative e procedurali richieste dalla direttiva, con evidenze e documentazione conformi.

Perché partecipare

Partecipando al workshop potrai:
✓ Comprendere cosa cambia con la NIS2 e quali obblighi imporrà al tuo settore.
✓ Capire come la direttiva impatta direttamente e indirettamente sulla tua azienda attraverso la supply chain.
✓ Confrontarti con i consulenti e i formatori NIS2 di Alchimie Digitali.
✓ Prepararti a rispondere a richieste di audit, contratti e requisiti di clienti e partner.

Iscrizione e contatti

La partecipazione al workshop “La Rotta verso la NIS2” è gratuita, ma la registrazione è obbligatoria per garantire il posto in sala.
L’evento si terrà presso la sede di Alchimie Digitali a Modena, martedì 2 dicembre 2025, dalle 15:30 alle 17:00.

Per iscriversi: info@adigitali.it

I posti sono limitati e verranno assegnati in ordine di registrazione.

FAQ

Cos’è la Direttiva NIS2?

È la nuova direttiva europea che impone alle aziende misure di sicurezza informatica più rigorose per garantire la resilienza dei servizi essenziali e digitali.

Quali settori rientrano nella Direttiva NIS2?

La NIS2 si applica a due categorie di organizzazioni:

Enti essenziali, che operano in settori critici come energia, trasporti, sanità, acqua, infrastrutture digitali, pubblica amministrazione, finanza e spazio.
Enti importanti, attivi in ambiti come manifattura, servizi postali, rifiuti, chimica, alimentare, ricerca o altri settori industriali strategici.

Chi deve adeguarsi alla NIS2?

La direttiva si applica a organizzazioni pubbliche e private che operano in settori critici (energia, trasporti, sanità, ICT, manifattura, ecc.) o che forniscono servizi digitali essenziali.

Come si distingue un ente “essenziale” da uno “importante”?

La differenza principale riguarda l’impatto che un incidente informatico potrebbe avere sui servizi e sulla società.
Gli enti essenziali gestiscono servizi la cui interruzione può compromettere la sicurezza o l’economia nazionale, mentre gli enti importanti hanno un ruolo rilevante ma meno critico.

Qual è la scadenza per la conformità NIS2?

Il termine per completare l’adeguamento è fissato al 31 dicembre 2026.

Le PMI devono adeguarsi alla NIS2?

Sì, se operano in uno dei settori individuati o se forniscono servizi a un’organizzazione che rientra nella direttiva.
La NIS2 non si basa solo sulla dimensione aziendale, ma anche sull’importanza del servizio o prodotto fornito.

Come può aiutarmi Alchimie Digitali?

Offriamo un percorso completo in tre fasi (formazione, analisi e implementazione) per accompagnare l’azienda verso la piena conformità normativa, con un approccio personalizzato e pragmatico.

Quali sono gli obblighi previsti dalla NIS2?

Le aziende devono implementare misure tecniche e organizzative per:

prevenire e mitigare gli incidenti informatici;
garantire continuità operativa e piani di risposta agli incidenti;
segnalare tempestivamente eventuali violazioni o attacchi;
assicurare formazione e consapevolezza del personale;
documentare governance, ruoli e responsabilità legate alla sicurezza.

Cosa rischia chi non si adegua alla NIS2?

Le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale.
Inoltre, la direttiva introduce responsabilità diretta per gli amministratori e obblighi di vigilanza sui processi aziendali di sicurezza.