Il panorama della sicurezza informatica in Italia sta attraversando una fase di profonda mutazione, spinto dall’entrata in vigore della direttiva NIS2. Non si tratta solo di un aggiornamento tecnico, ma di una riforma che tocca le fondamenta della governance aziendale, spostando l’asse della responsabilità dai reparti IT direttamente ai tavoli dei Consigli di Amministrazione.
Durante il recente convegno “Cybersecurity: immaginare l’imprevedibile”, organizzato dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, esperti del settore si sono confrontati su come questa normativa stia ridefinendo i ruoli interni e i processi di conformità.
Indice degli argomenti
Il ruolo centrale del Board nella conformità alla NIS2
Uno dei pilastri della NIS2 è l’esplicito coinvolgimento degli organi apicali nella strategia di difesa digitale. Se in passato la cyber security era spesso confinata agli uffici tecnici, oggi la norma impone un’educazione specifica per i vertici.
Elisa Romano, Head of Data Protection & Information Security di Lamborghini, sottolinea come questo cambiamento debba partire da una base di consapevolezza preesistente: «Bisogna partire dall’educazione del board come soggetto apicale, ma anche di tutta l’azienda, per poter applicare anche correttamente questa normativa, che sicuramente ha una portata molto innovativa per quello che è il tema della cyber security».
La sfida non è solo culturale, ma strettamente legata alla responsabilità legale. La normativa, infatti, rende il top management direttamente responsabile delle inadempienze.
Secondo Romano, questo obbligo sta forzando un dialogo che prima era stentato: «Diventando un obbligo, diventando una responsabilità personale, c’è una forzatura nell’ascolto del top management di queste tematiche che magari fino a qualche anno fa erano temi prettamente tecnici e chiusi nello scantinato dell’IT».
Il riferimento normativo non è nuovo, poiché il Codice Civile già prevedeva forme di responsabilità professionale per i dirigenti, ma la NIS2 eleva il tiro introducendo l’Articolo 23, che coinvolge i leader aziendali nella governance della formazione e nella gestione degli incidenti.
Oltre la sanzione: la leva della consapevolezza
Nonostante l’aspetto sanzionatorio sia una leva potente per ottenere attenzione e budget, l’efficacia a lungo termine della NIS2 dipende dalla capacità di tradurre i tecnicismi in linguaggio manageriale.
Per un CISO, presentarsi al Board parlando esclusivamente di vulnerabilità tecniche può essere controproducente. La strategia vincente, come suggerito da Romano, consiste nel fornire una fotografia completa che includa la prioritizzazione dei rischi e le possibili alternative di gestione.
È fondamentale che l’organo decisorio comprenda che «un rischio lo si può tenere in casa, dare fuori, gestire» e che, in ultima analisi, la decisione finale spetta a chi ha il potere di firma e di spesa.
La semplificazione normativa e il DDL Omnibus
Un aspetto cruciale per le aziende italiane è il tentativo del legislatore di semplificare un quadro normativo altrimenti frammentato.
Anna Cataleta, Senior Advisor dell’Osservatorio, evidenzia l’importanza del Digital Omnibus, che interviene sulla NIS2 per snellire le procedure di notifica. Un punto di svolta riguarda la segnalazione degli incidenti: il decreto prevede infatti un unico punto di notifica gestito dall’ENISA, che poi veicolerà le informazioni alle autorità indipendenti competenti.
Questo sistema mira a evitare la duplicazione o triplicazione degli adempimenti burocratici che spesso gravano sulle imprese in caso di emergenza.
Inoltre, il DDL Omnibus introduce un cambiamento nell’approccio valutativo dell’impatto degli incidenti. Invece di concentrarsi sulla probabilità di un evento, l’attenzione viene spostata sulla gravità del data breach.
Questo spostamento di focus richiede alle aziende un’analisi del perimetro soggettivo molto accurata, distinguendo se un soggetto sia da considerarsi “essenziale” o “importante” non in base a un semplice codice, ma attraverso una valutazione complessa di fattori normativi.
