La cybersecurity non è più un argomento riservato agli esperti IT. Con l’entrata in vigore della direttiva NIS2 e il suo recepimento in Italia attraverso il D.Lgs. 138/2026 la sicurezza informatica è diventata una responsabilità trasversale che coinvolge tutti i livelli aziendali.
Questa nuova normativa ha introdotto obblighi stringenti e sanzioni significative, spingendo le aziende a ripensare completamente la loro strategia di sicurezza. La NIS2 non si limita a aggiornare le configurazioni tecniche, ma richiede un cambiamento culturale e organizzativo profondo.
La direttiva NIS2 e il suo impatto sulle aziende
La direttiva NIS2 (UE 2026/2555) è il principale atto normativo europeo in materia di cybersecurity. Recepita in Italia con il D.Lgs. 138/2026 ha sostituito la precedente direttiva NIS del 2016, ampliandone significativamente il perimetro di applicazione.
Uno degli aspetti più innovativi della NIS2 è la responsabilizzazione esplicita del vertice aziendale. Gli organi di gestione delle organizzazioni soggette alla direttiva devono approvare le misure di gestione del rischio cyber, supervisionarne l’attuazione e rispondere personalmente in caso di violazioni gravi. Questo significa che la cybersecurity non può più essere delegata interamente al CIO o al responsabile IT.
Un altro elemento di novità è l’estensione degli obblighi alla supply chain. Le organizzazioni soggette alla NIS2 devono valutare e gestire il rischio cyber non solo nei propri sistemi, ma anche nei sistemi dei fornitori e dei partner. Questo è particolarmente rilevante per chi utilizza servizi di IT outsourcing e managed services.
Obblighi tecnici, organizzativi e di governance
Gli obblighi introdotti dalla NIS2 si articolano su tre livelli distinti: tecnico, organizzativo e di governance. Sul piano tecnico, le aziende devono adottare misure proporzionate al rischio, che includono la gestione delle vulnerabilità informatiche, la protezione delle reti e dei sistemi informativi, e la gestione degli incidenti.
Sul piano organizzativo, le aziende devono registrarsi presso l’Agenzia per la Cybersicurezza Nazionale (ACN) designare un punto di contatto per le comunicazioni con l’ACN, e dotarsi di procedure di notifica per la gestione degli incidenti significativi. Inoltre, devono condurre test e audit periodici sulla propria postura di sicurezza.
Sul piano della governance, il consiglio di amministrazione o l’organo di gestione equivalente deve approvare formalmente le politiche di sicurezza informatica, supervisionarne l’attuazione e garantire che i propri componenti ricevano formazione adeguata in materia di cybersecurity.
Nuove professioni e competenze richieste
L’adeguamento alla NIS2 ha creato una domanda improvvisa e intensa di profili specializzati in cybersecurity. Le figure più richieste nelle organizzazioni soggette alla direttiva includono il CISO (Chief Information Security Officer) il Security Operations Center (SOC) Analyst e il DPO (Data Protection Officer) con competenze NIS2.
La scarsità di questi profili sul mercato italiano richiede un approccio di ricerca attiva. Le aziende devono investire nella formazione del personale esistente e nella ricerca di nuovi talenti per soddisfare i requisiti normativi. Inoltre, la NIS2 ha introdotto nuovi ruoli come il Cyber Risk Manager e il Threat Intelligence Analyst che fino a pochi anni fa erano presenti solo nelle organizzazioni più avanzate.
L’adeguamento alla NIS2 rappresenta una sfida complessa, ma anche un’opportunità per le aziende di rafforzare la loro postura di sicurezza e proteggere i propri dati e sistemi da minacce sempre più sofisticate.
