Con l’entrata in vigore della NIS2 cresce l’attenzione delle imprese italiane verso governance, gestione del rischio e resilienza informatica. Tuttavia, tra ambienti IT complessi e supply chain sempre più estese, molte organizzazioni devono ancora trasformare la compliance normativa in capacità operative concrete e misurabili capaci di superare gap tecnologici ma soprattutto culturali e organizzativi. In molte realtà, la cybersecurity è ancora percepita come una responsabilità tecnica del reparto IT, mentre la NIS2 richiede un coinvolgimento diretto del management e dei consigli di amministrazione nella gestione del rischio digitale.
La direttiva NIS2, in vigore in Italia dall’ottobre 2024 per innalzare i livelli di sicurezza informatica per enti essenziali e i servizi cosiddetti critici, sta spingendo le organizzazioni italiane a muoversi progressivamente nella giusta direzione sul fronte della sicurezza informatica. I temi della governance e della responsabilità stanno ricevendo un’attenzione crescente da parte dei consigli di amministrazione, mentre i settori considerati interessati dalla normativa (energia, trasporti, banche, salute, PA, infrastrutture digitali) stanno prendendo sempre più seriamente i processi di verifica e la documentazione richiesta dal nuovo quadro normativo. Tuttavia, il livello di maturità rimane disomogeneo e la direttiva sta mettendo in evidenza alcune debolezze strutturali che molte organizzazioni devono ancora affrontare.
Il divario più evidente riguarda la capacità di tradurre le politiche di sicurezza in pratiche operative efficaci. Molte aziende dispongono già di linee guida e strumenti adeguati, ma incontrano difficoltà nel gestirli in modo coerente, soprattutto in ambienti IT sempre più ibridi e distribuiti. Questo porta spesso a una visibilità frammentata sull’infrastruttura, a tempi di risposta più lenti agli incidenti e a una limitata capacità di dimostrare in modo chiaro il livello di esposizione al rischio sia ai vertici aziendali sia alle autorità di vigilanza.
Un’altra area critica riguarda la gestione del rischio lungo la supply chain. I servizi essenziali dipendono sempre più da fornitori esterni, piattaforme SaaS e canali di accesso di terze parti, ma la supervisione di questi elementi risulta spesso meno rigorosa rispetto ai controlli interni. Proprio questi punti di accesso indiretti stanno diventando uno degli obiettivi privilegiati degli aggressori, che li sfruttano come porta d’ingresso verso infrastrutture più ampie.
Anche sul fronte della resilienza operativa emergono alcune lacune. Se da un lato la diffusione dei sistemi di backup è aumentata, dall’altro le procedure di ripristino non vengono sempre testate come capacità operativa reale, con vincoli di tempo e scenari di crisi. La vera trasformazione richiesta oggi consiste nel passare da una logica puramente documentale – verificare che un piano esista – alla dimostrazione concreta che quel piano possa essere eseguito in modo ripetibile e sotto pressione. È proprio in questa fase di transizione che molte organizzazioni italiane stanno ancora cercando di colmare il divario tra teoria e pratica.
In questo contesto, la sfida principale della NIS2 è evitare che la compliance si trasformi in un esercizio puramente formale. La conformità deve invece evolvere in una disciplina operativa continua e misurabile: quanto efficacemente un’organizzazione riesce a gestire la propria esposizione al rischio, quanto rapidamente è in grado di individuare comportamenti anomali, quanto velocemente riesce a contenerli e con quale efficacia può risolverli.
Per supportare questo passaggio, l’approccio tecnologico deve puntare all’integrazione tra protezione dei dati, rilevamento delle minacce e capacità di ripristino, creando un flusso operativo unico e coerente. La frammentazione resta infatti uno dei principali fattori di rischio nascosti: molte aziende operano con console multiple, policy non allineate, un sovraccarico di alert e una separazione tra la gestione degli eventi di sicurezza e le azioni di recovery. Quando i controlli operano in silos, la governance diventa più complessa e i tempi di risposta si allungano.
La standardizzazione dei processi rappresenta inoltre un elemento chiave nella gestione dei fornitori della supply chain e degli ambienti gestiti da provider esterni. L’adozione di modelli operativi condivisi, linee guida coerenti, playbook di risposta ripetibili e sistemi di visibilità centralizzata consente alle organizzazioni di controllare in modo più prevedibile l’esposizione delle terze parti. Allo stesso tempo, questo approccio migliora anche la preparazione agli audit, poiché i dati necessari alla conformità vengono generati direttamente dalle operazioni quotidiane, anziché essere ricostruiti a posteriori.
In questa prospettiva, la resilienza deve diventare una capacità misurabile e verificabile. I backup devono essere conservati in ambienti sicuri e protetti da manomissioni, le procedure di ripristino devono essere testate con regolarità e i processi di continuità operativa e disaster recovery devono essere validati in condizioni operative reali. Questo è particolarmente importante negli incidenti legati a estorsioni informatiche, dove pressioni legali, reputazionali e operative si sovrappongono. In questi casi, la capacità di rilevare rapidamente l’attacco, contenerlo e ripristinare i sistemi in modo affidabile può determinare l’esito dell’intera crisi.
Oggi le imprese non possono più prescindere dall’adozione di piattaforme che integrino nativamente cybersecurity e protezione dei dati. Questo approccio consente di rafforzare la resilienza operativa richiesta ai settori critici nell’era della NIS2. In questo contesto, Acronispermette ai team IT e ai responsabili della sicurezza di garantire la disponibilità e l’integrità dei dati e delle applicazioni più importanti, assicurando allo stesso tempo la possibilità di ripristinarli rapidamente in caso di incidenti o interruzioni operative.
In conclusione, per colmare il divario culturale serve un cambiamento di approccio: la sicurezza deve essere integrata nei processi operativi quotidiani, supportata da piattaforme che uniscano cybersecurity, protezione dei dati e gestione delle vulnerabilità in un’unica architettura. In questo modo, la conformità alla NIS2 non rimane un esercizio teorico, ma diventa parte di una gestione pratica, misurabile e continua del rischio informatico.
Di Santiago Pontiroli, Lead TRU Researcher di Acronis
