Solo il 61% delle imprese che hanno intrapreso un cammino strutturato verso la Nis2, la direttiva Ue che aggiorna le norme sulla cybersecurity e che in Italia è entrata in vigore il 16 ottobre a valle della pubblicazione in Gazzetta del decreto legislativo n. 138/2024.
In particolare, settori fondamentali come la gestione del rischio e la formazione del personale sono ancora carenti, mettendo in evidenza una lacuna critica nella preparazione delle aziende a fronteggiare le sfide imposte dalla normativa. A scattare la preoccupante fotografia è dell’Osservatorio sulla Cybersicurezza, iniziativa promossa dall’Angi, in collaborazione con Tinexta Cyber con l’alto patrocinio degli Uffici del Parlamento Europeo in Italia e di Assintel Confcommercio.
La Nis2 leva strategica per la competitività
La riflessione che emerge da questa analisi è chiara: la compliance non è solo una questione di sanzioni o di adempimenti burocratici, ma una leva strategica per il rafforzamento della competitività. Adottare un approccio strutturato alla sicurezza significa non solo proteggere i propri asset, ma anche dimostrare una gestione responsabile dei rischi ai clienti, ai partner e alle istituzioni.
Secondo lo studio, il percorso di adattamento alla Nis2 deve coinvolgere ogni livello aziendale, a partire dai vertici. Il consiglio di amministrazione è chiamato a un ruolo attivo nella gestione dei rischi informatici, assumendo una responsabilità diretta nella definizione delle strategie di sicurezza.
Inoltre la crescente complessità delle minacce e l’evoluzione continua dei modelli di business impongono una visione integrata della sicurezza che deve partire dal top management, coinvolgendo tutte le funzioni aziendali, dalla governance alla gestione operativa.
La Nis2 e la maturità tecnologica
E la direttiva Ue è anche un’importante opportunità per le imprese di ripensare la propria visione della sicurezza e della continuità operativa, in un mondo che cambia rapidamente. “Il cuore della Nis2 è il concetto di “resilienza digitale”, un valore che deve permeare tutte le attività aziendali – si legge nel report – La direttiva impone alle organizzazioni di adottare misure di sicurezza adeguate, di gestire i rischi in modo sistematico e di promuovere una cultura della sicurezza informatica a tutti i livelli. Le aziende, sia che operino nei settori critici sia che facciano parte di catene di fornitura fondamentali, sono chiamate a investire in una protezione che non solo difenda contro gli attacchi, ma che permetta loro di reagire e adattarsi in modo tempestivo e proattivo alle nuove minacce. Non si tratta semplicemente di adeguarsi a un insieme di regole, ma di intraprendere un percorso di maturazione e di consapevolezza”.
Resilienza nuovo paradigma
“Le minacce cyber si sono evolute, spostandosi dal crimine organizzato verso un contesto geopolitico sempre più teso. Il vero cambio di paradigma portato dalla Nis2 è il concetto di resilienza: non solo protezione, ma anche la capacità di mantenere continuità operativa in scenari complessi – spiega Pierguido Iezzi, Strategic Business Director di Tinexta Cyber – Il nostro obiettivo deve essere quello di abbattere il rischio ove possibile e trasformare il rischio residuo in resilienza, adottando un approccio che consenta alle imprese di reagire rapidamente e mantenere la sicurezza anche in contesti imprevedibili. Il trasferimento delle best practice militari al contesto aziendale rappresenta una strategia fondamentale per affrontare le sfide attuali e future”.
Cybersecurity pilastro dell’innovazione
Per Gabriele Ferrieri, Presidente Angi “l’innovazione passa per la cybersicurezza, elemento fondante per lo sviluppo delle infrastrutture digitali sicure delle aziende e della pubblica amministrazione e come Associazione Nazionale Giovani Innovatori siamo impegni con i principali player del settore e autorità governative preposte, tra cui l’Acn, per dare il nostro massimo contributo alla resilienza digitale e alla valorizzazione di tali sistema a difesa dell’ecosistema Paese”.
In conclusione, la Direttiva deve essere vista come un’opportunità per riflettere su come la cybersecurity può essere un motore di innovazione. Le misure richieste dalla direttiva, se implementate in modo strategico, possono essere un punto di partenza per ripensare i processi aziendali, migliorare l’efficienza operativa e creare nuove opportunità di crescita. Un’azienda che investe in sicurezza non solo riduce i rischi, ma si prepara a cogliere le sfide del futuro con maggiore capacità di adattamento. In questo scenario, Tinexta Cyber si presenta come un interlocutore privilegiato per le imprese italiane che desiderano intraprendere questo percorso.
Nis2 cos’è e cosa prevede
Con l’entrata in vigore della direttiva le aziende italiane identificate come soggetti essenziali o importanti sono tenute a registrarsi sulla piattaforma gestita dall’Agenzia per la Cybersicurezza Nazionale (Acn).
Questo passaggio è cruciale per tracciare un quadro preciso delle attività e dei servizi ritenuti “sensibili”. La piattaforma sarà operativa dal 18 ottobre e richiederà alle aziende di fornire dettagli accurati sulle loro operazioni, permettendo all’Acn di categorizzare i soggetti e garantire una gestione efficace delle risorse e dei rischi. Le imprese dovranno completare la registrazione o aggiornare i propri dati tra gennaio e febbraio 2025, con scadenze specifiche per diversi settori.
Catena di approvvigionamento e interdipendenze
Un tema centrale della Direttiva Nis2 riguarda l’attenzione posta sulla catena di approvvigionamento e le interdipendenze tra diversi settori. La normativa non si limita a valutare i rischi dei singoli operatori, ma si estende anche ai loro fornitori, riconoscendo che le vulnerabilità possono propagarsi lungo tutta la catena.
Questo approccio innovativo richiede alle aziende di considerare non solo la sicurezza interna, ma anche quella dei propri partner e fornitori, promuovendo una visione integrata della sicurezza informatica. La direttiva mira quindi a costruire un ecosistema più sicuro e resiliente, dove ogni anello della catena contribuisce alla protezione complessiva.
Misure di sicurezza e formazione: i pilastri della Nis2
Oltre alla registrazione, la Direttiva Nis2 impone alle aziende l’adozione di misure di sicurezza informatica tecniche e organizzative adeguate, proporzionate ai rischi specifici di ciascun settore. Le imprese dovranno sviluppare politiche di sicurezza chiare, designando responsabili della sicurezza informatica e implementando sistemi di gestione degli incidenti.
Un aspetto fondamentale della direttiva riguarda la formazione del personale: le aziende sono obbligate a garantire che i dipendenti ricevano una formazione continua sulla sicurezza informatica, promuovendo una cultura della sicurezza all’interno dell’organizzazione. Questo non solo aiuta a ridurre il rischio di attacchi informatici, ma migliora anche la resilienza delle infrastrutture aziendali.
Implicazioni e vantaggi per le imprese
L’adeguamento alla Direttiva Nis2, se da un lato comporta nuovi obblighi per le imprese, dall’altro offre anche una serie di vantaggi significativi. Le aziende che si conformano alla normativa vedranno una riduzione del rischio di attacchi informatici e un miglioramento della resilienza dei loro sistemi e reti.
Inoltre, la conformità alla direttiva può aumentare la fiducia di clienti e investitori, che percepiscono le aziende Nis2 compliant come partner più sicuri e affidabili rispetto ai concorrenti. In questo modo, la direttiva non solo rafforza la sicurezza informatica, ma contribuisce anche a creare un ambiente di mercato più stabile e competitivo.