L’impatto operativo e la “burocrazia” della sicurezza
L’attuazione pratica della NIS2 comporta un carico documentale che molte aziende non avevano previsto. Luigi Tuissi, Head of IT Italy di Alpiq Energia Italia, descrive l’esperienza della sua azienda come estremamente impegnativa dal punto di vista amministrativo. Nonostante una preparazione iniziata tre anni prima basata sul framework NIST, la produzione della documentazione necessaria è stata definita «un bagno di sangue».
La difficoltà principale risiede nella necessità di produrre e far approvare dai Consigli di Amministrazione una mole impressionante di atti tecnici. Secondo Tuissi, si parla di un numero di documenti compreso tra 20 e 30, che spaziano dalla gestione delle vulnerabilità alle politiche sulle password.
Per società strutturate con diverse entità legali, questo sforzo si moltiplica: «Noi abbiamo dovuto moltiplicare per 10 tutta questa documentazione, che poi è passata all’approvazione dei 10 CdA, in cui abbiamo dovuto spiegare ai Consigli di Amministrazione di che cosa fosse la natura di questi documenti».
Le linee guida dell’ACN e la gestione degli asset
Un elemento spesso trascurato dalle imprese sono le linee guida dell’ACN pubblicate tra agosto e settembre, che elencano circa venti documenti tecnici che devono obbligatoriamente passare al vaglio del Board.
Queste linee guida rappresentano la “soft law” che aggiunge un ulteriore livello di complessità alla normativa primaria.
Per Tuissi, tuttavia, questa burocrazia ha un valore pratico fondamentale, specialmente quando l’azienda si trova ad affrontare un rischio reale: «Noi abbiamo avuto un rischio cyber un paio d’anni fa che ha messo in luce esattamente tutti i gap legati a una mancanza di documentazione, di procedure emanate, pubblicate e approvate tutte. Uno che l’ha provato sulla sua pelle si rende conto che è meglio averli che non averli».
La nuova frontiera: supply chain e Operation Technology (OT)
Se il mondo IT ha ormai raggiunto una maturità decennale sui temi della cybersecurity, la vera sfida della NIS2 si gioca su due fronti più scoperti: la gestione della supply chain e la sicurezza degli impianti produttivi (OT).
Nel settore delle utilities, come sottolineato da Tuissi, la componente OT è predominante e rappresenta spesso un terreno ancora poco esplorato.
La gestione delle terze parti emerge come il principale fattore di rischio. Le statistiche e l’esperienza diretta delle aziende confermano che la maggior parte dei breach avviene proprio attraverso vulnerabilità dei fornitori esterni.
La NIS2 insiste molto su questo punto, imponendo alle aziende di rivedere i propri contratti. Attualmente, esiste una lacuna significativa: molti vendor non hanno ancora l’obbligo contrattuale di informare il cliente in caso di incidente cyber.
Il ruolo del CIO e del CISO diventa quindi quello di garantire che la sicurezza non finisca ai cancelli dell’azienda, ma prosegua lungo tutta la catena di fornitura.
Il passaggio al cloud e la visibilità degli asset
L’evoluzione delle infrastrutture verso il cloud complica ulteriormente l’asset inventory, un requisito fondamentale della NIS2.
Mentre in passato gli asset erano fisicamente presenti in azienda, oggi molte realtà, fatta eccezione forse per settori con segreti industriali critici come l’automotive di lusso, tendono ad avere pochissimo hardware “in casa”.
La sfida del futuro sarà gestire la sicurezza di sistemi critici, come i sistemi SCADA e DCS per la produzione di energia, che si stanno spostando progressivamente verso ambienti cloud.
In questo scenario multiforme, la capacità di mappare e proteggere ogni punto di accesso diventa il requisito minimo per garantire la continuità operativa richiesta dalla nuova normativa europea.
